Blog

CyberComply testen

Summary

ISO/IEC 27001, NIS2 und der EU AI Act verlangen in erster Linie keine Tools, sondern nachvollziehbare, dokumentierte Ergebnisse.
Diese Ergebnisse erscheinen in Form von Governance-Artefakten wie Richtlinien, Risikoanalysen, Nachweisen implementierter Kontrollen, Audit-Trails und Managementfreigaben.

Zentrale Artefakte über alle drei Rahmenwerke hinweg:

  • dokumentierte Richtlinien und Governance-Regeln

  • strukturierte Risikoanalysen und Risikobehandlungspläne

  • Nachweise implementierter Sicherheitsmaßnahmen

  • Rollen-, Verantwortlichkeits- und Zuständigkeitsdokumentation

  • Mechanismen für kontinuierliche Überprüfung und Aktualisierung

  • auditfähige Dokumentation

Warum der Fokus auf Artefakte in der Regulierung zunimmt

Moderne Cybersecurity- und KI-Regulierung ist ergebnisorientiert.

Aufsichtsbehörden und Auditoren prüfen nicht:

  • welches Tool verwendet wurde

  • wie viel Aufwand investiert wurde

Sie prüfen:

  • ob Entscheidungen dokumentiert sind

  • ob Risiken systematisch gemanagt werden

  • ob Governance tatsächlich umgesetzt wird

Artefakte sind der sichtbare Nachweis dafür, dass das Management Kontrolle über Sicherheits- und Compliance-Prozesse hat.

Welche auditierbaren Artefakte ISO/IEC 27001 verlangt

ISO/IEC 27001 etabliert ein Managementsystem für Informationssicherheit.
Dieses System wird durch dokumentierte Ergebnisse sichtbar.

Zentrale Governance-Artefakte nach ISO 27001

  • Information Security Policy

  • Definition des ISMS-Geltungsbereichs

  • Methodik zur Risikoanalyse

  • Ergebnisse der Risikoanalyse

  • Risikobehandlungsplan

  • Statement of Applicability (SoA)

Operative Sicherheitsnachweise

  • Regeln und Überprüfungen für Zugriffskontrollen

  • Klassifizierung von Assets und Informationen

  • Dokumentation von Sicherheitsvorfällen

  • Sicherheitsdokumentation für Lieferanten und Cloud-Dienste

  • Business-Continuity-Dokumentation

Nachweise zu Management und kontinuierlicher Verbesserung

  • internes Auditprogramm und Audit-Ergebnisse

  • Protokolle der Managementbewertung

  • Korrekturmaßnahmen

  • Kennzahlen zur Leistungsbewertung

ISO-27001-Zertifizierungen basieren nicht nur auf implementierten Kontrollen, sondern auf nachvollziehbaren Managemententscheidungen.

Welche dokumentierten Ergebnisse NIS2 verlangt

NIS2 ist kein Zertifizierungsstandard, sondern ein aufsichtsrechtlicher Rahmen.
Organisationen müssen nachweisen können, dass Cybersicherheit aktiv gesteuert wird.

Zentrale NIS2-Artefakte

  • Risikoanalyse und Risikomanagementmethodik

  • implementierte Sicherheitsmaßnahmen und deren Begründung

  • Verfahren und Dokumentation zum Incident Handling

  • Business-Continuity- und Krisenmanagementdokumentation

  • Governance für die Sicherheit der Lieferkette

  • Managementverantwortung und Aufsicht

NIS2 verlangt ausdrücklich:

  • verhältnismäßige Maßnahmen

  • kontinuierliche Aktualisierung

  • klare Verantwortlichkeit auf Managementebene

Damit wird dokumentierte Entscheidungslogik zu einem zentralen Bestandteil der Compliance.

Welche Governance- und technischen Artefakte der EU AI Act verlangt

Für Organisationen, die KI-Systeme entwickeln oder einsetzen – insbesondere Hochrisiko-Systeme – führt der EU AI Act ein dokumentationsbasiertes Compliance-Modell ein.

Zentrale Artefakte im Rahmen des EU AI Act

  • Richtlinie zur KI-Governance

  • Risikomanagementsystem für KI

  • Dokumentation der Daten-Governance

  • technische Dokumentation des Systems

  • Verfahren für menschliche Aufsicht

  • Prozesse zur Marktüberwachung nach der Einführung

  • Protokollierung von Vorfällen und Systemleistung

Für Organisationen, die KI-Systeme einsetzen:

  • Richtlinien zur Nutzung von KI-Systemen

  • Anweisungen für menschliche Aufsicht

  • Transparenzdokumentation

Der EU AI Act ist strukturell ISO 27001 ähnlich:
Er verlangt ein Managementsystem, keine reine Checkliste.

