Articles
Praxisartikel von Christophe Mazzola und dem Trainer-Pool der Cyber Academy. Echte Audits, echte Vorstände, echte Vorfälle, schriftlich festgehalten und datiert. Keine Pressemitteilungen.
Die Artikel, die wir uns gewünscht hätten, als wir mit GRC angefangen haben.

ISO-Normen können wie ein undurchdringlicher Dschungel wirken: 27001, 27002, 27005, 31000, 42001 … Hier ist die klare, praxistaugliche Übersicht, die GRC-Fachleute wirklich brauchen.

ISO/IEC 27701 hat seit seiner Einführung die größte Überarbeitung erfahren. Die Ausgabe 2025 ist keine bloße Erweiterung von ISO 27001 mehr; sie ist ein vollständiger, eigenständiger Standard für das Datenschutzmanagement. Hier erfahren Sie, was sich geändert hat, warum das relevant ist und wie Sie sich vorbereiten können.

NIS2 wird 2026 durchgesetzt. Hier ist der praktische, direkte Fahrplan ohne Umschweife, um Ihre Organisation konform zu machen; ohne im Papierkram zu versinken oder Monate mit Theorie zu verschwenden.

ISO 27001, GDPR, NIS2, DORA, SOC 2 und weitere Standards gleichzeitig zu managen, kann überwältigend wirken. So entwickeln Sie ein einziges, effizientes internes Auditprogramm, das für alle Frameworks funktioniert.

KI bringt neue Risiken mit sich, für die Ihr ISMS nie ausgelegt war. Hier ist die klare, praxisorientierte Methode, um KI-Risiken in Ihr bestehendes ISO 27001-Risikoregister zu integrieren; ohne Ihr gesamtes Governance-Modell neu erfinden zu müssen.

Vendor-Sicherheit ist keine Frage von Checklisten; es geht um Kontext, Verträge, Governance und Glaubwürdigkeit. Ein praxiserprobter Leitfaden zur Bewertung von Drittparteien, so wie ein moderner CISO es tatsächlich tut.

Regulierungsbehörden, Prüfer und Gerichte interessieren sich nicht für Ihre Absichten; sie interessieren sich für das, was Sie nachweisen können. So bauen Sie ein Audit-Trail auf, das NIS2, DORA, GDPR, AI Act und forensische Überprüfungen übersteht.

KI bringt neue Risiken mit sich, die herkömmliche Risikoregister nicht erfassen können. Hier ist die klare, pragmatische Methode zum Aufbau eines KI-Risikoregisters; dazu eine sofort einsetzbare Vorlage, die Sie noch heute anwenden können.

KI ersetzt keine Auditoren oder Compliance-Teams; sie verändert die Art, wie diese arbeiten. Hier ist die praxiserprobte Analyse, wie KI in 2026 und darüber hinaus Risiko, Audit, Nachweise und Governance transformiert.

Cloud-Anbieter stehen heute im Mittelpunkt regulatorischer Kontrolle. So bewerten Sie sie sachgerecht unter DORA und NIS2 – ohne im Papierkram zu versinken oder kritische Risiken zu übersehen.

Jährliche Audits sind überholt. Kontinuierliche Compliance ist das einzige Modell, das NIS2, DORA, ISO 27001, SOC 2, GDPR und den AI Act übersteht. So machen Sie Compliance zu einer gelebten, operativen Gewohnheit; und nicht zu einer jährlichen Panikreaktion.

Kann KI Ihre ISMS-Richtlinien schreiben? Ja; aber nicht so, wie die meisten es erwarten. Ein praxiserprobter Blick darauf, was funktioniert, was scheitert und wie Sie KI sicher in Ihrem Governance-Programm einsetzen.

Die meisten Compliance-Dashboards überhäufen Führungskräfte mit Informationsrauschen. So bauen Sie eines, das die Sprache des Vorstands spricht: klar, strategisch und entscheidungsreif.

NIS2 und DORA waren nur Phase 1. AI Act, Data Act, CRA, EUCS und neue Rechenschaftspflichten werden Phase 2 definieren. Hier ist die konkrete Roadmap, auf die sich GRC-Verantwortliche vorbereiten müssen.

