Brain-Media.de/Compliance-Lexikon/NIS-2 Governance
Ebene 1 · DefinitionEbene 2 · PraxisEbene 3 · Strategie

Compliance-Lexikon · NIS-2

NIS-2 Governance

auch: NIS-2-Leitungsorganverantwortung

NIS-2 Governance bezeichnet die organisatorische Verankerung der NIS-2-Sicherheitsverantwortung auf Leitungsorganebene - mit persoenlicher Haftung der Geschaeftsfuehrung, Pflichtschulungen und der Anforderung, dass Sicherheitsmassnahmen nicht vollstaendig an die IT-Abteilung delegiert werden koennen.

Warum NIS-2-Governance persoenliche Haftung bedeutet

NIS-2 § 38 markiert einen Paradigmenwechsel: Geschaeftsfuehrer und Vorstaende koennen fuer Sicherheitsmaengel persoenlich haftbar gemacht werden - eine Verantwortung, die nicht vollstaendig an CISO oder IT-Abteilung delegierbar ist. Das Leitungsorgan muss die Risikomanagementmassnahmen aktiv billigen, ihre Umsetzung ueberwachen und sich dafuer schulen lassen.

Wo NIS-2-Governance gefordert wird

FrameworkReferenzAnforderung
NIS-2 / BSIG§ 38Leitungsorganhaftung: Persoenliche Verantwortung der Geschaeftsfuehrung fuer Umsetzung der Sicherheitsmassnahmen.
NIS-2-Richtlinie (EU) 2022/2555Art. 20Governance: Leitungsorgane muessen Risikomanagementmassnahmen billigen und ueberwachen.
BSIG§ 30 Abs. 1Pflicht zur Implementierung geeigneter technischer und organisatorischer Massnahmen.
DCGKKap. 4.1.3Compliance als Leitungsaufgabe: Corporate-Governance-Referenzrahmen fuer NIS-2-Umsetzung.
ISO 27001:2022Kap. 5.1Fuehrung und Verpflichtung: Vergleichbare Anforderung an Top-Management-Engagement.

BAM-Objektreferenz

BAM-Objekt NIS2-GOV-01
BeschreibungNIS-2-Governance mit Leitungsorganverantwortung und Schulungsnachweis
GitHubBAM Core →

Haeufige Fehler

  • Sicherheitsverantwortung vollstaendig an IT delegiert, ohne Leitungsorganbeteiligung
  • Keine dokumentierten Schulungsnachweise fuer Geschaeftsfuehrung
  • Sicherheitsmassnahmen nicht formal vom Leitungsorgan gebilligt
  • Kein regelmaessiges Reporting an die Geschaeftsleitung

Praktische Umsetzung der Governance-Pflicht

Eine wirksame NIS-2-Governance umfasst regelmaessige (mindestens jaehrliche) Schulungen der Geschaeftsfuehrung zu Cybersicherheitsrisiken, formale Genehmigung der Sicherheitsstrategie durch das Leitungsorgan, regelmaessiges Reporting zur Sicherheitslage und dokumentierte Entscheidungen zu Ressourcenzuweisungen. Diese Nachweise schuetzen die Geschaeftsfuehrung im Falle einer aufsichtlichen Pruefung oder eines Sicherheitsvorfalls.

Naechster Schritt

NIS-2-Stresstest starten

Kostenloser Compliance-Stresstest zur Governance-Bereitschaft.

Verwandte Begriffe

Board OversightCISOWesentliche Einrichtung

Compliance läuft. Oder sie läuft nicht.

Testen Sie kostenlos, wo Ihre Compliance heute steht.

Stresstest starten Whitepaper