Die Überschneidung: Ein gemeinsames Compliance-Artefaktmodell

Über ISO 27001, NIS2 und den EU AI Act hinweg tauchen dieselben Kategorien von Artefakten immer wieder auf.

Governance-Artefakte

  • Information Security Policy

  • Compliance Policy

  • KI-Governance-Regeln

  • Code of Conduct

  • Rollen- und Verantwortlichkeitsdefinitionen

Risikoartefakte

  • Risikoanalyse

  • Risikobewertung

  • Risikobehandlungsplan

  • kontinuierliche Risikoüberprüfung

Operative Sicherheitsartefakte

  • Access Control Policy

  • Cloud Security Policy

  • Data Protection Policy

  • Information Classification Policy

Resilienz-Artefakte

  • Business Continuity Policy

  • Incident-Response-Dokumentation

Diese Überschneidungen erklären, warum fragmentierte Compliance-Ansätze langfristig nicht skalieren.

Warum viele Organisationen Schwierigkeiten haben: Der Artefakt-Produktionsengpass

In der Praxis liegt die größte Herausforderung selten darin, die regulatorischen Anforderungen zu verstehen.

Die eigentliche Schwierigkeit liegt darin:

  • die erforderlichen Dokumente zu erstellen

  • sie konsistent zu halten

  • sie kontinuierlich zu aktualisieren

  • sie auditfähig zu strukturieren

Manuelle Ansätze führen häufig zu:

  • isolierten Dokumentensilos

  • inkonsistenter Terminologie

  • veralteten Versionen

  • stark personenbezogenem Wissen

Der eigentliche Compliance-Engpass liegt daher in der Erstellung und Pflege von Governance-Artefakten.

Was „auditfähig“ im Kontext von Compliance-Artefakten bedeutet

Ein Artefakt ist auditfähig, wenn es:

  • formell genehmigt wurde

  • versioniert ist

  • einer konkreten regulatorischen Anforderung zugeordnet ist

  • konsistent strukturiert ist

  • durch Nachweise unterstützt wird

  • regelmäßig überprüft wird

Auditfähigkeit bedeutet nicht:

  • besonders lange Dokumente

  • generische Vorlagen

  • einmalige Erstellung

Auditfähigkeit bedeutet nachvollziehbare Governance.

Vom Framework-Denken zum Output-Denken

Viele Organisationen strukturieren ihre Compliance rund um Frameworks:

  • „Wir implementieren ISO 27001“

  • „Wir bereiten uns auf NIS2 vor“

  • „Wir adressieren den EU AI Act“

Regulatoren und Auditoren denken anders.

Sie fragen:

  • Zeigen Sie die Risikoanalyse.

  • Zeigen Sie die Richtlinie.

  • Zeigen Sie die Entscheidung.

  • Zeigen Sie den Nachweis.

  • Zeigen Sie die Überprüfung.

Compliance-Reife bedeutet daher die Fähigkeit, diese Artefakte jederzeit bereitstellen zu können.

Häufig gestellte Fragen

Benötigen alle drei Rahmenwerke separate Dokumentationssets?

Nein.
Sie verlangen unterschiedliche Perspektiven auf weitgehend dieselben Governance-Artefakte.

Ist eine Zertifizierung für NIS2 oder den EU AI Act erforderlich?

Nein.
Beide verlangen jedoch nachweisbare und dokumentierte Steuerung und Kontrolle.

Reichen Richtlinien allein aus?

Nein.
Richtlinien definieren Absichten.
Risikoanalysen, Nachweise von Kontrollen und Managementbewertungen belegen die tatsächliche Umsetzung.

Welches Artefakt ist über alle Frameworks hinweg am wichtigsten?

Die Risikoanalyse, weil sie:

  • Sicherheitsmaßnahmen begründet

  • Verhältnismäßigkeit nachweist

  • Governance mit operativen Maßnahmen verbindet

Key Takeaway

Compliance bedeutet heute nicht mehr primär die Implementierung einzelner Kontrollen.
Es bedeutet die Erzeugung nachvollziehbarer Governance-Artefakte.

Organisationen, die diese Artefakte systematisch erstellen, pflegen und erklären können:

  • bestehen Audits schneller

  • reduzieren Haftungsrisiken für das Management

  • stärken das Vertrauen von Kunden und Partnern

  • verwandeln Compliance in einen skalierbaren Prozess.