NIS2 · Governance
Governance als Fundament der Cybersicherheit.
Führungsverantwortung, klare Berichtswege und Rechenschaftspflicht für Cybersicherheit unter NIS2 Art. 20.
NIS2 Governance-Anforderungen
NIS2 Art. 20 verpflichtet Leitungsorgane zur Genehmigung und Überwachung von Cybersicherheitsmassnahmen. Die Leitungsebene haftet persönlich bei Compliance-Verstössen und muss regelmässig geschult werden.
Management-Verantwortung für Cybersicherheitsrisiken
Das Leitungsorgan muss Cybersicherheitsrisikomanagement-Maßnahmen billigen, deren Umsetzung beaufsichtigen und für Verstöße haften.
Evidenz-Nachweise
- Management-Beschluss
- Schulungsnachweis
- Risikobericht mit Management-Freigabe
Schulungspflicht für Leitungsorgane
Mitglieder des Leitungsorgans müssen regelmäßig an Cybersicherheitsschulungen teilnehmen.
Evidenz-Nachweise
- Schulungsplan
- Teilnahmebescheinigungen
- Schulungsinhalte
Risikomanagement-Maßnahmen nach Art. 21
Technische, operative und organisatorische Maßnahmen zum Management von Sicherheitsrisiken für Netz- und Informationssysteme.
Evidenz-Nachweise
- Risikomanagement-Richtlinie
- Risikoregister
- Maßnahmenkatalog
Lieferkettensicherheit
Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern.
Evidenz-Nachweise
- Lieferantenbewertung
- Sicherheitsklauseln in Verträgen
- Lieferkettendokumentation