Resources
Praxiserprobtes GRC-Referenzmaterial, verfasst von einem aktiven CISO. Artikel, ausführliche Pillar-Seiten, eine wachsende Enzyklopädie und ein wöchentlicher Newsletter, der Ihre Zeit respektiert.
Blog
Kurzartikel zu Regulierungen, Audits und dem CISO-Alltag.
Pillars
Die vollständigen Leitfäden zu NIS 2, DORA, ISO 27001, AI Act und mehr.
Encyclopedia
Klare Definitionen jedes Begriffs, dem Sie in der Praxis begegnen werden.
Newsletter
Fünf handverlesene Links zur EU-Cyberregulierung. Kein Füllmaterial.
Latest

Cybersicherheit und persönliche Sicherheit beruhen auf denselben Grundlagen: Kontext, Bewusstsein, mehrschichtige Schutzmaßnahmen und Reaktionsfähigkeit. Sicherheit ist eben nicht nur ein Beruf; es ist eine Denkweise, die überall gilt.
Read
ISO-orientiert? Prüfungsorientiert? Technische Governance? Hier ist der nüchterne Vergleich von PECB, ISACA und Exin; und welcher Zertifizierungsweg tatsächlich zu Ihren GRC-Karrierezielen passt.
Read
NIS2 wird 2026 durchsetzbar und stellt für CISOs eine grundlegend veränderte Realität dar. Hier ist die sachliche Übersicht der tatsächlichen Änderungen: Governance, Sanktionen, Pflichten des Vorstands, Lieferkettenrisiken, Meldepflichten bei Vorfällen und operative Anforderungen.
ReadDeep dives
Pillar
Im Anwendungsbereich: 18 Sektoren, mittelgroße (50+ Vollzeitkräfte / 10 Mio.+ Umsatz) und größere Einrichtungen. Zwei Kategorien, wesentlich und wichtig, mit unterschiedlicher Aufsichtsintensität.Zehn Risikomanagementmaßnahmen für die Cybersicherheit nach Artikel 21. Die Richtlinie sagt, was zu tun ist; ISO 27001 ist das gängigste Wie.Meldung von Vorfällen: 24-Stunden-Frühwarnung, 72-Stunden-Meldung, vollständiger Bericht nach einem Monat. Legen Sie den Ablauf fest, bevor Sie ihn brauchen.Persönliche Haftung und Verantwortlichkeit der Leitung sind nun ausdrücklich geregelt. Der Vorstand steht in der Pflicht, nicht nur der CISO.Der Stand der Umsetzung variiert von Land zu Land; prüfen Sie Ihre nationale Behörde, bevor Sie davon ausgehen, dass der EU-Text unverändert gilt.
Leitfaden lesenPillar
Gilt für rund 20 Kategorien von Finanzunternehmen sowie für benannte kritische IKT-Drittdienstleister, seit dem 17. Januar 2025.Fünf Säulen. Das Drittparteienregister (Säule 4) und die Resilienztests (Säule 3, einschließlich TLPT für bedeutende Unternehmen) sind die operativsten und die am stärksten geprüften.Für bedeutende Unternehmen: bedrohungsgeleitete Penetrationstests alle drei Jahre, beaufsichtigt von der nationalen Behörde im Rahmen von TIBER-EU.Kritische IKT-Drittdienstleister werden direkt von den Europäischen Aufsichtsbehörden (ESAs) beaufsichtigt. Ihr Konzentrationsrisiko ist nun auf EU-Ebene relevant.Kombinieren Sie mit ISO 22301 für das BCMS, ISO 27001 für das IKT-Risikomanagement und Lead Operational Resilience Manager für die der Aufsicht zugewandte Ebene.
