Feldnotizen aus dem Prüfungsraum.

Praxisartikel von Christophe Mazzola und dem Trainer-Pool der Cyber Academy. Echte Audits, echte Vorstände, echte Vorfälle, schriftlich festgehalten und datiert. Keine Pressemitteilungen.

Die Artikel, die wir uns gewünscht hätten, als wir mit GRC angefangen haben.

Juni 2026

10 articles
Mapping the ISO Jungle: 27001, 27002, 27005, 31000, 42001
AI Act

Wegweiser durch den ISO-Dschungel: 27001, 27002, 27005, 31000, 42001

ISO-Normen können wie ein undurchdringlicher Dschungel wirken: 27001, 27002, 27005, 31000, 42001 … Hier ist die klare, praxistaugliche Übersicht, die GRC-Fachleute wirklich brauchen.

30 Jun 2026Read
ISO 27701:2025: What Changed and Why It Matters
GDPR & privacy

ISO 27701:2025 – Was sich geändert hat und warum das wichtig ist

ISO/IEC 27701 hat seit seiner Einführung die größte Überarbeitung erfahren. Die Ausgabe 2025 ist keine bloße Erweiterung von ISO 27001 mehr; sie ist ein vollständiger, eigenständiger Standard für das Datenschutzmanagement. Hier erfahren Sie, was sich geändert hat, warum das relevant ist und wie Sie sich vorbereiten können.

27 Jun 2026Read
How to Prepare Your Organization for NIS2 Compliance
NIS 2

So bereiten Sie Ihre Organisation auf die NIS2-Konformität vor

NIS2 wird 2026 durchgesetzt. Hier ist der praktische, direkte Fahrplan ohne Umschweife, um Ihre Organisation konform zu machen; ohne im Papierkram zu versinken oder Monate mit Theorie zu verschwenden.

24 Jun 2026Read
How to Plan Internal Audits Across Multiple Standards
Audit room

Interne Audits über mehrere Standards hinweg planen

ISO 27001, GDPR, NIS2, DORA, SOC 2 und weitere Standards gleichzeitig zu managen, kann überwältigend wirken. So entwickeln Sie ein einziges, effizientes internes Auditprogramm, das für alle Frameworks funktioniert.

21 Jun 2026Read
How to Integrate AI Risk into Your Existing ISMS and Risk Register
AI Act

So integrieren Sie KI-Risiken in Ihr bestehendes ISMS und Ihr Risikoregister

KI bringt neue Risiken mit sich, für die Ihr ISMS nie ausgelegt war. Hier ist die klare, praxisorientierte Methode, um KI-Risiken in Ihr bestehendes ISO 27001-Risikoregister zu integrieren; ohne Ihr gesamtes Governance-Modell neu erfinden zu müssen.

18 Jun 2026Read
How to Evaluate Third-Party Vendors Like a CISO
CISO life

Wie Sie Drittanbieter wie ein CISO bewerten (der Weg aus der Praxis)

Vendor-Sicherheit ist keine Frage von Checklisten; es geht um Kontext, Verträge, Governance und Glaubwürdigkeit. Ein praxiserprobter Leitfaden zur Bewertung von Drittparteien, so wie ein moderner CISO es tatsächlich tut.

15 Jun 2026Read
How to Build an Audit Trail that Stands Up to Scrutiny
Audit room

Wie Sie ein Audit-Trail aufbauen, das einer Prüfung standhält

Regulierungsbehörden, Prüfer und Gerichte interessieren sich nicht für Ihre Absichten; sie interessieren sich für das, was Sie nachweisen können. So bauen Sie ein Audit-Trail auf, das NIS2, DORA, GDPR, AI Act und forensische Überprüfungen übersteht.

12 Jun 2026Read
How to Build an AI Risk Register
AI Act

So erstellen Sie ein KI-Risikoregister (mit Vorlage)

KI bringt neue Risiken mit sich, die herkömmliche Risikoregister nicht erfassen können. Hier ist die klare, pragmatische Methode zum Aufbau eines KI-Risikoregisters; dazu eine sofort einsetzbare Vorlage, die Sie noch heute anwenden können.

09 Jun 2026Read
How AI Is Changing Audit and Compliance Management
AI Act

Wie KI Audit und Compliance Management verändert

KI ersetzt keine Auditoren oder Compliance-Teams; sie verändert die Art, wie diese arbeiten. Hier ist die praxiserprobte Analyse, wie KI in 2026 und darüber hinaus Risiko, Audit, Nachweise und Governance transformiert.

06 Jun 2026Read
Evaluating Cloud Providers under DORA and NIS2
NIS 2

Cloud-Anbieter unter DORA & NIS2 bewerten

Cloud-Anbieter stehen heute im Mittelpunkt regulatorischer Kontrolle. So bewerten Sie sie sachgerecht unter DORA und NIS2 – ohne im Papierkram zu versinken oder kritische Risiken zu übersehen.

