NIS2-Nachweise zu Cyberhygiene auf ISO 27001 abgebildet
Es ist 08:40 Uhr an einem Montag. Sarah, CISO eines schnell wachsenden B2B-SaaS-Anbieters, nimmt am Führungskräfte-Call teil und erwartet eine routinemäßige Überprüfung offener Risikomaßnahmen. Stattdessen eröffnet der Leiter der Rechtsabteilung mit einer deutlich präziseren Frage:
„Wenn die national zuständige Behörde uns morgen auffordert, Cyberhygiene und Cybersicherheitsschulung nach NIS2 Article 21 nachzuweisen – was genau senden wir dann?“
Die Personalleiterin sagt, alle Mitarbeitenden hätten die jährliche Sensibilisierungsschulung abgeschlossen. Der SOC-Manager sagt, die Phishing-Simulationen verbesserten sich. Die IT-Betriebsleitung sagt, MFA sei durchgesetzt, Backups würden getestet und Patching werde nachverfolgt. Der Compliance-Verantwortliche sagt, die ISO/IEC 27001:2022-Auditakte enthalte Schulungsaufzeichnungen; das DORA-Projektteam habe jedoch eigene Nachweise zur Resilienzschulung, während der GDPR-Ordner separate Protokolle zur Datenschutzsensibilisierung enthalte.
Alle haben Arbeit geleistet. Niemand ist sicher, ob die Nachweise eine konsistente Geschichte erzählen.
Das ist das eigentliche Problem von NIS2 Article 21 für wesentliche und wichtige Einrichtungen. Die Anforderung lautet nicht einfach: „Benutzer schulen.“ Article 21 verlangt geeignete und verhältnismäßige technische, operative und organisatorische Maßnahmen zur Steuerung von Cyberrisiken. Der Mindestkontrollsatz umfasst Cyberhygiene und Cybersicherheitsschulung, aber auch Verfahren zum Umgang mit Sicherheitsvorfällen, Aufrechterhaltung des Geschäftsbetriebs, Sicherheit der Lieferkette, Umgang mit Schwachstellen, Kryptografie, HR-Sicherheit, Zugriffskontrolle, Asset-Management, MFA oder kontinuierliche Authentifizierung, sichere Kommunikation sowie Verfahren zur Bewertung der Wirksamkeit.
Cyberhygiene ist keine Sensibilisierungskampagne. Sie ist die tägliche operative Disziplin, die Menschen, Kontrollen, Nachweise und Rechenschaftspflicht des Managements miteinander verbindet.
Für CISOs, Compliance-Verantwortliche, MSPs, SaaS-Anbieter, Cloud-Betreiber und digitale Diensteanbieter besteht die praktische Antwort nicht darin, ein separates „NIS2-Schulungsprojekt“ aufzusetzen. Der belastbarere Ansatz ist der Aufbau einer einheitlichen, auditfähigen Nachweiskette innerhalb eines ISO/IEC 27001:2022-ISMS, unterstützt durch Kontrollpraktiken nach ISO/IEC 27002:2022, risikogesteuert nach ISO/IEC 27005:2022 und querverknüpft mit NIS2, DORA, GDPR, NIST-orientierter Assurance und Governance-Erwartungen nach COBIT 2019.
Warum NIS2 Article 21 Schulung zu Nachweisen für das Leitungsorgan macht
NIS2 gilt für viele mittlere und große Einrichtungen in den Sektoren von Annex I und Annex II, die Dienstleistungen erbringen oder Tätigkeiten in der Union ausüben. Für Technologieunternehmen kann der Geltungsbereich weiter reichen, als viele Führungsteams erwarten. Annex I umfasst digitale Infrastruktur, einschließlich Cloud-Computing-Service-Provider, Rechenzentrumsdienstleister, Content-Delivery-Network-Anbieter, Vertrauensdiensteanbieter, DNS-Diensteanbieter und TLD-Registries. Annex I umfasst außerdem IKT-Servicemanagement im B2B-Bereich, einschließlich Managed Service Provider und Managed Security Service Provider. Annex II umfasst digitale Anbieter wie Online-Marktplätze, Online-Suchmaschinen und Plattformen sozialer Netzwerke.
Einige Einrichtungen können unabhängig von ihrer Größe in den Geltungsbereich fallen, darunter bestimmte DNS-Diensteanbieter und TLD-Registries. Nationale Kritikalitätsentscheidungen können auch kleinere Anbieter erfassen, wenn eine Störung die öffentliche Sicherheit, systemische Risiken oder wesentliche Dienste beeinträchtigen könnte.
Article 21(1) verpflichtet wesentliche und wichtige Einrichtungen, geeignete und verhältnismäßige technische, operative und organisatorische Maßnahmen umzusetzen, um Risiken für Netz- und Informationssysteme zu steuern, die für den Betrieb oder die Leistungserbringung genutzt werden, und um Auswirkungen von Vorfällen zu verhindern oder zu minimieren. Article 21(2) listet die Mindestmaßnahmen auf, einschließlich Richtlinien zur Risikoanalyse und Sicherheit von Informationssystemen, Verfahren zum Umgang mit Sicherheitsvorfällen, Aufrechterhaltung des Geschäftsbetriebs, Sicherheit der Lieferkette, sicherer Beschaffung und Wartung, Wirksamkeitsbewertung, grundlegender Cyberhygienepraktiken und Cybersicherheitsschulung, Kryptografie, HR-Sicherheit, Zugriffskontrolle, Asset-Management sowie MFA oder kontinuierlicher Authentifizierung, soweit angemessen.
Article 20 erhöht den Druck. Leitungsorgane müssen Maßnahmen zum Management von Cybersicherheitsrisiken genehmigen, deren Umsetzung überwachen und können für Verstöße haftbar gemacht werden. Mitglieder von Leitungsorganen müssen Schulungen absolvieren; Einrichtungen werden zudem ermutigt, Mitarbeitenden vergleichbare regelmäßige Schulungen bereitzustellen, damit sie Risiken erkennen und Praktiken des Cybersicherheitsrisikomanagements sowie deren Auswirkungen auf Dienste bewerten können.
Article 34 erhöht den finanziellen Druck. Verstöße gegen Article 21 oder Article 23 können Verwaltungsgeldbußen von mindestens 10.000.000 EUR oder 2 % des weltweiten Jahresumsatzes für wesentliche Einrichtungen und mindestens 7.000.000 EUR oder 1,4 % für wichtige Einrichtungen auslösen, je nachdem, welcher Betrag höher ist.
