NIS2 · Management-Review
Systematisches Management-Review unter NIS2.
Regelmässige Überprüfung des Cybersicherheits-Managementsystems durch die Leitung mit dokumentierten Ergebnissen.
NIS2 Management Review
NIS2 Art. 20 verpflichtet Leitungsorgane zur regelmässigen Überprüfung der Wirksamkeit von Cybersicherheitsmassnahmen. Diese Überprüfungen müssen dokumentiert und zur kontinuierlichen Verbesserung genutzt werden.
Überprüfungszyklus
Jährlich, bei wesentlichen Änderungen unverzüglich
Überprüfungen sollten mindestens jährlich stattfinden. Nach schwerwiegenden Sicherheitsvorfällen, grösseren organisatorischen Änderungen oder regulatorischen Änderungen werden ausserordentliche Reviews empfohlen.
Review-Agenda
Das Review sollte abdecken: Status der Cybersicherheitsmassnahmen, bedeutende Vorfälle und Erkenntnisse, Ergebnisse von Risikobewertungen, Prüfungsergebnisse, regulatorische Änderungen und Verbesserungsmassnahmen.
Überprüfung der Betroffenheitsprüfung und Sektorzuordnung
Bewertung des aktuellen Risikomanagement-Niveaus
Wirksamkeit der technischen und organisatorischen Maßnahmen
Incident-Statistik und Lessons Learned
Lieferkettenrisiko-Update
Budget- und Ressourcenplanung für das Folgejahr
Schulungsplan für Leitungsorgane und Schlüsselpersonal
Verknüpfte Module
Querverweise zu Management-Review-Vorlagen, DORA-Governance und Trust Center.