Brain-Media.de/Compliance-Lexikon/Governance/Praxis
Ebene 1 · DefinitionEbene 2 · PraxisEbene 3 · Strategie

Compliance-Lexikon · Praxis

Governance-Strukturen für NIS-2 und ISO 27001 aufbauen

Governance bedeutet konkret: Wer entscheidet, wer berichtet, wer haftet. Dieser Artikel zeigt, welche Governance-Strukturen NIS-2 und ISO 27001 fordern und wie ein Berichtswesen an die Geschäftsleitung aussieht.

Was Auditoren konkret prüfen

Bei einer Prüfung von Governance fragt der Auditor nicht nach dem Vorhandensein einer Richtlinie, sondern nach dem Nachweis der Wirksamkeit. Das BAM-Objekt CROSS-GV-01 definiert im Evidence-Feld, was konkret vorgelegt werden muss.

BAM-Objekt · Praxis CROSS-GV-01
Gap-CheckLiegt ein datierter, vollständiger Nachweis der Wirksamkeit von Governance vor?
RemediationGovernance-Objekt mit Verantwortlichkeitsmatrix, Berichtswesen-Anforderungen und Board-Level-Dokumentation
EvidenceDatiertes Protokoll oder Systemauszug mit Zeitstempel, Scope und Verantwortlichem – mindestens jährlich.

Häufige Fehler

  • Governance wird mit Management verwechselt
  • Kein formales Berichtswesen an die Geschäftsleitung
  • Sicherheitsstrategie ohne Unternehmenszielbezug
  • Governance-Entscheidungen werden auf IT-Ebene getroffen statt auf Vorstandsebene

Praxis-Tipp

Für Governance gilt: Evidence muss kontinuierlich entstehen, nicht punktuell vor dem Audit. Wer erst kurz vor dem Audit mit der Evidence-Sammlung beginnt, hat für den gesamten Prüfungszeitraum eine Lücke.

Typische Implementierungsreihenfolge

Erfahrungsgemäß folgt die Implementierung einem wiederkehrenden Muster: Zuerst wird eine Richtlinie geschrieben, dann werden Maßnahmen umgesetzt, dann wird kurz vor dem Audit festgestellt, dass der Nachweis fehlt. Der richtige Ansatz: Evidence-Anforderung zuerst klären, dann die Maßnahme so implementieren, dass sie automatisch Evidence erzeugt. Das BAM-Objekt beginnt deshalb mit dem Evidence-Feld, nicht mit dem Requirement.

Verbindung zu anderen Kontrollen

In der Praxis steht keine Kontrolle isoliert. Dieser Bereich ist typischerweise mit Risk Register verknüpft (das Risiko, das die Kontrolle adressiert), mit Audit Trail (der technische Nachweis der Wirksamkeit) und mit Remediation (der Plan für offene Gaps). BAM bildet diese Verknüpfungen im Cross-Framework-Objektmodell ab.

Nächster Schritt

CISM-Buch: Domäne 1

Kostenloser Compliance-Stresstest auf Basis der BAM-Objekte – unverbindlich, 20 Minuten.

Die strategische Einordnung – warum Governance langfristig mehr als ein Compliance-Pflichtprogramm ist – findet sich auf Ebene 3.

Compliance läuft. Oder sie läuft nicht.

Testen Sie kostenlos, wo Ihre Compliance heute steht.

Stresstest starten Whitepaper