Deshalb reicht „wir haben die jährliche Sensibilisierungsschulung durchgeführt“ nicht aus. Eine Aufsichtsbehörde, ein ISO-Auditor, ein Kunden-Sicherheitsprüfer oder ein Cyberversicherer erwartet Nachweise, dass Schulung rollenbasiert, risikobasiert, aktuell, gemessen, mit Vorfällen verknüpft und vom Management verstanden ist.
Clarysecs Enterprise-Information Security Awareness and Training Policy, Klausel 5.1.1.3, verlangt, dass Schulungen Folgendes abdecken:
Themen wie Phishing, Passwortsicherheit, Vorfallmeldung und -management, physische Sicherheit sowie Datenschutz und Datenminimierung
Dieselbe Richtlinie, Klausel 8.3.1.1, benennt die Nachweiskette, nach der Auditoren meist zuerst fragen:
Aufzeichnungen über Schulungszuweisung, Bestätigung und Abschluss
Für KMU ist Clarysecs Information Security Awareness and Training Policy - SME, Klausel 8.4.1, noch direkter hinsichtlich der Auditierbarkeit:
Schulungsaufzeichnungen unterliegen dem Internen Audit und externer Überprüfung. Aufzeichnungen müssen richtig, vollständig und auf Anfrage nachweisbar sein (z. B. für ISO-Zertifizierung, GDPR-Audit oder Versicherungsvalidierung).
Dieser Satz beschreibt den Unterschied zwischen Awareness als HR-Aktivität und Awareness als Compliance-Kontrolle. Sind Aufzeichnungen unvollständig, nicht verifizierbar oder nicht mit dem Rollenrisiko verknüpft, kann die Kontrolle operativ existieren, im Audit aber versagen.
ISO/IEC 27001:2022 als Nachweisrückgrat nutzen
ISO/IEC 27001:2022 ist das natürliche Rückgrat für NIS2 Article 21, weil die Norm die Organisation zwingt, Geltungsbereich, interessierte Parteien, Risiken, Kontrollen, Ziele, Nachweise, Internes Audit, Managementbewertung und kontinuierliche Verbesserung festzulegen.
Die Klauseln 4.1 bis 4.4 verlangen, dass die Organisation interne und externe Themen versteht, interessierte Parteien und deren Anforderungen bestimmt, den ISMS-Geltungsbereich definiert, Schnittstellen und Abhängigkeiten zu Tätigkeiten anderer Organisationen berücksichtigt und das ISMS als zusammenwirkendes Prozesssystem aufrechterhält. Für einen SaaS-Anbieter oder MSP sollte der ISMS-Geltungsbereich NIS2-Verpflichtungen, vertragliche Kundenverpflichtungen, Abhängigkeiten von Cloud-Anbietern, Abdeckung durch ein ausgelagertes SOC, Rollen bei der Datenverarbeitung und Zusagen zur Serviceverfügbarkeit ausdrücklich umfassen.
Die Klauseln 5.1 bis 5.3 verankern Governance-Rechenschaftspflicht. Die oberste Leitung muss Informationssicherheitsleitlinie und Ziele an der strategischen Ausrichtung ausrichten, ISMS-Anforderungen in Geschäftsprozesse integrieren, Ressourcen bereitstellen, Verantwortlichkeiten zuweisen und Leistungsberichterstattung sicherstellen. Das entspricht direkt NIS2 Article 20, wonach Leitungsorgane Maßnahmen zum Management von Cybersicherheitsrisiken genehmigen und überwachen.
Die Klauseln 6.1.1 bis 6.1.3 und 6.2 überführen rechtliche Erwartungen in Risikobehandlung. Die Organisation muss Maßnahmen für Risiken und Chancen planen, einen wiederholbaren Prozess zur Informationssicherheitsrisikobeurteilung betreiben, Risikoverantwortliche bestimmen, Behandlungsoptionen auswählen, Kontrollen mit Annex A abgleichen, eine Erklärung zur Anwendbarkeit erstellen, einen Risikobehandlungsplan formulieren, die Genehmigung der Risikoverantwortlichen einholen und messbare Sicherheitsziele festlegen.
Hier wird NIS2 Article 21 handhabbar. Sie benötigen kein abgekoppeltes NIS2-Awareness-Programm. Sie benötigen eine zugeordnete Risiko- und Kontrollgeschichte.
| NIS2-Anforderungsbereich | ISO/IEC 27001:2022-Nachweismechanismus | Praktische Nachweise |
|---|---|---|
| Genehmigung und Aufsicht durch das Management | Klauseln 5.1, 5.3, 9.3 | Protokolle des Leitungsorgans, Paket zur Managementbewertung, Rollenzuweisungen, Budgetfreigaben |
| Cyberhygiene und Schulung | Klausel 7.2, Klausel 7.3, Annex A-Kontrollen für Personen und Technologie | Schulungsplan, LMS-Exporte, Rollenmatrix, Phishing-Ergebnisse, Richtlinienbestätigungen |
| Risikoanalyse und Sicherheitsrichtlinie | Klauseln 6.1.2, 6.1.3, 6.2 | Risikobeurteilung, Risikobehandlungsplan, Erklärung zur Anwendbarkeit, Sicherheitsziele |
| Wirksamkeitsbewertung | Klauseln 9.1, 9.2, 10.2 | Leistungskennzahlen (KPIs), Ergebnisse interner Audits, Korrekturmaßnahmen, Ergebnisse von Kontrolltests |
| Verfahren zum Umgang mit Sicherheitsvorfällen und Meldebereitschaft | Annex A-Kontrollen zum Vorfallmanagement | Incident-Runbooks, Eskalationsprotokolle, Tabletop-Berichte, Aufzeichnungen zur Beweissicherung |
| Lieferkette und Cloud-Abhängigkeit | Annex A-Kontrollen für Lieferanten und Cloud-Services | Lieferantenregister, Due Diligence, Verträge, Exit-Pläne, Serviceüberprüfungen |
| Zugriff, Asset-Management und MFA | Annex A-Kontrollen zu Zugriff, Assets und Identität | Asset-Inventar, Berechtigungsüberprüfung, MFA-Berichte, Nachweise zu privilegiertem Zugriff |
Die Klauseln 8.1 bis 8.3, 9.1 bis 9.3 und 10.1 bis 10.2 schließen den operativen Regelkreis. Sie verlangen geplante operative Steuerung, Risikoneubewertung, Umsetzung von Behandlungsplänen, Überwachung und Messung, Internes Audit, Managementbewertung, kontinuierliche Verbesserung und Korrekturmaßnahmen. ISO/IEC 27001:2022 wird damit zur Nachweismaschine für NIS2 Article 21 – nicht nur zu einem Zertifizierungsabzeichen.
