Governance

Warum Governance wichtig ist

Governance ist nicht das, was ein Sicherheitsmanager tut – es ist das Fundament, das bestimmt, wer was entscheiden darf, wie Risiken kommuniziert werden und wer dafür haftet. Ohne Governance-Struktur gibt es keine systematische Compliance.

Wo Governance gefordert wird

Framework	Referenz	Anforderung
ISO 27001:2022	Kap. 5	Führung: Die oberste Leitung muss Verantwortung für das ISMS übernehmen und Governance-Strukturen etablieren.
NIS-2 / BSIG	§ 38	Persönliche Haftung der Geschäftsleitung für die Umsetzung der Cybersicherheitsmaßnahmen.
DORA	Art. 5	Leitungsorgan trägt Gesamtverantwortung für das IKT-Risikomanagement und muss aktiv eingebunden sein.
COBIT	vollständig	Internationaler Governance-Rahmen für IT – Referenz für IS Governance nach ISACA.

BAM-Objektreferenz

Häufige Audit-Fehler

• Governance wird mit Management verwechselt
• Kein formales Berichtswesen an die Geschäftsleitung
• Sicherheitsstrategie ohne Unternehmenszielbezug
• Governance-Entscheidungen werden auf IT-Ebene getroffen statt auf Vorstandsebene

Praxisbeispiel

Ein mittelständisches Unternehmen mit 150 Mitarbeitenden steht vor seiner ersten NIS-2-Prüfung. Der Auditor fragt nach dem Nachweis. Was in den meisten Fällen fehlt: ein datiertes, vollständiges Evidence-Dokument zur Wirksamkeit. Genau diese Lücke schließt das BAM-Objekt durch ein strukturiertes Evidence-Feld, das definiert, was konkret vorliegen muss – bevor der Audit stattfindet, nicht danach.

Abgrenzung und Zusammenhang

Dieser Begriff ist nicht isoliert zu betrachten. Er steht in direkter Verbindung zu Evidence (Was muss nachgewiesen werden?), Gap Analysis (Wo liegt die Lücke?) und Remediation (Wie wird die Lücke geschlossen?). Im BAM-Objektmodell sind alle vier Dimensionen im selben Objekt verankert – Requirement, Gap-Check, Remediation und Evidence bilden eine zusammenhängende Einheit statt verteilter Dokumente.

Verwandte Begriffe