Leitfaden lesenPillar
Foundation ist die Voraussetzung. Sie vermittelt das Vokabular und das mentale Modell eines Managementsystems. Zwei Tage, einstündige Prüfung.Lead Implementer (5 Tage) lehrt Sie, das ISMS aufzubauen, die SoA zu schreiben, die Risikobehandlung durchzuführen und den Zyklus der Managementbewertung zu betreiben.Lead Auditor (5 Tage) lehrt Sie, Audits durch Dritte oder interne Audits zu planen und zu leiten. Eine andere Denkweise: Nachweise, Stichprobenziehung, Interviewtechnik, Berichterstattung.Die meisten CISOs und Sicherheitsverantwortlichen absolvieren Lead Implementer. Interne Auditoren und Big-Four-Berater absolvieren Lead Auditor. Beides ist über einen Zeitraum von 12 bis 18 Monaten üblich.Bestehensquoten in von Trainern geleiteten PECB-Kohorten: 99,1 % beim ersten Versuch in unseren Durchführungen; der Marktdurchschnitt liegt je nach Partner bei 80 % bis 85 %.
Leitfaden lesenVocabulary
AI Risk Manager ist die Zertifizierung (PECB / ISACA emerging) für Praktiker, die KI-spezifische Risikoprogramme verantworten: Modellrisiko, Bias, Drift, Transparenz, Drittanbieter-Modellrisiko. Operative Schicht, die ISO 42001 (Systemebene) und den AI Act (regulatorische Ebene) ergänzt. Häufige Ergänzung zu einem CISO oder Lead AI Auditor.
AAIA ist die weiterführende ISACA-Zertifizierung für die Prüfung von KI-Systemen, KI-Modellen und KI-Governance. Neu ab 2024. Setzt eine bestehende CISA oder gleichwertige Qualifikation voraus. Konzipiert für erfahrene Prüfer, die ihre KI-Kompetenz ausbauen. Ausgerichtet an ISO/IEC 42001 sowie den Hochrisikopflichten des EU AI Act.
BCM ist die Disziplin, die Bedrohungen für Ihre kritischen Betriebsabläufe identifiziert und anschließend die Pläne und Verfahren entwickelt, um diese bei einer Störung aufrechtzuerhalten. Kein einmaliges Projekt. Das BCM-Team, das bei einem realen Vorfall liefert, ist dasjenige, das vor vier Monaten eine Tabletop-Übung durchgeführt und dokumentiert hat, was dabei versagt hat.
BEC ist ein gezielter Social-Engineering-Angriff, bei dem ein Angreifer eine Führungskraft oder einen Lieferanten imitiert, um eine Zahlung umzuleiten oder einen Mitarbeiter zur Freigabe zu verleiten. Keine Malware erforderlich; reines Pretexting. Der durchschnittliche Schaden pro Vorfall übersteigt den bei Ransomware. Prozesskontrollen (Funktionstrennung, Rückrufverifikation) erkennen ihn; Technologie allein nicht.
Eine BIA ist die strukturierte Analyse, die die Auswirkungen einer Unterbrechung auf jede kritische Aktivität über die Zeit quantifiziert. Die Ergebnisse umfassen den Recovery Time Objective, den Recovery Point Objective und den Minimum Business Continuity Objective. Pflichtgrundlage für ISO 22301 und DORA. Gut durchgeführt, wird sie zum Dokument, das der Vorstand tatsächlich liest.
Die CIS Critical Security Controls sind ein priorisierter Satz von 18 Kontrollkategorien, veröffentlicht vom Center for Internet Security. Implementierungsgruppen (IG1, IG2, IG3) orientieren sich an der Reife der Organisation. Der schnellste Weg, eine kleine oder mittelgroße Organisation von null auf ein verteidigungsfähiges Niveau zu bringen. Lässt sich sauber auf ISO/IEC 27001 Annex A abbilden.
The GRC Brief
EU-Cyberregulierung, Auditbefunde, Vorlagen und kurze Einschätzungen. Vom Schreibtisch eines aktiven CISO. Kostenlos. Kein Füllmaterial.
The GRC Brief abonnieren