Von der Norm zur Wirkung (2): Sicherheit beginnt mit Governance – wie drei Regelwerke Führung, KPIs und Automatisierung verbinden: Vertrauen schaffen durch Struktur

Cyberresilienz ist heute nicht nur ein IT-Thema oder eine Toolfrage, als vielmehr ein Zeichen von Führung. Unternehmen stehen verstärkt im Fokus europäischer Regulierung: die Network and Information Security Directive 2 (NIS-2) verschärft die Anforderungen an Governance und Meldepflichten, System and Organization Controls 2 (SOC-2) rückt das Vertrauen von Kunden in den Vordergrund, und ISO 27001 definiert einen internationalen Standard für Informationssicherheit. Gleichzeitig wächst der Druck durch eine kaum beherrschbare Flut an Vorschriften und Anforderungen – mit entsprechenden Haftungsrisiken für die Führungsebene.

Viele Organisationen reagieren darauf noch immer mit Insellösungen und reaktiver Dokumentation. Das Ergebnis: hoher Aufwand, wenig Wirkung. Wer dagegen Struktur, Prozesse und Verantwortlichkeiten klar definiert und digital unterstützt, kann regulatorische Anforderungen nicht nur erfüllen, sondern damit auch eine echte Wirkung auf die eigene Wertschöpfung erzielen – weil jeder im Unternehmen versteht, wie Standards und gesetzliche Vorgaben ineinandergreifen und sich dadurch auf die Kernprozesse konzentrieren kann. Vertrauen entsteht so nicht nur bei Kunden, Aufsichtsbehörden und im eigenen Management, sondern auch im operativen Geschäft.

Die Geschäftsleitung verantwortet Ziele, Risikomaßnahmen und Wirksamkeit. Der ISO-27001-Standard gibt die Struktur vor, NIS-2 konkretisiert Governance-Pflichten und behördliche Durchgriffsrechte. Wirkung entsteht erst durch prozess- und risikobasierte Umsetzung, deren Nachweise im Arbeitsfluss anfallen (Evidenceby-Design).

Messbare Effizienzgewinne durch Struktur

Regulierung wird häufig als Belastung empfunden – tatsächlich eröffnet sie aber die Chance, Transparenz und Effizienz messbar zu steigern.

Unsere Erfahrungswerte aus mittelständischen Umsetzungen, basierend auf System-Logs und Workflow-Metriken, zeigen unter anderem:

• 30 bis 60 Prozent weniger Audit-Vorbereitungszeit (Evidenz automatisch aggregiert)
• 25 bis 40 Prozent geringere Durchlaufzeit für Maßnahmen (klare Owner, Eskalationen)
• 15 bis 25 Prozent schnellere Störungsbehebung (Mean Time to Recovery, MTTR) durch Key-Performance-Indicator-(KPI)-gesteuerte Playbooks

Effizienzgewinne sind also möglich – doch wie lassen sie sich dauerhaft sichern? Die Antwort liegt in einer gemeinsamen Struktur. Diese liefert die ISO 27001. Die Fassung aus 2022 bündelt 93 Controls in vier Themen: Organisational, People, Physical, Technological. Das schafft Anschlussfähigkeit an NIS-2, SOC-2 und sektorale Regeln, zum Beispiel an den Digital Operational Resilience Act (DORA) (siehe Tabelle 1).

Der ISO-27002:2022-Standard liefert dazu die notwendigen Umsetzungshinweise. Weitere Rahmenwerke und Regelwerke bauen auf dieser Basis auf und lassen sich somit integrativ umsetzen (siehe Tabelle 2).

Ergänzend konkretisiert die Durchführungsverordnung (EU) 2024/2690 die technischen und methodischen Anforderungen der NIS-2-Risikomaßnahmen. Die European Union Agency for Cybersecurity (ENISA) liefert seit Juni 2025 hierfür einen technischen Implementierungsleitfaden inklusive Mapping-Tabellen (Evidence-Beispiele und Schwellen).

Process First: Der rote Faden in fünf Schritten

Regulatorik wirkt oft abstrakt – doch sie entfaltet ihre Wirkung erst dann, wenn sie konsequent in die alltäglichen Prozesse übersetzt wird. Ein „Process First“-Ansatz verbindet Geschäftslogik, Risiko, Kontrollen, Evidenz und Kennzahlen zu einem roten Faden, der sich durch das gesamte Unternehmen zieht. Anhand von fünf Schritten lässt sich nachvollziehen, wie Organisationen Struktur und Wirksamkeit methodisch aufbauen können.

