Zum Inhalt springen
Resilience Platform Resilience Platform

NIS2 Governance

Governance-Anforderungen

Management-Verantwortung (Art. 20), Schulungspflichten und Cybersicherheitsrisikomanagement-Maßnahmen nach Art. 21 NIS2.

Note: Keine rechtsverbindliche Beratung. Die Inhalte dienen ausschließlich der Orientierung und ersetzen keine qualifizierte Rechts- oder Compliance-Beratung.

NIS2 Governance-Anforderungen

Das Leitungsorgan trägt die Gesamtverantwortung für Cybersicherheitsrisiken und muss Maßnahmen billigen, beaufsichtigen und für Verstöße haften.

NIS2-GOV-01

Management-Verantwortung für Cybersicherheitsrisiken

Das Leitungsorgan muss Cybersicherheitsrisikomanagement-Maßnahmen billigen, deren Umsetzung beaufsichtigen und für Verstöße haften.

NIS2 Art. 20 NIS2 DORA DORA Art. 5 (Governance) ISO ISO 27001 A.5.1

Evidenz-Nachweise

  • Management-Beschluss
  • Schulungsnachweis
  • Risikobericht mit Management-Freigabe
NIS2-GOV-02

Schulungspflicht für Leitungsorgane

Mitglieder des Leitungsorgans müssen regelmäßig an Cybersicherheitsschulungen teilnehmen.

NIS2 Art. 20 II NIS2 DORA DORA Art. 5 IV ISO ISO 27001 A.7.2.2

Evidenz-Nachweise

  • Schulungsplan
  • Teilnahmebescheinigungen
  • Schulungsinhalte
NIS2-GOV-03

Risikomanagement-Maßnahmen nach Art. 21

Technische, operative und organisatorische Maßnahmen zum Management von Sicherheitsrisiken für Netz- und Informationssysteme.

NIS2 Art. 21 NIS2 DORA DORA Art. 6-14 (IKT-Risikomanagement) ISO ISO 27001 A.5-A.8

Evidenz-Nachweise

  • Risikomanagement-Richtlinie
  • Risikoregister
  • Maßnahmenkatalog
NIS2-GOV-04

Lieferkettensicherheit

Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern.

NIS2 Art. 21 II d NIS2 DORA DORA Art. 28-33 (IKT-Drittparteienrisiko) ISO ISO 27001 A.5.19-A.5.23

Evidenz-Nachweise

  • Lieferantenbewertung
  • Sicherheitsklauseln in Verträgen
  • Lieferkettendokumentation

Verknüpfte Module

DORA Governance ISO 27001 ISMS Management Review

Adaptiert von KRKrisensicher/krisensicherOS (Apache-2.0). Keine rechtsverbindliche Betroffenheitsprüfung.