Cyberhygiene in ISO-Kontrollanker übersetzen
„Cyberhygiene“ ist bewusst breit angelegt. Für Auditoren muss sie in konkrete, testbare Kontrollen übersetzt werden. Clarysec beginnt NIS2 Article 21-Nachweise zu Cyberhygiene üblicherweise mit drei praktischen Kontrollankern aus ISO/IEC 27002:2022, interpretiert durch Zenith Controls: The Cross-Compliance Guide.
Der erste Anker ist ISO/IEC 27002:2022 control 6.3, Sensibilisierung, Schulung und Training zur Informationssicherheit. In Zenith Controls wird 6.3 als präventive Kontrolle behandelt, die Vertraulichkeit, Integrität und Verfügbarkeit unterstützt. Ihre operative Fähigkeit ist HR-Sicherheit, ihr Cybersicherheitskonzept ist Protect. Damit wird Awareness als Schutzkontrolle gerahmt, nicht als Kommunikationsmaßnahme.
Zenith Controls zeigt außerdem, wie 6.3 von anderen Kontrollen abhängt und diese verstärkt. Es besteht ein Bezug zu 5.2 Rollen und Verantwortlichkeiten für Informationssicherheit, weil Schulung zugewiesene Verantwortlichkeiten widerspiegeln muss. Es besteht ein Bezug zu 6.8 Meldung von Informationssicherheitsereignissen, weil Mitarbeitende nicht melden können, was sie nicht erkennen. Es besteht ein Bezug zu 8.16 Überwachungsaktivitäten, weil SOC-Analysten und Betriebspersonal geschult sein müssen, Anomalien zu erkennen und Response-Protokolle zu befolgen. Es besteht ein Bezug zu 5.36 Einhaltung von Richtlinien, Regeln und Standards für Informationssicherheit, weil Richtlinien nur funktionieren, wenn Menschen sie verstehen.
Wie Zenith Controls zu ISO/IEC 27002:2022 control 6.3 festhält:
Einhaltung hängt von Awareness ab. 6.3 stellt sicher, dass Mitarbeitende Sicherheitsrichtlinien kennen und ihre persönliche Verantwortung für deren Einhaltung verstehen. Regelmäßige Schulung und Training mindern das Risiko unbeabsichtigter Richtlinienverstöße aufgrund fehlender Kenntnis.
Der zweite Anker ist ISO/IEC 27002:2022 control 5.10, zulässige Nutzung von Informationen und anderen zugehörigen Assets. Cyberhygiene hängt davon ab, dass Menschen verstehen, was sie mit Endpunkten, Cloud-Laufwerken, SaaS-Werkzeugen, Kollaborationsplattformen, Wechselmedien, Produktionsdaten, Testdaten und KI-gestützten Werkzeugen tun dürfen. Zenith Controls ordnet 5.10 als präventive Kontrolle über Asset-Management und Informationsschutz hinweg ein. In der Praxis ist der Nachweis zur zulässigen Nutzung nicht nur eine unterzeichnete Richtlinie. Er umfasst den Beleg, dass die Richtlinie die tatsächliche Asset-Landschaft abdeckt, das Onboarding eine Bestätigung enthält, Überwachung die Durchsetzung unterstützt und Ausnahmen behandelt werden.
Der dritte Anker ist ISO/IEC 27002:2022 control 5.36, Einhaltung von Richtlinien, Regeln und Standards für Informationssicherheit. Dies ist die Audit-Brücke. Zenith Controls ordnet 5.36 als präventive Governance- und Assurance-Kontrolle ein. Sie ist mit 5.1 Richtlinien für Informationssicherheit, 6.4 Disziplinarverfahren, 5.35 unabhängiger Überprüfung der Informationssicherheit, 5.2 Rollen und Verantwortlichkeiten, 5.25 Bewertung und Entscheidung zu Informationssicherheitsereignissen, 8.15 Protokollierung, 8.16 Überwachungsaktivitäten und 5.33 Schutz von Aufzeichnungen verbunden.
Für NIS2 Article 21 ist das entscheidend. Aufsichtsbehörden und Auditoren fragen nicht nur, ob eine Richtlinie existiert. Sie fragen, ob die Einhaltung überwacht wird, Verstöße erkannt werden, Nachweise geschützt sind, Korrekturmaßnahmen erfolgen und das Management die Ergebnisse sieht.
Ein NIS2-Nachweispaket für Cyberhygiene und Schulung aufbauen
Betrachten wir einen mittelgroßen SaaS-Anbieter, der sich zugleich auf NIS2-Bereitschaft und ein ISO/IEC 27001:2022-Überwachungsaudit vorbereitet. Die Organisation hat 310 Mitarbeitende, darunter Entwickler, SREs, Support-Mitarbeitende, Vertriebspersonal, Auftragnehmer und Führungskräfte. Sie erbringt cloudbasierte Workflow-Services für EU-Kunden und stützt sich auf einen Hyperscale-Cloud-Anbieter, zwei Identitätsplattformen, einen ausgelagerten MDR-Anbieter und mehrere unterbeauftragte Support-Werkzeuge.