1. Prozessinventar und Informationsflüsse

Der erste Schritt besteht darin, die Wertschöpfung sichtbar zu machen. Dazu kartieren die Verantwortlichen End-to-End-Prozesse wie Lead-to-Cash, Procure-to-Pay oder Incident-to-Resolution. Innerhalb dieser Abläufe gilt es, die sogenannten „Kronjuwelen“ zu identifizieren – also die Daten und Assets, die für den Geschäftserfolg kritisch sind, etwa Patienten-, Konstruktions- oder Zahlungsdaten. Für jedes Informationsobjekt wird der Schutzbedarf nach Vertraulichkeit, Integrität und Verfügbarkeit (Skala von 1 bis 5) festgelegt. Anschließend lassen sich Informationsflüsse über Systeme, Schnittstellen und Lieferketten hinweg nachzeichnen.

So entsteht ein Katalog von Prozessen, Daten und Flüssen, der nicht nur die IT, sondern das Geschäft in den Mittelpunkt stellt. Typische Artefakte sind Prozesslandkarten, Datenkataloge und Schutzbedarfsprofile. Die Qualität lässt sich messen – etwa über den Abdeckungsgrad dokumentierter Prozesse oder die Aktualität des Asset-Katasters.

Beispiel: Im Prozess Order-to-Cash werden Kunden- und Zahlungsdaten im Customer Relationship Management (CRM) und Enterprise Resource Planning (ERP) verarbeitet. Der Schutzbedarf liegt bei C/I/A = 4/4/5. Kritische Schnittstellen sind der Webshop, das Payment-Gateway und das ERP.

2. Risiko Modell nach ISO-Logik

Sobald Prozesse und Informationsflüsse klar sind, stellt sich die Frage: Wo muss man zuerst handeln? Hier hilft ein standardisiertes Risikomodell nach ISO-Logik. Für jeden Prozess oder Datenfluss werden Szenarien formuliert, die Bedrohung, Schwachstelle und mögliche Auswirkungen kombinieren.

Die Verantwortlichen bewerten dies nach Eintrittswahrscheinlichkeit und Auswirkung – beispielsweise jeweils auf einer Skala von 1 bis 5. Multipliziert ergibt sich ein Risikowert von 1 bis 25, ergänzt um definierte Toleranzen und die Risikobereitschaft des Unternehmens. Entscheidend ist die Verknüpfung mit Geschäftskennzahlen wie Umsatz pro Stunde, Vertragsstrafen oder regulatorische Konsequenzen – so wird Risiko ökonomisch priorisiert.

Beispiel: Der Ausfall des Payment-Gateways hätte eine Wahrscheinlichkeit von 3 und eine Auswirkung von 5. Das ergibt einen Wert von 15 (rot) und erfordert sofortige Maßnahmen sowie ein Management-Review.

3. Controls-Library (Mapping)

Im dritten Schritt bauen Organisationen einen konsistenten Maßnahmenkatalog auf. Statt Normtexte isoliert in Dokumente zu übertragen, dient die ISO 27001 als Master-Register. Die einzelnen Controls werden um Mappings zu NIS-2 und SOC-2 ergänzt, sodass ein gemeinsames Register entsteht.

Jede Control erhält einen Steckbrief mit Ziel, Scope, Owner, Evidenzquelle, Schwellenwerten und Prüffrequenz. Der Status (implementiert, in Arbeit, geplant) sowie die Wirksamkeit (ausreichend, vorhanden, nicht wirksam) werden kontinuierlich verfolgt. Auf diese Weise entsteht ein System, das nicht nur prüfbar, sondern auch steuerbar ist.

Beispiel: Das Zugriffsmanagement wird in ISO 27001 (A.5/A.8), NIS-2 (Art. 21(2)a) und SOC-2 (CC6.x) adressiert. Evidenz liefern Identity-Logs, Genehmigungsworkflows und Rezertifizierungsprotokolle.

