Zum Inhalt springen

NIS2 · Governance

Governance as the Foundation of Cyber Security.

Management responsibility, clear reporting lines and accountability for cyber security under NIS2 Art. 20.

Note: Keine rechtsverbindliche Beratung. Die Inhalte dienen ausschließlich der Orientierung und ersetzen keine qualifizierte Rechts- oder Compliance-Beratung.

NIS2 Governance-Anforderungen

NIS2 Art. 20 requires management bodies to approve and oversee cyber security measures. Management is also personally liable for compliance violations and must undergo regular training.

NIS2-GOV-01

Management-Verantwortung für Cybersicherheitsrisiken

Das Leitungsorgan muss Cybersicherheitsrisikomanagement-Maßnahmen billigen, deren Umsetzung beaufsichtigen und für Verstöße haften.

NIS2 Art. 20 NIS2 DORA DORA Art. 5 (Governance) ISO ISO 27001 A.5.1

Evidenz-Nachweise

  • Management-Beschluss
  • Schulungsnachweis
  • Risikobericht mit Management-Freigabe
NIS2-GOV-02

Schulungspflicht für Leitungsorgane

Mitglieder des Leitungsorgans müssen regelmäßig an Cybersicherheitsschulungen teilnehmen.

NIS2 Art. 20 II NIS2 DORA DORA Art. 5 IV ISO ISO 27001 A.7.2.2

Evidenz-Nachweise

  • Schulungsplan
  • Teilnahmebescheinigungen
  • Schulungsinhalte
NIS2-GOV-03

Risikomanagement-Maßnahmen nach Art. 21

Technische, operative und organisatorische Maßnahmen zum Management von Sicherheitsrisiken für Netz- und Informationssysteme.

NIS2 Art. 21 NIS2 DORA DORA Art. 6-14 (IKT-Risikomanagement) ISO ISO 27001 A.5-A.8

Evidenz-Nachweise

  • Risikomanagement-Richtlinie
  • Risikoregister
  • Maßnahmenkatalog
NIS2-GOV-04

Lieferkettensicherheit

Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern.

NIS2 Art. 21 II d NIS2 DORA DORA Art. 28-33 (IKT-Drittparteienrisiko) ISO ISO 27001 A.5.19-A.5.23

Evidenz-Nachweise

  • Lieferantenbewertung
  • Sicherheitsklauseln in Verträgen
  • Lieferkettendokumentation