Der Compliance-Verantwortliche verfügt über Schulungsexporte aus dem LMS, diese sind jedoch nicht NIS2 Article 21, ISO-Kontrollen, Geschäftsrollen oder Risikoszenarien zugeordnet. Ein praktischer Sprint zur Mängelbehebung erzeugt ein Nachweispaket für Cyberhygiene und Schulung mit sechs Komponenten.
| Nachweiskomponente | Was sie belegt | Verantwortlicher | Audit-Test |
|---|---|---|---|
| Rollenbasierte Schulungsmatrix | Schulung ist auf Verantwortlichkeiten und Risikoexposition abgestimmt | ISMS-Manager und HR | Rollen stichprobenartig prüfen und verifizieren, dass erforderliche Module zugewiesen wurden |
| Jährlicher Schulungsplan | Kompetenz und Awareness sind geplant, nicht ad hoc | ISMS-Manager | Termine, Themen, Zielgruppe, Genehmigung und Abschlussziele prüfen |
| LMS-Abschlussexport | Mitarbeitende haben zugewiesene Schulungen abgeschlossen | HR oder People Operations | Mitarbeitendenliste mit Abschlussbericht, Eintritts-, Wechsel- und Austrittsprozesse abgleichen |
| Bericht zur Phishing-Simulation | Wirksamkeit der Awareness wird gemessen | Security Operations | Kampagnenergebnisse, wiederholte Klicker und Nachschulung prüfen |
| Protokoll der Richtlinienbestätigung | Mitarbeitende haben Regeln und Verantwortlichkeiten akzeptiert | HR und Compliance | Bestätigung von Sicherheitsrichtlinie, Richtlinie zur zulässigen Nutzung und Vorfallmelderichtlinie prüfen |
| Zusammenfassung der Managementbewertung | Führung überwacht Trends und Korrekturmaßnahmen | CISO und Executive Sponsor | Verifizieren, dass Protokolle Kennzahlen, Ausnahmen, Risiken und Entscheidungen enthalten |
Der Schlüssel ist Nachvollziehbarkeit.
Beginnen Sie mit NIS2 Article 21(2)(g), grundlegenden Cyberhygienepraktiken und Cybersicherheitsschulung. Verknüpfen Sie dies mit ISO/IEC 27001:2022-Klauseln 7.2 und 7.3 zu Kompetenz und Awareness, Klauseln 9.1 und 9.2 zu Überwachung und Audit sowie Annex A-Kontrollen einschließlich Awareness, zulässiger Nutzung, Schwachstellenmanagement, Konfigurationsmanagement, Backups, Protokollierung, Überwachung, Kryptografie, Zugriffskontrolle und Vorfallmanagement. Verknüpfen Sie anschließend die Nachweise mit dem Risikoregister.
| Rollengruppe | NIS2-Cyberhygiene-Risiko | Erforderliche Schulung | Nachweis |
|---|---|---|---|
| Alle Mitarbeitenden | Phishing, schwache Passwörter, unzureichende Vorfallmeldung, unsachgemäßer Datenumgang | Basisschulung zur Informationssicherheit, Passwortsicherheit, MFA, Datenschutz, Vorfallmeldung | LMS-Abschluss, Quiz-Ergebnis, Richtlinienbestätigung |
| Führungskräfte | Risikoakzeptanz, rechtliche Haftung, Krisenentscheidungen, Aufsicht über Berichterstattung | Governance-Pflichten, NIS2-Verantwortlichkeiten des Managements, Vorfalleskalation, Risikobereitschaft | Teilnahme am Executive-Workshop, Unterlagen für das Leitungsorgan, Entscheidungsprotokoll |
| Entwickler | Schwachstellen, unsicherer Code, Offenlegung von Geheimnissen, unsichere Testdaten | sichere Programmierung, Abhängigkeitsmanagement, Offenlegung von Schwachstellen, Datenminimierung | Schulungsaufzeichnung, sichere SDLC-Checkliste, Stichproben aus Codeprüfungen |
| SRE und IT-Betrieb | Fehlkonfiguration, Patch-Verzug, Backup-Fehler, Protokollierungslücken | Patch-Management, sichere Konfiguration, Backup-Wiederherstellung, Überwachung, Incident Response | Patch-Bericht, Backup-Test, SIEM-Warnmeldungsnachweis, Tabletop-Bericht |
| Kundensupport | Social Engineering, unbefugte Offenlegung, Datenschutzverletzung | Identitätsprüfung, Datenverarbeitung, Eskalation, Meldung von Verstößen | CRM-Berechtigungsüberprüfung, Schulungsaufzeichnung, Support-QA-Stichprobe |
| Auftragnehmer mit Zugriff | Unklare Verpflichtungen, ungesteuerter Zugriff, Datenabfluss | Kompaktes Sicherheits-Onboarding, zulässige Nutzung, Meldeweg | Bestätigung durch Auftragnehmer, Zugriffsgenehmigung, Offboarding-Nachweis |
Die Enterprise-Information Security Awareness and Training Policy unterstützt diese Struktur. Klausel 5.1.2.4 nennt ausdrücklich Schulungsthemen für Führungskräfte:
Führungskräfte (z. B. Governance, Risikoakzeptanz, rechtliche Verpflichtungen)
Diese Zeile ist unter NIS2 Article 20 relevant, weil Managementschulung nicht optional ist. Wenn das Leitungsorgan Maßnahmen zum Risikomanagement genehmigt, aber Risikoakzeptanz, Vorfallschwellen oder Aufsichtsroutinen nicht erläutern kann, bricht die Nachweiskette.
Clarysecs Information Security Policy - SME, Klausel 6.4.1, zeigt, wie Cyberhygiene zu täglichem Kontrollverhalten wird:
Verbindliche Sicherheitskontrollen müssen konsistent angewendet werden, einschließlich regelmäßiger Backups, Antiviren-Aktualisierungen, starker Passwörter und sicherer Entsorgung sensibler Dokumente.
Das ist eine prägnante KMU-Formulierung praktischer Cyberhygiene. Der Auditor wird weiterhin Nachweise erwarten, etwa Berichte zu Backup-Jobs, EDR-Abdeckung, Passwort- oder MFA-Konfiguration und Protokolle zur sicheren Entsorgung; die Richtlinie legt jedoch das erwartete Verhalten fest.
NIS2 Article 21 auf Auditnachweise abbilden
Auditoren prüfen den Kontrollbetrieb, nicht Slogans. Sie folgen dem roten Faden von rechtlicher Anforderung über ISMS-Geltungsbereich, Risikobeurteilung, Erklärung zur Anwendbarkeit, Richtlinie, Verfahren, Nachweis und Managementbewertung.
