Compliance-Lexikon · Governance
Board Oversight
[bɔːd ˈəʊvəsaɪt] · auch: Leitungsorgankontrolle, Vorstandsverantwortung, Corporate Governance
Board Oversight bezeichnet die aktive Verantwortung und Überwachungsfunktion des Leitungsorgans (Vorstand, Aufsichtsrat) für die Informationssicherheit – einschließlich der Genehmigung von Sicherheitsstrategien, des regelmäßigen Empfangs von Sicherheitsberichten und der Sicherstellung ausreichender Ressourcen.
Warum Board Oversight kein optionaler Governance-Aspekt mehr ist
NIS-2 § 38 ist eindeutig: Geschäftsführung und Vorstand haften persönlich für die Umsetzung der Sicherheitsmassnahmen – und können diese Verantwortung nicht vollständig an die IT-Abteilung delegieren. Das Leitungsorgan muss die Sicherheitslage kennen, Sicherheitsberichte empfangen und Ressourcenentscheidungen treffen. Wer als CISO oder IT-Leiter kein regelmäßiges Reporting an das Leitungsorgan hat, handelt gegen die regulatorischen Anforderungen.
Wo Board Oversight gefordert wird
| Framework | Referenz | Anforderung |
|---|---|---|
| ISO 27001:2022 | Kap. 5.1 | Führung und Verpflichtung: Das Top-Management muss das ISMS aktiv unterstützen, Richtlinien genehmigen und Ressourcen bereitstellen. |
| NIS-2 / BSIG | § 38 | Haftung der Geschäftsführung: Leitungsorgane haften persönlich für die Umsetzung von Sicherheitsmassnahmen – und können nicht mehr delegieren. |
| DORA | Art. 5 | Governance und Organisation: Das Leitungsorgan trägt direkte Verantwortung für IKT-Risikomanagement und muss ausreichend informiert sein. |
| BSI IT-Grundschutz | ISMS.1 | ISMS-Anforderungen: Verpflichtung der Leitungsebene als explizite Grundschutz-Anforderung. |
| DCGK | Kap. 4 | Deutscher Corporate Governance Kodex: Aufsichtsrat muss sich mit Cybersicherheit als wesentlichem Unternehmensrisiko befassen. |
BAM-Objektreferenz
Häufige Audit-Fehler
- Sicherheitsberichte gehen nur an IT-Leitung, nicht an Vorstand oder Aufsichtsrat
- Leitungsorgan genehmigt ISMS-Richtlinien nicht formal
- Keine Schulungsnachweise für Leitungsorganmitglieder zu IKT-Risiken (DORA-Pflicht)
- Sicherheitsbudget wird von IT-Leitung entschieden, nicht vom Leitungsorgan
Was das Leitungsorgan konkret tun muss
Die regulatorischen Anforderungen an das Leitungsorgan sind konkret: Genehmigung der Informationssicherheitsstrategie und -richtlinien, regelmäßiger Empfang von Sicherheitsberichten (quartalsmäßig empfohlen, jährlich als Minimum), Sicherstellung ausreichender Ressourcen (Budget, Personal), Überwachung der Wirksamkeit des Sicherheitsprogramms und – nach DORA explizit – ausreichendes eigenes Wissen zu IKT-Risiken. Schulungen des Leitungsorgans sind unter DORA eine Pflicht, nicht eine Empfehlung.
Persönliche Haftung nach NIS-2
NIS-2 § 38 ermöglicht die persönliche Haftung von Geschäftsführern und Vorstandsmitgliedern für Schäden, die durch Verletzung der Sicherheitspflichten entstehen. Das ist eine qualitative Änderung gegenüber früheren Regelungen: Nicht mehr nur die Organisation, sondern die handelnden Personen haften. Das ändert die Motivation für echtes Board Oversight grundlegend.
Nächste Ebene
Board Oversight in der Praxis: Reporting, Schulungen und Evidence
Wie Leitungsorgan-Reporting aufgebaut wird und was Auditoren und Aufseher prüfen.