Die Cyber Academy-Bibliothek.

Praxiserprobtes GRC-Referenzmaterial, verfasst von einem aktiven CISO. Artikel, ausführliche Pillar-Seiten, eine wachsende Enzyklopädie und ein wöchentlicher Newsletter, der Ihre Zeit respektiert.

Resources

Die Pillar-Seiten

See all

Pillar

NIS 2: der Leitfaden, der Ihre rechtliche Beobachtung ersetzt.

Im Anwendungsbereich: 18 Sektoren, mittelgroße (50+ Vollzeitkräfte / 10 Mio.+ Umsatz) und größere Einrichtungen. Zwei Kategorien, wesentlich und wichtig, mit unterschiedlicher Aufsichtsintensität.Zehn Risikomanagementmaßnahmen für die Cybersicherheit nach Artikel 21. Die Richtlinie sagt, was zu tun ist; ISO 27001 ist das gängigste Wie.Meldung von Vorfällen: 24-Stunden-Frühwarnung, 72-Stunden-Meldung, vollständiger Bericht nach einem Monat. Legen Sie den Ablauf fest, bevor Sie ihn brauchen.Persönliche Haftung und Verantwortlichkeit der Leitung sind nun ausdrücklich geregelt. Der Vorstand steht in der Pflicht, nicht nur der CISO.Der Stand der Umsetzung variiert von Land zu Land; prüfen Sie Ihre nationale Behörde, bevor Sie davon ausgehen, dass der EU-Text unverändert gilt.

Leitfaden lesen

Pillar

DORA: was Ihr RSSI Ihnen nicht gesagt hat.

Gilt für rund 20 Kategorien von Finanzunternehmen sowie für benannte kritische IKT-Drittdienstleister, seit dem 17. Januar 2025.Fünf Säulen. Das Drittparteienregister (Säule 4) und die Resilienztests (Säule 3, einschließlich TLPT für bedeutende Unternehmen) sind die operativsten und die am stärksten geprüften.Für bedeutende Unternehmen: bedrohungsgeleitete Penetrationstests alle drei Jahre, beaufsichtigt von der nationalen Behörde im Rahmen von TIBER-EU.Kritische IKT-Drittdienstleister werden direkt von den Europäischen Aufsichtsbehörden (ESAs) beaufsichtigt. Ihr Konzentrationsrisiko ist nun auf EU-Ebene relevant.Kombinieren Sie mit ISO 22301 für das BCMS, ISO 27001 für das IKT-Risikomanagement und Lead Operational Resilience Manager für die der Aufsicht zugewandte Ebene.

Leitfaden lesen

Pillar

ISO 27001: Foundation, Lead Implementer, Lead Auditor, welcher ist der richtige?

Foundation ist die Voraussetzung. Sie vermittelt das Vokabular und das mentale Modell eines Managementsystems. Zwei Tage, einstündige Prüfung.Lead Implementer (5 Tage) lehrt Sie, das ISMS aufzubauen, die SoA zu schreiben, die Risikobehandlung durchzuführen und den Zyklus der Managementbewertung zu betreiben.Lead Auditor (5 Tage) lehrt Sie, Audits durch Dritte oder interne Audits zu planen und zu leiten. Eine andere Denkweise: Nachweise, Stichprobenziehung, Interviewtechnik, Berichterstattung.Die meisten CISOs und Sicherheitsverantwortlichen absolvieren Lead Implementer. Interne Auditoren und Big-Four-Berater absolvieren Lead Auditor. Beides ist über einen Zeitraum von 12 bis 18 Monaten üblich.Bestehensquoten in von Trainern geleiteten PECB-Kohorten: 99,1 % beim ersten Versuch in unseren Durchführungen; der Marktdurchschnitt liegt je nach Partner bei 80 % bis 85 %.

Leitfaden lesen

Encyclopedia preview

See all 87

AI Risk Manager

AI Risk Manager ist die Zertifizierung (PECB / ISACA emerging) für Praktiker, die KI-spezifische Risikoprogramme verantworten: Modellrisiko, Bias, Drift, Transparenz, Drittanbieter-Modellrisiko. Operative Schicht, die ISO 42001 (Systemebene) und den AI Act (regulatorische Ebene) ergänzt. Häufige Ergänzung zu einem CISO oder Lead AI Auditor.

Advanced in AI Audit

AAIA

AAIA ist die weiterführende ISACA-Zertifizierung für die Prüfung von KI-Systemen, KI-Modellen und KI-Governance. Neu ab 2024. Setzt eine bestehende CISA oder gleichwertige Qualifikation voraus. Konzipiert für erfahrene Prüfer, die ihre KI-Kompetenz ausbauen. Ausgerichtet an ISO/IEC 42001 sowie den Hochrisikopflichten des EU AI Act.

Business Continuity Management

BCM

BCM ist die Disziplin, die Bedrohungen für Ihre kritischen Betriebsabläufe identifiziert und anschließend die Pläne und Verfahren entwickelt, um diese bei einer Störung aufrechtzuerhalten. Kein einmaliges Projekt. Das BCM-Team, das bei einem realen Vorfall liefert, ist dasjenige, das vor vier Monaten eine Tabletop-Übung durchgeführt und dokumentiert hat, was dabei versagt hat.

Business Email Compromise

BEC

BEC ist ein gezielter Social-Engineering-Angriff, bei dem ein Angreifer eine Führungskraft oder einen Lieferanten imitiert, um eine Zahlung umzuleiten oder einen Mitarbeiter zur Freigabe zu verleiten. Keine Malware erforderlich; reines Pretexting. Der durchschnittliche Schaden pro Vorfall übersteigt den bei Ransomware. Prozesskontrollen (Funktionstrennung, Rückrufverifikation) erkennen ihn; Technologie allein nicht.

Business Impact Analysis

BIA

Eine BIA ist die strukturierte Analyse, die die Auswirkungen einer Unterbrechung auf jede kritische Aktivität über die Zeit quantifiziert. Die Ergebnisse umfassen den Recovery Time Objective, den Recovery Point Objective und den Minimum Business Continuity Objective. Pflichtgrundlage für ISO 22301 und DORA. Gut durchgeführt, wird sie zum Dokument, das der Vorstand tatsächlich liest.

CIS Controls

Die CIS Critical Security Controls sind ein priorisierter Satz von 18 Kontrollkategorien, veröffentlicht vom Center for Internet Security. Implementierungsgruppen (IG1, IG2, IG3) orientieren sich an der Reife der Organisation. Der schnellste Weg, eine kleine oder mittelgroße Organisation von null auf ein verteidigungsfähiges Niveau zu bringen. Lässt sich sauber auf ISO/IEC 27001 Annex A abbilden.

Fünf handverlesene Links jeden Montag um 8 Uhr.

EU-Cyberregulierung, Auditbefunde, Vorlagen und kurze Einschätzungen. Vom Schreibtisch eines aktiven CISO. Kostenlos. Kein Füllmaterial.

The GRC Brief abonnieren