| Bereich von NIS2 Article 21 | Zuordnung zu ISO/IEC 27001:2022 oder ISO/IEC 27002:2022 | Clarysec-Referenz | Primärer Auditnachweis |
|---|---|---|---|
| Cybersicherheitsschulung | Klausel 7.2, Klausel 7.3, A.6.3 Sensibilisierung, Schulung und Training zur Informationssicherheit | Information Security Awareness and Training Policy | Schulungsrichtlinie, Jahresplan, LMS-Aufzeichnungen, Phishing-Ergebnisse, Onboarding-Checkliste, Schulungsprotokolle des Leitungsorgans |
| Zulässiges Cyberhygiene-Verhalten | A.5.10 Zulässige Nutzung von Informationen und anderen zugehörigen Assets | Information Security Policy - SME | Bestätigung der zulässigen Nutzung, Onboarding-Aufzeichnungen, Ausnahmeaufzeichnungen, Überwachungsnachweise |
| Schwachstellen- und Patch-Hygiene | A.8.8 Management technischer Schwachstellen | Zenith Blueprint Schritt 19 | Schwachstellenscans, Patch-Berichte, Tickets zur Mängelbehebung, Aufzeichnungen zur Risikoakzeptanz |
| Sichere Konfiguration | A.8.9 Konfigurationsmanagement | Zenith Blueprint Schritt 19 | sichere Baselines, Konfigurationsprüfungen, Änderungsgenehmigungen, Abweichungsberichte |
| Resilienz und Wiederherstellung | A.8.13 Informationssicherung | Information Security Policy - SME | Backup-Protokolle, Wiederherstellungstests, Überprüfungen von Backup-Fehlern, Wiederherstellungsnachweise |
| Erkennung und Reaktion | A.8.15 Protokollierung, A.8.16 Überwachungsaktivitäten, A.6.8 Meldung von Informationssicherheitsereignissen | Zenith Controls | SIEM-Warnmeldungen, Überwachungsverfahren, Schulung zur Vorfallmeldung, Tabletop-Ergebnisse |
| Kryptografischer Schutz | A.8.24 Einsatz von Kryptografie | ISO/IEC 27001:2022 Annex A | Verschlüsselungsstandards, Nachweise zum Schlüsselmanagement, TLS-Konfiguration, Berichte zur Speicherverschlüsselung |
| Integrität von Nachweisen | A.5.33 Schutz von Aufzeichnungen | Zenith Controls | kontrollierte Auditordner, Export-Zeitstempel, Aufbewahrungsregeln, Zugriffsprotokolle |
Eine Aufsichtsbehörde verwendet möglicherweise keine ISO-Terminologie, aber der Nachweispfad bleibt derselbe. Zeigen Sie, dass die Anforderung identifiziert, risikobeurteilt, behandelt, umgesetzt, überwacht, an das Management berichtet und verbessert wird.
Mit dem Zenith Blueprint vom Plan zum Nachweis gelangen
Der Zenith Blueprint: An Auditor’s 30-Step Roadmap gibt Teams einen praktischen Weg von der Absicht zum Nachweis. In der Phase ISMS Foundation & Leadership, Schritt 5, Communication, Awareness, and Competence, weist der Blueprint Organisationen an, erforderliche Kompetenzen zu ermitteln, aktuelle Kompetenzen zu bewerten, Schulungen zur Schließung von Lücken bereitzustellen, Kompetenzaufzeichnungen zu führen und Kompetenz als laufende Aufgabe zu behandeln.
Die Maßnahme im Blueprint ist bewusst operativ formuliert:
Führen Sie eine kurze Schulungsbedarfsanalyse durch. Listen Sie Ihre wesentlichen ISMS-Rollen (aus Schritt 4) auf und notieren Sie für jede Rolle bekannte Schulungen oder Zertifizierungen sowie zusätzliche Schulungen, die sinnvoll sein könnten. Listen Sie außerdem allgemeine Themen zur Sicherheits-Sensibilisierung auf, die für alle Mitarbeitenden erforderlich sind. Erstellen Sie daraus einen einfachen Schulungsplan für das nächste Jahr – z. B. „Q1: Security Awareness für sämtliches Personal; Q2: Fortgeschrittene Incident-Response-Schulung für IT; Q3: ISO 27001-Schulung für interne Auditoren für zwei Teammitglieder; …“.
In der Phase Controls in Action, Schritt 15, People Controls I, empfiehlt der Zenith Blueprint verpflichtende jährliche Schulung für alle Mitarbeitenden, rollenspezifische Module, Sicherheits-Onboarding für neue Mitarbeitende innerhalb der ersten Woche, simulierte Phishing-Kampagnen, Newsletter, Team-Briefings, Nachweise der Teilnahme, gezielte Sicherheitsbulletins nach neu auftretenden Bedrohungen sowie Schulung für Auftragnehmer oder Dritte mit Zugriff.
Schritt 16, People Controls II, warnt, dass Auditoren die Umsetzung prüfen, nicht nur die Dokumentation. Bei Remote-Arbeit können Auditoren die Remote-Work-Richtlinie, Nachweise zu VPN oder Endpoint-Verschlüsselung, MDM-Umsetzung, BYOD-Beschränkungen und Schulungsaufzeichnungen zu Vorsichtsmaßnahmen bei Remote-Arbeit anfordern. Wenn hybride Arbeit Teil des Betriebsmodells ist, sollten NIS2-Schulungsnachweise die sichere Wi-Fi-Nutzung, Gerätesperrung, genehmigte Speicherorte, MFA und die Meldung verdächtiger Aktivitäten aus Heimnetzwerken umfassen.
Schritt 19, Technological Controls I, verknüpft Cyberhygiene mit der technischen Kontrollebene. Der Zenith Blueprint empfiehlt die Prüfung von Patch-Berichten, Schwachstellenscans, sicheren Baselines, EDR-Abdeckung, Malware-Protokollen, DLP-Warnmeldungen, Backup-Wiederherstellungen, Redundanznachweisen, Verbesserungen der Protokollierung und Zeitsynchronisierung. Article 21(2)(g) kann nicht isoliert beurteilt werden. Eine geschulte Belegschaft benötigt weiterhin gepatchte Endpunkte, überwachte Protokolle, getestete Backups und sichere Konfigurationen.
Den Schulungsplan mit ISO/IEC 27005:2022 risikobasiert gestalten
Eine häufige Auditschwäche ist ein generischer Schulungsplan, der für Entwickler, Finanzabteilung, Support, Führungskräfte und Auftragnehmer gleich aussieht. ISO/IEC 27005:2022 hilft, diese Schwäche zu vermeiden, indem Schulung als Teil der Risikobehandlung verstanden wird.
Klausel 6.2 empfiehlt, die grundlegenden Anforderungen relevanter interessierter Parteien und den Einhaltungsstatus zu identifizieren, einschließlich ISO/IEC 27001:2022 Annex A, anderer ISMS-Standards, branchenspezifischer Anforderungen, nationaler und internationaler Vorschriften, interner Sicherheitsregeln, vertraglicher Sicherheitskontrollen und bereits durch frühere Risikobehandlung umgesetzter Kontrollen. Das unterstützt ein einziges Anforderungsregister statt separater Tabellen für NIS2, ISO, DORA, GDPR, Kunden und Versicherer.
