NIS2-Risikomanagementpflicht · Buchstabe f)
Bewertung der Wirksamkeit
NIS2 verlangt, dass Sie regelmäßig prüfen, ob Ihre Sicherheitsmaßnahmen tatsächlich wirken. Maßnahmen einmal aufzusetzen genügt nicht: Sie müssen ihre Wirksamkeit messen, dokumentieren und bei Bedarf nachsteuern.
Warum diese Pflicht wichtig ist
Die Wirksamkeitsbewertung schließt den PDCA-Kreis. Sie liefert der Geschäftsleitung und der Aufsicht den Nachweis, dass das Sicherheitsniveau nicht nur auf dem Papier besteht.
So setzen Sie die Pflicht um
- 1Kontrollen mit Verantwortlichen und Review-Zyklen festlegen
- 2Kennzahlen (KPIs) zur Messung der Wirksamkeit definieren
- 3Interne Audits oder Audit-Simulationen durchführen
- 4Ergebnisse in einem Management-Review bewerten
- 5Abweichungen als Maßnahmen mit Frist nachverfolgen
Diese Nachweise erwartet die Aufsicht
- Kontrollen mit dokumentierten Review-Ergebnissen
- Audit- und Management-Review-Berichte
- Maßnahmenverfolgung aus Feststellungen
Häufige Fehler
Aufsetzen und vergessen
Maßnahmen werden eingeführt, aber ihre Wirkung nie überprüft.
Audit ohne Folgen
Feststellungen werden dokumentiert, aber nicht behoben.
Passende ISO-27001-Controls
Wer ISO 27001 umsetzt, erfüllt diese NIS2-Pflicht weitgehend mit. Diese Annex-A-Controls decken den Bereich ab:
Häufig gestellte Fragen
Wie weise ich Wirksamkeit nach?
Über Kontrollen mit Review-Zyklen, Kennzahlen, interne Audits und ein dokumentiertes Management-Review.
Brauche ich ein externes Audit?
NIS2 verlangt kein Zertifikat, aber eine nachweisbare, möglichst unabhängige Überprüfung. Interne Audits genügen, wenn sie unabhängig durchgeführt werden.
Wie oft muss bewertet werden?
Regelmäßig und risikobasiert, mindestens jährlich sowie nach wesentlichen Änderungen.
Wirksamkeitsbewertung mit CompliantDesk umsetzen
CompliantDesk deckt diesen Bereich mit folgenden Modulen ab: Kontrollen mit Review-Zyklen · Audit-Simulation · Board-Report. Starten Sie mit dem kostenlosen NIS2-Check.