4. Evidence-Pipelines

Ein zentrales Prinzip lautet: Audit-Ready by Design. Nachweise sollten im Arbeitsfluss anfallen, nicht erst kurz vor einer Prüfung. Dafür definieren und erfassen Unternehmen Evidenzquellen wie Tickets, Logs, Konfigurationen oder Schulungsnachweise. APIs, Hash-Verfahren und Zeitstempel sorgen für Integrität und Nachvollziehbarkeit – und das unabhängig vom jeweiligen
Stadium.

Die Nachweise werden in einem Evidence-Hub kuratiert, mit Metadaten versehen und such- sowie reportfähig gemacht. So können Auditoren selbst zugreifen, ohne dass die Teams hektisch
Dokumente zusammensuchen müssen.

Beispiel: Im Patch-Management bündelt der Hub automatisch die Genehmigungs-Workflows, Baselines, Logs und Scan-Reports zu einem Change-Vorgang – inklusive Chain of Custody.

5. KPI-/Review-Taktung mit Eskalation

Damit das System nicht statisch bleibt, braucht es klare Kennzahlen und feste Review-Zyklen. Verantwortliche definieren ein Set aus Governance-, Risiko- und Prozess-KPIs, die in Heatmaps
oder Ampel-Scores visualisiert werden. Monatliche Kurz-Reviews zeigen Abweichungen und Fortschritte, quartalsweise Management-Reviews beleuchten Top-Risiken, Budgetentscheidungen und die Wirksamkeit des ISMS. On-Demand-Reviews greifen bei Vorfällen.

Wichtig ist, dass Kennzahlen Entscheidungswirkung entfalten: Abweichungen müssen Maßnahmen nach sich ziehen, für die jeweils ein Owner, eine Frist und ein Eskalationspfad definiert sind.

Beispiel: Für die Mean Time to Detect (MTTD) und die Mean Time to Recovery (MTTR) gilt ein Ziel von 24 Stunden. Wird dieses eingehalten, bleibt der Status grün – und es sind keine Maßnahmen erforderlich. Liegt die Dauer zwischen 24 und 36 Stunden, wird der Status gelb und der Team-Lead informiert. Bei einer Überschreitung von 36 Stunden wechselt der Status auf rot, was eine C-Level-Eskalation und ein Post-Incident-Review auslöst.

Rollenverteilung: Vom Vorstand bis zur Fachabteilung

Regulatorik wird erst wirksam, wenn sie konkrete Rollen und Verantwortlichkeiten adressiert. ISO 27001, SOC-2 und NIS-2 fordern nicht nur Strukturen, sondern auch klare Zuweisungen: Wer trägt Verantwortung, wer steuert die Umsetzung, wer liefert Nachweise? Die folgenden drei Perspektiven zeigen, wie sich Aufgaben und Pflichten vom Vorstand bis in die Fachabteilungen übersetzen lassen.

1. Geschäftsführung/Vorstand

Für die Unternehmensleitung ist Cyberresilienz keine delegierbare Aufgabe mehr. NIS-2 verpflichtet Vorstände und Geschäftsführer ausdrücklich, Sicherheitsmaßnahmen zu genehmigen, deren Umsetzung zu überwachen und sich regelmäßig schulen zu lassen. Haftung und Sanktionen bei Verstößen stellen klar: Sicherheit ist eine Frage der Governance, nicht nur der Technik!

Quartalsweise treffen Vorstände Entscheidungen über die Risikobereitschaft, Budgets und die Wirksamkeit zentraler Maßnahmen. Ein Governance-Dashboard liefert dafür verdichtete Kennzahlen: Welche Risiken sind im Trend, wie aktuell und vollständig ist die Evidenzbasis, wo liegen Abweichungen bei Kontrollen oder Lieferanten? Diese Zahlen sollen nicht zur Folien-Dekoration verkommen, sondern zu klaren Beschlüssen führen – „ausreichend“, „nachschärfen“ oder „eskalieren“.

Typische Stolperfallen sind reine KPI-Präsentationen ohne Konsequenzen oder Tool-Käufe ohne nachvollziehbaren Nutzen. Gegensteuern lässt sich, indem jede Abweichung automatisch ein Maßnahmen-Ticket auslöst und Investitionen an einem Business-Case pro Control-Cluster gemessen werden.

