NIS2 · Governance
Governance as the Foundation of Cyber Security.
Management responsibility, clear reporting lines and accountability for cyber security under NIS2 Art. 20.
NIS2 Governance-Anforderungen
NIS2 Art. 20 requires management bodies to approve and oversee cyber security measures. Management is also personally liable for compliance violations and must undergo regular training.
Management-Verantwortung für Cybersicherheitsrisiken
Das Leitungsorgan muss Cybersicherheitsrisikomanagement-Maßnahmen billigen, deren Umsetzung beaufsichtigen und für Verstöße haften.
Evidenz-Nachweise
- Management-Beschluss
- Schulungsnachweis
- Risikobericht mit Management-Freigabe
Schulungspflicht für Leitungsorgane
Mitglieder des Leitungsorgans müssen regelmäßig an Cybersicherheitsschulungen teilnehmen.
Evidenz-Nachweise
- Schulungsplan
- Teilnahmebescheinigungen
- Schulungsinhalte
Risikomanagement-Maßnahmen nach Art. 21
Technische, operative und organisatorische Maßnahmen zum Management von Sicherheitsrisiken für Netz- und Informationssysteme.
Evidenz-Nachweise
- Risikomanagement-Richtlinie
- Risikoregister
- Maßnahmenkatalog
Lieferkettensicherheit
Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern.
Evidenz-Nachweise
- Lieferantenbewertung
- Sicherheitsklauseln in Verträgen
- Lieferkettendokumentation