Governance
Governance-Routinen, die NIS2 tragen
Policies allein reichen nicht. Erst mit gelebten Routinen und Nachweisen wird NIS2 prüfbar.
Klarer Takt #
- Monatlich: Risiko-Register, Lieferanten-Änderungen, Ausnahmen.
- Quartalsweise: Wirksamkeit der Kontrollen, Incident-Metriken, Tabletop-Übungen.
- Halbjährlich: Business-Impact-Analyse und Kontinuitäts-Tests auffrischen.
Dokumentation, die hält #
- Meeting-Notizen mit Entscheidungen, Ownern und Fälligkeiten.
- Evidence-Ordner mit Tickets, Freigaben und Logs — versioniert und datiert.
- Policies mit Change-Historie und Ablaufdaten.
Praxis-Tipp: Bestehende agile Rituale nutzen — kurze NIS2-Checkpoints in Reviews und Steerings statt neuer Meetings.
Rollen & Verantwortung #
- Executive Sponsor räumt Hürden aus dem Weg.
- Governance Lead pflegt Artefakte und koordiniert Updates.
- Control Owner (z. B. IAM, Backup, Logging, Vendor) liefern Nachweise und Checks.
Mit einem leichten, aber konsequenten Rhythmus bleiben Kontrollen aktuell, Nachweise prüfbar und Aufsichtsanfragen beherrschbar.