2. CISO/Compliance Lead

Der Chief Information Security Officer (CISO) oder Compliance-Lead ist der methodische Treiber des Systems. Er sorgt dafür, dass Risiken systematisch bewertet, Kontrollen konsistent dokumentiert und Nachweise zuverlässig gesammelt werden. NIS-2 fordert dabei ausdrücklich die Berücksichtigung der Lieferkette; ISO 27001 verlangt interne Audits und regelmäßige Performance- Bewertungen.

In der Praxis bedeutet das: Der CISO pflegt eine Controls-Library auf Basis von ISO 27001 und ergänzt sie um NIS-2- und SOC-2-Bezüge. Er führt das Risikoregister und sorgt dafür, dass Kennzahlen nicht nur technisch, sondern auch im Lichte der Geschäftsziele interpretiert werden. Über Evidence-Pipelines stellt er sicher, dass Nachweise aus Tickets, Logs oder Konfigurationsänderungen automatisch versioniert vorliegen – auditbereit ohne Last-Minute-Sammlungen.

Regelroutinen wie wöchentliche Risiko-Sichtungen, monatliche Control Reviews und quartalsweise interne Audits schaffen einen Rhythmus, der das System lebendig hält. Die größte Gefahr liegt in einem „Papier-ISMS“, das ohne echte Evidenz betrieben wird, oder in einem Übermaß an Kennzahlen, die niemand mehr nutzt. Darum gilt: maximal zehn Kern-KPIs, alles Weitere als Detailbericht.

3. Fachabteilungen/Ops Teams

Für Fachbereiche und operative Teams (Ops-Teams) heißt Sicherheit vor allem: klar definierte Aufgaben, schneller Nachweis, minimale Zusatzlast. Sie liefern Logs und Events, verifizieren Incidents oder Changes im 1-Click-Workflow und dokumentieren Prozessänderungen über Change-Tickets. Evidenz entsteht direkt an der Quelle – durch Checklisten, Abnahmeprotokolle oder Konfigurations-Baselines.

Kennzahlen wie die Service-Level-Agreement-(SLA)-Trefferquote bei Maßnahmen, die First-Time-Fix-Rate oder der Rückgang wiederkehrender Fehler machen Fortschritte sichtbar. Unterstützt werden die Teams durch kontextsensitive Checklisten, Microlearnings und standardisierte Playbooks, die manuelle Ticketarbeit reduzieren.

Fallstricke entstehen, wenn IT-Sicherheit als zusätzliche Arbeit empfunden wird. Das lässt sich vermeiden, indem Sicherheitsaufgaben in die bestehenden Arbeitsabläufe integriert werden – mit klarer „Definition of Done“, die auch die Evidenz einschließt. Ebenso wichtig: Ereignisse müssen mit Kontext angereichert werden, etwa durch Ticket- oder Asset-Referenzen, damit sie für Audits nachvollziehbar bleiben.

Alle drei Ebenen – Vorstand, CISO und Fachabteilungen – tragen Verantwortung für Cyber-Resilienz. Tabelle 3 und die Mini-Checkliste (siehe Kasten) zeigen, welche Aufgaben die drei Ebenen konkret übernehmen und welche Belege dafür mindestens erforderlich sind.

Healthcare-Provider mit 750 Mitarbeitern

Wie diese Prinzipien in der Realität greifen können, zeigt ein Praxisbeispiel: Ein mittelständischer Healthcare-Dienstleister stand vor der Aufgabe, gleichzeitig die Anforderungen aus ISO 27001, SOC-2 und NIS-2 zu erfüllen. Anstatt drei getrennte Projekte aufzusetzen, entschied sich das Unternehmen für einen integrierten Ansatz: Es bündelte alle Maßnahmen in einem einzigen Controls-Register.

Bereits in den ersten beiden Wochen erfolgte der technische und organisatorische Aufbau: Das Team importierte die Library in ein GRC-Tool, ordnete Rollen und Verantwortlichkeiten zu und stellte die Verbindung zum Security Information and Event Management (SIEM) her. Damit war die Grundlage gelegt, dass Prozesse, Kontrollen und Nachweise aus einer Quelle gesteuert werden konnten.

In den folgenden Wochen richtete das Team die Data-Pipelines ein. Klinische Anwendungen und Firewalls lieferten kontinuierlich Log-Streams, die mithilfe von KI-basierten Parsern automatisch klassifiziert wurden. So entstanden aus reinen Datenflüssen direkt verwertbare Evidenzen, die dem Controls-Register zugeordnet waren.