Die Klauseln 6.4.1 bis 6.4.3 erläutern, dass Kriterien für Risikoakzeptanz und Bewertung rechtliche und regulatorische Aspekte, operative Tätigkeiten, Lieferantenbeziehungen, technologische und finanzielle Einschränkungen, Datenschutz, Reputationsschäden, Vertragsverletzungen, Service-Level-Verstöße und Auswirkungen auf Dritte berücksichtigen sollten. Ein Phishing-Vorfall, der ein internes Newsletter-System betrifft, unterscheidet sich von einer Kompromittierung von Zugangsdaten, die einen Managed Security Service, eine Kundensupport-Plattform, eine Zahlungsintegration oder den DNS-Betrieb betrifft.
Die Klauseln 7.1 bis 7.2.2 verlangen eine konsistente, reproduzierbare Risikobeurteilung, einschließlich Risiken für Vertraulichkeit, Integrität und Verfügbarkeit sowie benannter Risikoverantwortlicher. Die Klauseln 8.2 bis 8.6 leiten anschließend die Auswahl der Behandlung, Kontrollbestimmung, den Abgleich mit Annex A, die Dokumentation der Erklärung zur Anwendbarkeit und die Detaillierung des Behandlungsplans.
Schulung ist eine Behandlung, aber nicht die einzige. Wenn wiederholte Phishing-Simulationen zeigen, dass Finanzanwender anfällig für Rechnungsbetrug sind, kann der Behandlungsplan Auffrischungsschulung, einen stärkeren Workflow zur Zahlungsgenehmigung, Conditional Access, Überwachung von Postfachregeln und Fraud-Szenarioübungen für Führungskräfte umfassen.
Die Klauseln 9.1, 9.2, 10.4.2, 10.5.1 und 10.5.2 betonen geplante Neubewertung, dokumentierte Methoden, Wirksamkeitsüberwachung und Aktualisierungen bei neuen Schwachstellen, Assets, Technologienutzung, Gesetzen, Vorfällen oder Änderungen der Risikobereitschaft. Das belegt, dass die Organisation ihren Schulungsplan nicht einmal jährlich einfriert.
Dieselben Nachweise für NIS2, DORA, GDPR, NIST und COBIT wiederverwenden
Das stärkste NIS2-Nachweispaket sollte mehrere Assurance-Gespräche unterstützen.
NIS2 Article 4 erkennt an, dass sektorspezifische Rechtsakte der Union entsprechende NIS2-Pflichten zum Risikomanagement und zur Berichterstattung ersetzen können, wenn sie in ihrer Wirkung mindestens gleichwertig sind. Erwägungsgrund 28 bezeichnet DORA als sektorspezifisches Regime für erfasste Finanzunternehmen. Für erfasste Finanzunternehmen gelten DORAs IKT-Risikomanagement, Vorfallmanagement, Resilienztests, Informationsaustausch und Regeln zum IKT-Drittparteienrisiko anstelle der entsprechenden NIS2-Bestimmungen. NIS2 bleibt für Einrichtungen außerhalb von DORA sowie für IKT-Drittdienstleister wie Cloud-Anbieter, MSPs und MSSPs hochrelevant.
DORA verstärkt dieselbe Managementsystem-Logik. Articles 4 bis 6 verlangen verhältnismäßiges IKT-Risikomanagement, Verantwortung des Leitungsorgans, klare IKT-Rollen, eine Strategie für digitale operationale Resilienz, IKT-Auditpläne, Budgets und Ressourcen für Awareness oder Schulung. Articles 8 bis 13 verlangen die Identifizierung von Assets und Abhängigkeiten, Schutz und Prävention, Zugriffskontrollen, starke Authentifizierung, Backups, Kontinuität, Reaktion und Wiederherstellung, Lernen nach Vorfällen, Senior-IKT-Berichterstattung sowie verpflichtende Schulungen zu IKT-Sicherheitsbewusstsein und digitaler operationaler Resilienz. Articles 17 bis 23 verlangen strukturiertes Vorfallmanagement, Klassifizierung, Eskalation und Kundenkommunikation. Articles 24 bis 30 verbinden Tests mit Lieferanten-Governance, Due Diligence, Verträgen, Auditrechten und Exit-Strategien.
GDPR ergänzt die Datenschutz-Rechenschaftsebene. Article 5 verlangt Integrität und Vertraulichkeit durch geeignete technische und organisatorische Maßnahmen, und Article 5(2) verpflichtet Verantwortliche, die Einhaltung nachzuweisen. Article 6 verlangt eine Rechtsgrundlage für die Verarbeitung, während Articles 9 und 10 strengere Schutzmaßnahmen für besondere Kategorien und Daten im Zusammenhang mit Straftaten vorsehen. Für einen SaaS-Anbieter sollten Schulungsnachweise Datenschutz, Datenminimierung, sichere Offenlegung, Eskalation von Datenschutzverletzungen und rollenspezifischen Umgang mit Kundendaten umfassen.
NIST-orientierte und COBIT 2019-Prüfungsbrillen treten häufig bei Customer Assurance, Internem Audit und Berichterstattung an das Leitungsorgan auf. Ein NIST-orientierter Prüfer wird in der Regel fragen, ob Awareness und Schulung risikobasiert, rollenbasiert, gemessen und mit Incident Response, Identität, Asset-Management und kontinuierlicher Überwachung verbunden sind. Ein COBIT 2019- oder ISACA-orientierter Auditor wird sich auf Governance, Rechenschaftspflicht, Leistungskennzahlen, Managementaufsicht, Prozessverantwortung und Ausrichtung an Unternehmenszielen konzentrieren.
