Zum Inhalt springen

NIS2 · Management-Review

Systematisches Management-Review unter NIS2.

Regelmässige Überprüfung des Cybersicherheits-Managementsystems durch die Leitung mit dokumentierten Ergebnissen.

Hinweis: Keine rechtsverbindliche Beratung. Die Inhalte dienen ausschließlich der Orientierung und ersetzen keine qualifizierte Rechts- oder Compliance-Beratung.

NIS2 Management Review

NIS2 Art. 20 verpflichtet Leitungsorgane zur regelmässigen Überprüfung der Wirksamkeit von Cybersicherheitsmassnahmen. Diese Überprüfungen müssen dokumentiert und zur kontinuierlichen Verbesserung genutzt werden.

Überprüfungszyklus

Jährlich, bei wesentlichen Änderungen unverzüglich

Überprüfungen sollten mindestens jährlich stattfinden. Nach schwerwiegenden Sicherheitsvorfällen, grösseren organisatorischen Änderungen oder regulatorischen Änderungen werden ausserordentliche Reviews empfohlen.

Review-Agenda

Das Review sollte abdecken: Status der Cybersicherheitsmassnahmen, bedeutende Vorfälle und Erkenntnisse, Ergebnisse von Risikobewertungen, Prüfungsergebnisse, regulatorische Änderungen und Verbesserungsmassnahmen.

1

Überprüfung der Betroffenheitsprüfung und Sektorzuordnung

2

Bewertung des aktuellen Risikomanagement-Niveaus

3

Wirksamkeit der technischen und organisatorischen Maßnahmen

4

Incident-Statistik und Lessons Learned

5

Lieferkettenrisiko-Update

6

Budget- und Ressourcenplanung für das Folgejahr

7

Schulungsplan für Leitungsorgane und Schlüsselpersonal

Verknüpfte Module

Querverweise zu Management-Review-Vorlagen, DORA-Governance und Trust Center.