Im Audit zählt der Nachweis, nicht die Absicht
ISO 27001, NIS2 und TISAX verlangen nicht nur Prozesse — sie verlangen Belege, dass diese Prozesse wirken. Was Auditoren fragen und was Unternehmen vorbereiten müssen.
Weiterlesen
Insights
Perspektiven aus der CISO-Praxis.
Wenn niemand entscheidet, hilft kein Tool
Viele Unternehmen haben genug Tools. Was fehlt, ist eine klare Entscheidung darüber, wer steuert. Cybersecurity ist eine Führungsaufgabe.
Weiterlesen
Verantwortung delegieren, Haftung nicht
Der CISO analysiert. Der Einkauf verhandelt. Aber entscheiden — und haften — tut die Geschäftsführung. Was NIS2 dazu konkret sagt und was das im Alltag bedeutet.
Weiterlesen
Wenn KI die ISMS-Policies schreibt
KI-Tools erstellen ISMS-Dokumente in Minuten. Was dabei entsteht, klingt gut — und reicht für kein Audit. Was wirklich fehlt, wenn der Prompt endet.
Weiterlesen
Einkauf und Security brauchen eine Risikoklassifizierung
Einkauf will Tempo, Security will Sicherheit — ein klassischer Zielkonflikt. Wie eine Lieferanten-Risikoklassifizierung beide Ziele gleichzeitig ermöglicht.
Weiterlesen
Wenn der Aufsichtsrat nach Lieferantenrisiken fragt
Aufsichtsräte erwarten keine Technik-Tiefe. Sie erwarten eine Steuerungslogik. Wie eine reife Antwort auf die Frage nach Lieferantenrisiken aussieht.
Weiterlesen
Warum Governance wichtiger ist als jedes Security-Tool
Die meisten Unternehmen kaufen Sicherheit. Aber steuern sie diese auch? Was NIS2 wirklich verlangt und warum Governance vor Technik kommt.
Weiterlesen
Lieferanten-Risiko-Check ist kein Audit
Audit prüft Erfüllung, Fragebogen sammelt Aussagen — ein Risiko-Check beantwortet die Frage, die zählt: Wo kann die Lieferkette Sie wirklich treffen?
Weiterlesen
Lieferantenrisiken sind Chefsache
Lieferantenrisiken landen oft in der IT — und damit am falschen Ort. Wer tatsächlich Verantwortung trägt und warum NIS2 das klar regelt.
Weiterlesen
Lieferantenrisiken enden nicht am Vertragsende
NIS2 und das NISG machen Geschäftsführungen persönlich verantwortlich für Cyber-Risiken in der Lieferkette — auch wenn ein Dienstleister den Angriff ermöglicht hat.
Weiterlesen