| Framework-Perspektive | Worauf der Auditor achtet | Vorzubereitende Nachweise |
|---|---|---|
| NIS2 Article 21 | Verhältnismäßige Cyberrisikomaßnahmen, Cyberhygiene, Schulung, Managementaufsicht | Zuordnung zu Article 21, Genehmigung durch das Leitungsorgan, Schulungsplan, Cyberhygiene-KPIs, Nachweise zur Vorfallsbereitschaft |
| ISO/IEC 27001:2022 | ISMS-Geltungsbereich, Risikobehandlung, Kompetenz, Awareness, Überwachung, Internes Audit, Verbesserung | Geltungsbereich, Risikoregister, SoA, Kompetenzmatrix, Schulungsaufzeichnungen, Auditbericht, Korrekturmaßnahmen |
| DORA | IKT-Risikolebenszyklus, Resilienzschulung, Tests, Vorfallklassifizierung, IKT-Drittparteienrisiko | IKT-Risikomanagementrahmen, Resilienzschulung, Testergebnisse, Vorfallverfahren, Lieferantenregister |
| GDPR | Rechenschaftspflicht, Datenschutz, Awareness für Datenschutzverletzungen, Vertraulichkeit, Minimierung | Datenschutzschulung, Rollenübersicht für Verarbeitung, Nachweise zur Eskalation von Verstößen, Verfahren zur Datenverarbeitung |
| NIST-orientierte Überprüfung | Rollenbasierte Awareness, messbarer Kontrollbetrieb, Überwachung, Reaktion | Rollenmatrix, Simulationskennzahlen, Zugriffsnachweise, Protokollierungsnachweise, Tabletop-Ergebnisse |
| COBIT 2019- oder ISACA-Überprüfung | Governance, Prozessverantwortung, Leistung, Kontrollsicherstellung, Managementberichterstattung | RACI, KPI-Dashboard, Protokolle der Managementbewertung, internes Auditprogramm, Nachverfolgung der Mängelbehebung |
Der praktische Nutzen ist einfach: ein Nachweispaket, mehrere Audit-Narrative.
Wie Auditoren dieselbe Kontrolle testen
Ein ISO/IEC 27001:2022-Auditor beginnt beim ISMS. Er wird fragen, ob Anforderungen an Kompetenz und Awareness bestimmt sind, ob Personal seine Verantwortlichkeiten versteht, ob Aufzeichnungen aufbewahrt werden, ob interne Audits den Prozess prüfen und ob die Managementbewertung Leistung und Verbesserung berücksichtigt. Er kann Mitarbeitende stichprobenartig befragen, wie sie einen Vorfall melden, wie MFA genutzt wird, welche Regeln für zulässige Nutzung gelten oder was nach dem Erhalt einer verdächtigen E-Mail zu tun ist.
Eine NIS2-Aufsichtsprüfung ist stärker ergebnis- und servicerisikoorientiert. Der Prüfer kann fragen, wie Cyberhygiene das Risiko für die Leistungserbringung reduziert, wie das Management die Maßnahmen genehmigt hat, wie Schulung auf wesentliche Dienste zugeschnitten ist, wie Personal Dritter abgedeckt wird, wie Wirksamkeit bewertet wird und wie die Organisation erhebliche Cyberbedrohungen oder Vorfälle nach Article 23 kommunizieren würde. Da Article 23 bei erheblichen Vorfällen eine Frühwarnung innerhalb von 24 Stunden und eine Vorfallmeldung innerhalb von 72 Stunden vorsieht, muss Schulung Erkennung und Eskalationsgeschwindigkeit umfassen.
Ein DORA-Auditor für ein Finanzunternehmen verknüpft Awareness mit digitaler operationaler Resilienz. Er kann fragen, ob IKT-Sicherheitsbewusstsein und Resilienzschulung verpflichtend sind, ob Senior-IKT-Berichterstattung das Leitungsorgan erreicht, ob Kriterien zur Vorfallklassifizierung verstanden werden, ob Krisenkommunikation geübt wurde und ob Drittanbieter an Schulungen teilnehmen, sofern dies vertraglich relevant ist.
Ein GDPR-Auditor oder Datenschutzprüfer konzentriert sich darauf, ob Mitarbeitende personenbezogene Daten, Verarbeitungsrollen, Vertraulichkeit, Erkennung von Verstößen, Eskalation von Verstößen, Datenminimierung und sichere Offenlegung verstehen. Er wird erwarten, dass Schulung für Support, HR, Entwickler und Administratoren variiert, weil diese Rollen unterschiedliche Datenschutzrisiken erzeugen.
Ein COBIT 2019- oder ISACA-Interner Auditor wird fragen, wer den Prozess verantwortet, welche Ziele er unterstützt, wie Leistung gemessen wird, welche Ausnahmen bestehen, ob Korrekturmaßnahmen nachverfolgt werden und ob das Management aussagekräftige Berichte statt reiner Vanity Metrics erhält.
Häufige Feststellungen zur NIS2-Schulungsbereitschaft
Die häufigste Feststellung ist eine unvollständige Abdeckung der Population. Der LMS-Bericht zeigt 94 % Abschluss, aber die fehlenden 6 % umfassen privilegierte Administratoren, Auftragnehmer oder neue Mitarbeitende. Auditoren akzeptieren keine Prozentzahl, ohne zu verstehen, wer fehlt und warum.
Die zweite Feststellung ist mangelnde Rollensensitivität. Alle erhalten dasselbe Jahresmodul, aber Entwickler werden nicht zu sicherer Programmierung geschult, Support-Mitarbeitende nicht zur Identitätsprüfung und Führungskräfte nicht zu Governance-Pflichten oder Krisenentscheidungen. NIS2 Article 20 und Article 21 machen das schwer vertretbar.
Die dritte Feststellung ist schwache Wirksamkeitsnachweise. Abschluss ist nicht gleich Verständnis oder Verhaltensänderung. Auditoren erwarten zunehmend Quiz-Ergebnisse, Phishing-Trends, Trends bei Vorfallmeldungen, Erkenntnisse aus Tabletop-Übungen, Rückgang wiederholter Fehler und Korrekturmaßnahmen.
Die vierte Feststellung ist entkoppelte technische Hygiene. Die Schulung sagt „verdächtige Aktivitäten melden“, aber es gibt keinen getesteten Meldekanal. Die Schulung sagt „MFA nutzen“, aber Servicekonten umgehen MFA. Die Schulung sagt „Daten schützen“, aber Produktionsdaten erscheinen in Testumgebungen. Article 21 erwartet ein Kontrollsystem, keine Slogans.
Die fünfte Feststellung ist geringe Integrität von Aufzeichnungen. Nachweise werden in einer editierbaren Tabelle ohne Verantwortlichen, Export-Zeitstempel, Zugriffskontrolle oder Abgleich mit HR-Aufzeichnungen gespeichert. Die Kontrollbeziehungen in ISO/IEC 27002:2022, wie in Zenith Controls dargestellt, verweisen aus gutem Grund zurück auf den Schutz von Aufzeichnungen. Nachweise müssen vertrauenswürdig sein.