Ab Woche sieben stand der Evidence-Hub im Mittelpunkt. Sämtliche Audit-Artefakte – von Richtliniendokumenten über Reports bis zu System-Logs – wurden dort automatisiert versioniert und mit Hashwerten signiert. Damit war jede Änderung nachvollziehbar, und die Beweiskette blieb lückenlos dokumentiert.

Zum Abschluss, nach rund zwölf Wochen, zeigte sich der praktische Nutzen: Der CISO konnte mit wenigen Klicks den geforderten NIS-2-Report erstellen. Innerhalb von Sekunden lag ein vollständiges
Archiv mit KPIs, Richtlinien und Event-Nachweisen vor – ein Audit-Ready-Paket, das nicht nur die Aufsichtsbehörde, sondern auch das Management überzeugte.

Das Ergebnis war bemerkenswert: über 60 Prozent weniger Vorbereitungsaufwand für Audits, keine schwerwiegenden Abweichungen (Major Non-Conformities) beim Erst-Audit und eine deutlich verbesserte Transparenz für den Vorstand, der nun regelmäßig einen Ampel-Score zur Governance-Situation erhielt.

Fazit

Die Erfahrungen zeigen: Wirksame Governance entsteht nicht durch die Ansammlung einzelner Tools, sondern durch eine klare Struktur und die konsequente Verknüpfung mit Prozessen und Risiken. Gerade die ISO 27001 bietet hier die Integrationsschiene, an die sich weitere Regelwerke wie NIS-2, SOC-2 oder auch DORA und der Cyber Resilience Act (CRA) nahtlos anschließen lassen. Ein zentrales Prinzip lautet, Evidenz im Fluss zu erzeugen: Nachweise entstehen dort, wo Arbeit passiert – im Ticket, im Log oder in der Konfiguration. So wird Auditfähigkeit nicht nachträglich erzwungen, sondern automatisch mitgeliefert.

Ebenso wichtig sind die Verankerung von KPIs und Reviews. Sie machen Wirksamkeit messbar und übersetzen den Plan-Do-Check-Act-(PDCA)-Zyklus in den Alltag. Nur wer Abweichungen regelmäßig diskutiert und Entscheidungen trifft, schafft echte Steuerung.

Ein nachhaltiges Governance-System sollte außerdem vendor-neutral und API-first sein, also herstellerunabhängig und mit offenen Schnittstellen gestaltet werden. Es ist damit revisionssicher,
skalierbar und offen für zukünftige Anforderungen – unabhängig davon, welche Plattform oder welcher Regulator zukünftig hinzukommt. Struktur und klare Verantwortlichkeiten sind jedoch nur die Grundlage, um Vertrauen zu schaffen.

Ohne einen systematischen Umgang mit Risiken bleibt selbst das beste Governance-System unvollständig. Der nächste Schritt besteht darin, Intuition und Bauchgefühl mit Methode zu verbinden. Im nächsten Artikel unserer Serie, „Ohne Risikokompass bleibt jede Kontrolle blind“, zeigen wir, wie Risikomanagement nach ISO 31000 funktioniert, welche Rolle Kennzahlen dabei spielen und warum erst die Verbindung von Strategie und operativer Steuerung echte Resilienz schafft.

Literatur

[1] ISO (2022): ISO 27001:2022 – Information Security Management Systems – Requirements. Geneva: ISO.
[2] AICPA (2017): Trust Services Criteria for Security, Availability, Processing Integrity, Confidentiality, and Privacy. Durham: AICPA.
[3] EU (2022): Directive (EU) 2022/2555 – NIS 2. Official Journal of the European Union.
[4] ENISA (2024): Threat Landscape for Health Sector. Athens: ENISA.
[5] Gartner (2023): Market Guide for Integrated Risk Management. Stamford.
[6] NIST (2023): Special Publication 800 218: Secure Software Development Framework. Gaithersburg: NIST.
[7] ISO (2022): ISO/IEC 27002:2022 – Information security controls. (Überblick & Katalog)
[8] BSI Group (2022): ISO 27002:2022 – Information security controls update (Überblick 93 Controls/4 Themen).