Blog

BLOG

Categories:   All Categories
Suggested keywords
x
DORA in der Praxis: 10 Stolperfallen, die erst im Audit sichtbar werden
DORA in der Praxis: 10 Stolperfallen, die erst im Audit sichtbar werden

DORA klingt auf dem Papier oft klar: Risiken rund um digitale Dienstleistungen beherrschbar machen, Ausfälle reduzieren, Nachweise liefern. In der Umsetzung zeigt sich aber ein Muster, das ich in Projekten immer wieder sehe: Im Alltag wirkt vieles „irgendwie geregelt“ – bis ein Audit oder eine Prüfung fragt: Wo ist das belastbar belegt? Dann tauchen Lücken auf, die vorher niemand auf dem Radar hatte. Dieser Beitrag ist bewusst praktisch gehalten.

Continue reading
ISMS einführen ohne Chaos – Der 5-Stufen-Plan
ISMS einführen ohne Chaos – Der 5-Stufen-Plan

Die Einführung eines Informationssicherheits-Managementsystems (ISMS) gilt oft als Mammutprojekt. Viele Unternehmen schieben es vor sich her, weil sie den Aufwand scheuen, die Komplexität fürchten oder befürchten, dass der Betrieb monatelang im Ausnahmezustand laufen muss. Tatsächlich kann ein ISMS-Einführungsprojekt chaotisch verlaufen – wenn man es falsch angeht. Mit einem klaren, strukturierten Vorgehen hingegen lässt es sich in geordnete Bahn

Continue reading
Die große Überschneidung: Ein gemeinsamer Kontrollsatz für DORA, NIS2 und AI Act
Die große Überschneidung: Ein gemeinsamer Kontrollsatz für DORA, NIS2 und AI Act

Die meisten Organisationen machen denselben Fehler, wenn mehrere Regelwerke gleichzeitig relevant werden: Sie bauen drei Programme. DORA bekommt ein Projekt, NIS2 bekommt ein Projekt, der EU AI Act bekommt ein Projekt. Jedes Projekt erstellt Anforderungen, Maßnahmenlisten, Richtlinien, Reportings. Und jedes Projekt hat gute Gründe, weil jede Anforderung „irgendwie“ stimmt. Das Ergebnis ist trotzdem oft enttäuschend: viel Arbeit, viel Dokumentatio

Continue reading
NIS2-Compliance sichern und weiterentwickeln
NIS2-Compliance sichern und weiterentwickeln

Viele Unternehmen atmen auf, wenn sie die Anforderungen der NIS2-Richtlinie formal umgesetzt haben. Die Prozesse sind dokumentiert, die Technik aufgerüstet, die Schulungen durchgeführt – und der Gedanke liegt nahe, das Thema erst einmal abzuhaken. Doch genau hier lauert eine der größten Gefahren: NIS2-Compliance ist kein Abschluss, sondern ein Betriebszustand. Er muss jeden Tag hergestellt, überwacht und verbessert werden – genauso wie Verfügbark

Continue reading
Von Risiko zu Resilienz: Wie TPRM unter DORA neu gedacht wird
Von Risiko zu Resilienz: Wie TPRM unter DORA neu gedacht wird

Third-Party-Risk-Management (TPRM) galt lange als Pflichtfach: Fragebogen verschicken, Zertifikate einsammeln, Auditberichte abheften – fertig. Spätestens mit dem Digital Operational Resilience Act (DORA) ist dieses Verständnis Geschichte. TPRM wird vom statischen Kontrollpunkt zum dynamischen Kern der digitalen Widerstandsfähigkeit. Nicht mehr das „Ob“ einer Maßnahme zählt, sondern das „Hält es im Ernstfall?“. Governance rückt damit näher an den

Continue reading
Resilienz-Evidenz: Wie Sie Belege so strukturieren, dass Revision nicht nachfragen muss
Resilienz-Evidenz: Wie Sie Belege so strukturieren, dass Revision nicht nachfragen muss

Resilienz ist im Alltag oft sichtbar, lange bevor sie dokumentiert ist. Teams reagieren auf Störungen, stabilisieren Systeme, klären Ursachen, steuern Dienstleister, passen Abläufe an. Operativ passiert viel. Und trotzdem kommt in Revisionen oder Prüfungen sehr häufig dieselbe Rückfrage: „Können Sie mir das bitte nachvollziehbar zeigen?“ Nicht, weil niemand glaubt, dass gearbeitet wurde. Sondern weil die Spur fehlt, die Entscheidung, Umsetzung un

Continue reading
Audits ohne Zittern – Wie du DORA-Nachweise souverän lieferst
Audits ohne Zittern – Wie du DORA-Nachweise souverän lieferst

Für viele Unternehmen ist das Wort „Audit“ immer noch ein Synonym für Stress, lange To-do-Listen und schlaflose Nächte. Das gilt umso mehr, wenn es um neue regulatorische Anforderungen wie DORA geht. Schließlich verlangt die EU-Verordnung nicht nur, dass Unternehmen ihre digitale Resilienz aufbauen und pflegen – sie müssen auch jederzeit nachweisen können, dass sie dies tatsächlich tun. Audits sind das zentrale Instrument, mit dem Aufsichtsbehörd

Continue reading
C5 2025: Vom Prüfkatalog zur Governance-Benchmark
C5 2025: Vom Prüfkatalog zur Governance-Benchmark

C5 hat sich leise, aber stetig vom Katalog für Cloud-Kontrollen zur Referenz für gelebte Cloud-Governance entwickelt. 2025 markiert den Punkt, an dem diese Entwicklung sichtbar wird: Nicht mehr die Frage „Welche Kriterien erfüllt der Provider?“ dominiert, sondern „Wie steuern wir als Unternehmen – nachweisbar, zeitkritisch und wiederholbar – unsere Cloud-Realität?“ Wer C5 noch als Attest versteht, verschenkt Wirkung. Wer C5 als Betriebssprache, a

Continue reading
IT-Grundschutz Kompendium – Der unterschätzte Schatz
IT-Grundschutz Kompendium – Der unterschätzte Schatz

Das IT-Grundschutz-Kompendium des Bundesamts für Sicherheit in der Informationstechnik (BSI) ist so etwas wie die „Enzyklopädie“ der deutschen Informationssicherheit – und trotzdem kennen viele Unternehmen es nur vom Hörensagen oder sehen es als schwerfälligen Behördenwälzer, den man allenfalls für Audits hervorholt. In Wahrheit ist dieses Werk eine der wertvollsten und praxisnahsten Ressourcen, die es im Bereich Cyber- und Informationssicherheit

Continue reading
GRC-Automation ohne Tool-Chaos: Wo Workflows helfen – und wo sie schaden
GRC-Automation ohne Tool-Chaos: Wo Workflows helfen – und wo sie schaden

GRC-Automation klingt nach einer naheliegenden Lösung: Anforderungen wachsen, Nachweise steigen, Audits werden häufiger – also automatisieren wir eben. Workflows, Tickets, Freigaben, automatische Erinnerungen, Dashboards. Viele Organisationen starten genau so. Und viele stellen nach ein paar Monaten fest, dass zwar „mehr System“ da ist, aber nicht unbedingt mehr Steuerung. Manchmal sogar weniger. Das liegt nicht daran, dass Automation grundsätzli

Continue reading
Image