Ein 10-tägiger Sprint zur Mängelbehebung für auditfähige Nachweise
Wenn Ihre Organisation unter Druck steht, beginnen Sie mit einem fokussierten Sprint.
| Tag | Maßnahme | Ergebnis |
|---|---|---|
| Tag 1 | NIS2-Anwendbarkeit und Service-Geltungsbereich bestätigen | Entscheidung wesentliche oder wichtige Einrichtung, betroffene Dienste, unterstützende Funktionen |
| Tag 2 | Anforderungsregister aufbauen | NIS2 Articles 20, 21, 23, ISO-Klauseln, Annex A-Kontrollen, GDPR, DORA, Verträge, Versicherungsanforderungen |
| Tag 3 | Rollenbasierte Schulungsmatrix erstellen | Schulung auf Jobfamilien, privilegierten Zugriff, Entwickler, Support, Auftragnehmer und Führungskräfte abgebildet |
| Tag 4 | Schulung auf Risikoszenarien abbilden | Phishing, Kompromittierung von Zugangsdaten, Datenabfluss, Ransomware, Fehlkonfiguration, Lieferantenkompromittierung, Datenschutzverletzung |
| Tag 5 | Nachweise sammeln | LMS-Exporte, Bestätigungen, Phishing-Berichte, Onboarding-Aufzeichnungen, Auftragnehmeraufzeichnungen, Teilnahme von Führungskräften |
| Tag 6 | Nachweise abgleichen | Schulungspopulation gegen HR-Aufzeichnungen, Identitätsgruppen, privilegierte Konten und Auftragnehmerlisten geprüft |
| Tag 7 | Verständnis der Mitarbeitenden testen | Interviewnotizen zeigen, dass Personal Vorfallmeldung, MFA-Erwartungen, Umgang mit verdächtigen E-Mails und Datenregeln kennt |
| Tag 8 | Technische Hygienekontrollen prüfen | Nachweise zu MFA, Backups, EDR, Patching, Schwachstellenscans, Protokollierung, Überwachung, sicherer Konfiguration |
| Tag 9 | Paket zur Managementbewertung erstellen | Abschluss, Ausnahmen, Phishing-Trends, offene Maßnahmen, Hochrisikorollen, Vorfälle, Budgetbedarf |
| Tag 10 | Risikobehandlungsplan und SoA aktualisieren | Restrisiko, Verantwortliche, Fristen, Wirksamkeitsmaßnahmen, Aktualisierungen der Erklärung zur Anwendbarkeit |
Dieser Sprint schafft eine belastbare Nachweisbasis. Er ersetzt nicht den laufenden ISMS-Betrieb, schafft aber die Struktur, die Aufsichtsbehörden und Auditoren erwarten.
Wie ein guter Zustand aussieht
Ein ausgereiftes Programm für Cyberhygiene und Schulung nach NIS2 Article 21 hat fünf Merkmale.
Erstens ist es für das Leitungsorgan sichtbar. Das Management genehmigt den Ansatz, sieht aussagekräftige Kennzahlen, versteht Restrisiken und finanziert Verbesserungen.
Zweitens ist es risikobasiert. Schulung unterscheidet sich nach Rolle, Servicekritikalität, Zugriffsebene, Datenexposition und Verantwortung bei Vorfällen.
Drittens ist es nachweisgeführt. Abschlussaufzeichnungen, Bestätigungen, Simulationen, Tabletop-Übungen, technische Hygieneberichte und Korrekturmaßnahmen sind vollständig, abgeglichen und geschützt.
Viertens ist es cross-compliance-fähig. Dieselben Nachweise unterstützen NIS2, ISO/IEC 27001:2022, DORA, GDPR, NIST-orientierte Assurance und Governance-Berichterstattung nach COBIT 2019.
Fünftens verbessert es sich. Vorfälle, Auditfeststellungen, Gesetzesänderungen, Lieferantenänderungen, neue Technologien und aufkommende Bedrohungen aktualisieren den Schulungsplan.
Dieser letzte Punkt ist der Unterschied zwischen Compliance-Theater und operationaler Resilienz.
Nächste Schritte mit Clarysec
Wenn Ihr Führungsteam fragt: „Können wir Cyberhygiene und Cybersicherheitsschulung nach NIS2 Article 21 morgen nachweisen?“, kann Clarysec Ihnen helfen, von verstreuten Nachweisen zu einem auditfähigen ISMS-Nachweispaket zu gelangen.
Beginnen Sie mit dem Zenith Blueprint, um Kompetenz, Awareness, personelle Kontrollen, Praktiken für Remote-Arbeit, Schwachstellenmanagement, Backups, Protokollierung, Überwachung und technische Hygienemaßnahmen entlang der 30-Schritte-Roadmap zu strukturieren.
Nutzen Sie Zenith Controls, um Awareness, zulässige Nutzung, Einhaltung, Überwachung, Aufzeichnungen und Assurance-Erwartungen nach ISO/IEC 27002:2022 über Auditgespräche zu NIS2, ISO/IEC 27001:2022, DORA, GDPR, NIST und COBIT 2019 hinweg querzuverweisen.
Operationalisieren Sie die Anforderungen anschließend über Clarysecs Information Security Awareness and Training Policy, Information Security Awareness and Training Policy - SME und Information Security Policy - SME.
Ihre unmittelbare Maßnahme ist einfach: Erstellen Sie diese Woche eine einseitige Nachweiskarte für Schulung nach NIS2 Article 21. Listen Sie Rollen im Geltungsbereich, zugewiesene Schulungen, Abschlussnachweise, Richtlinienbestätigungen, Phishing-Kennzahlen, technische Cyberhygiene-Nachweise, Datum der Managementbewertung und Korrekturmaßnahmen auf. Wenn eine Zelle leer ist, haben Sie Ihre nächste Audit-Maßnahme zur Mängelbehebung gefunden.
Für einen schnelleren Weg laden Sie die Clarysec-Richtlinienvorlagen herunter, nutzen Sie die Zenith Blueprint-Roadmap und planen Sie eine NIS2-Bewertung der Nachweisbereitschaft, um Ihre aktuellen Schulungsaufzeichnungen, Cyberhygiene-Kontrollen und Ihr ISO/IEC 27001:2022-ISMS in eine belastbare Auditakte zu überführen.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