GDPR, NIS2 und DORA überschneiden sich stärker, als die meisten Organisationen erkennen. So bauen Sie ein einheitliches Compliance-Modell auf, anstatt drei separate Baustellen zu verwalten.

Awareness-Training reduziert Risiken, aber nur wenn es für echte Menschen, echte Anreize und reale Kontexte konzipiert ist. Warum die meisten Programme scheitern; und was tatsächlich funktioniert.

Was Ihnen niemand über die Implementierung von ISO27001 sagt – und wie Sie in 5 Tagen aufhören, es nur zu simulieren. 11.–15. Mai, online.

How to go from “I’ve read the directive” to “I can implement it” in 5 days, May 4–8, online.

Kostenlose Business Impact Assessment-Vorlage. Drei Abschnitte. Vorgefertigte Impact-Matrix. Bereit für ISO 22301.

Denn Fakten informieren, aber Geschichten bewegen Menschen dazu, Compliance ernst zu nehmen.

Die meisten GRC-KPIs sind wertlos. Hier sind die, die Compliance tatsächlich belegen und Entscheidungen steuern.

Wie Sie Führungskräfte dazu bringen, Risiken wirklich ernst zu nehmen und entsprechend zu handeln.

Wenn Sie möchten, dass Führungskräfte aufmerksam werden, müssen Sie aufhören, wie ein Compliance-Beauftragter zu berichten, und anfangen, wie ein Geschäftspartner zu berichten.

Wenn Sie möchten, dass sich das Board wirklich engagiert und nicht nur Ihre Folien erduldet, müssen Sie die Risikobeurteilung von einem Berichterstattungsritual in ein Entscheidungsgespräch verwandeln. So geht es.

Wie Sie mit Nicht-GRC-Fachleuten über GRC sprechen (und sie dazu bringen, sich dafür zu interessieren)

Denn die meisten Risikoregister sind nichts weiter als teure Tabellen voller Wunschdenken.

And why “we have a policy for that” won’t be enough this time with NIS2

Compliance, die auf Checklisten basiert, hat ausgedient. So entwickeln sich Organisationen von vorgetäuschter Reife zu echter strategischer Sicherheit.

Und warum Sie in Schwierigkeiten geraten, wenn Sie AI Governance und AI Compliance verwechseln.

Ein praxiserprobter Leitfaden zu ISO-Zertifizierungen, den jeder GRC-Fachmann kennen sollte; und warum sie im Berufsalltag relevant sind.

Because “In accordance with applicable legal requirements…” is not how humans talk. Therefore, not your policies should not include this.

Because most “Confidential / Internal / Public” labels are just data decorative.

Ein praxiserprobter Karrierefahrplan vom Junior-GRC-Analysten zum CISO; ohne sich in Vorlagen, Audits oder unternehmerischem Chaos zu verlieren.

Warum Audits scheitern, was das wirklich bedeutet und welche Lehren jede Organisation ziehen muss, um dieselben Fehler nicht zu wiederholen.

Wie Sie mit Nicht-GRC-Fachleuten über GRC sprechen (und sie dafür gewinnen)

Praxisnotizen aus realen Gap-Assessments in ganz Europa, nicht aus Lehrbüchern.

Eine Compliance-Kultur entsteht nicht durch Richtlinien oder Checklisten; sie entsteht durch Verhalten, Verantwortungsbewusstsein und Klarheit.

Wie ein vCISO sich in einem gesättigten Markt wirklich abheben kann: durch pragmatisches Vorgehen, menschliche Kommunikation und konsequente Praxisorientierung.

GRC mit Nicht-GRC-Fachleuten besprechen (und sie wirklich überzeugen) Bis 2026 werden die Unternehmen, die den regulatorischen Sturm überstehen. NIS2, DORA, den AI Act, den CRA Act, den DATA Act, ESG, Datenschutz und mehr. Es werden jene sein, die aufgehört haben, Frameworks isoliert zu verwalten. Wir treten in die Ära der GRC-Konvergenz ein

Excel works… until it doesn’t. Here’s the pragmatic line between “good enough” spreadsheets and when your organisation truly needs a GRC platform.
Der GRC Brief Newsletter erscheint jeden Montag um 8 Uhr MEZ in einer kurzen Ausgabe. Fünf Links, eine kurze Einschätzung. Drei Minuten Lesezeit, kein KI-Füllmaterial.