03 Jun 2026Read

Mai 2026

6 articles
Continuous Compliance: Turning Audits into Ongoing Practice
Audit room

Kontinuierliche Compliance: Audits in gelebte Praxis verwandeln

Jährliche Audits sind überholt. Kontinuierliche Compliance ist das einzige Modell, das NIS2, DORA, ISO 27001, SOC 2, GDPR und den AI Act übersteht. So machen Sie Compliance zu einer gelebten, operativen Gewohnheit; und nicht zu einer jährlichen Panikreaktion.

31 May 2026Read
Can ChatGPT Draft Your ISMS Policy
AI Act

Kann ChatGPT Ihre ISMS-Richtlinie entwerfen? Ein Praxistest

Kann KI Ihre ISMS-Richtlinien schreiben? Ja; aber nicht so, wie die meisten es erwarten. Ein praxiserprobter Blick darauf, was funktioniert, was scheitert und wie Sie KI sicher in Ihrem Governance-Programm einsetzen.

28 May 2026Read
Building a Compliance Dashboard that Speaks Board Language
Audit room

Ein Compliance-Dashboard aufbauen, das die Sprache des Vorstands spricht

Die meisten Compliance-Dashboards überhäufen Führungskräfte mit Informationsrauschen. So bauen Sie eines, das die Sprache des Vorstands spricht: klar, strategisch und entscheidungsreif.

25 May 2026Read
Brussels' Next Move: What Comes After NIS2 and DORA
NIS 2

Brüssels nächster Schritt: Was nach NIS2 und DORA kommt

NIS2 und DORA waren nur Phase 1. AI Act, Data Act, CRA, EUCS und neue Rechenschaftspflichten werden Phase 2 definieren. Hier ist die konkrete Roadmap, auf die sich GRC-Verantwortliche vorbereiten müssen.

22 May 2026Read
Bridging GDPR, NIS2, and DORA for Unified Compliance
NIS 2

GDPR, NIS2 und DORA zu einem einheitlichen Compliance-Modell zusammenführen

GDPR, NIS2 und DORA überschneiden sich stärker, als die meisten Organisationen erkennen. So bauen Sie ein einheitliches Compliance-Modell auf, anstatt drei separate Baustellen zu verwalten.

19 May 2026Read
Awareness Program is dead
CISO life

Das Awareness-Programm ist tot.

Awareness-Training reduziert Risiken, aber nur wenn es für echte Menschen, echte Anreize und reale Kontexte konzipiert ist. Warum die meisten Programme scheitern; und was tatsächlich funktioniert.

16 May 2026Read

März 2026

3 articles

Februar 2026

1 article

Januar 2026

21 articles
Storytelling for Compliance Leaders

Storytelling für Compliance-Verantwortliche

Denn Fakten informieren, aber Geschichten bewegen Menschen dazu, Compliance ernst zu nehmen.

01 Jan 2026Read
GRC KPIs That Matter: How to Prove Compliance with Numbers

GRC-KPIs, die zählen: So belegen Sie Compliance mit Zahlen

Die meisten GRC-KPIs sind wertlos. Hier sind die, die Compliance tatsächlich belegen und Entscheidungen steuern.

01 Jan 2026Read
How to Get Executives to Care About Risk

Wie Sie Führungskräfte dazu bringen, Risiken ernst zu nehmen

Wie Sie Führungskräfte dazu bringen, Risiken wirklich ernst zu nehmen und entsprechend zu handeln.

01 Jan 2026Read
GRC Dashboards Executives Actually Read

GRC-Dashboards, die Führungskräfte tatsächlich lesen

Wenn Sie möchten, dass Führungskräfte aufmerksam werden, müssen Sie aufhören, wie ein Compliance-Beauftragter zu berichten, und anfangen, wie ein Geschäftspartner zu berichten.

01 Jan 2026Read
How to Run a Risk Assessment that Doesn't Bore the Board

Wie Sie eine Risikobeurteilung durchführen, die das Board nicht einschläfert

Wenn Sie möchten, dass sich das Board wirklich engagiert und nicht nur Ihre Folien erduldet, müssen Sie die Risikobeurteilung von einem Berichterstattungsritual in ein Entscheidungsgespräch verwandeln. So geht es.

01 Jan 2026Read
How to Talk Compliance to Non-GRC People (and Make Them Care)

Wie Sie mit Nicht-GRC-Fachleuten über Compliance sprechen (und sie dazu bringen, sich dafür zu interessieren)

Wie Sie mit Nicht-GRC-Fachleuten über GRC sprechen (und sie dazu bringen, sich dafür zu interessieren)

01 Jan 2026Read
5 Mistakes in Risk Registers (and How to Fix Them)

5 Fehler in Risikoregistern (und wie Sie sie beheben)

Denn die meisten Risikoregister sind nichts weiter als teure Tabellen voller Wunschdenken.

01 Jan 2026Read
Top 10 Gaps Auditors Will Look for Under NIS2

Top 10 Lücken, die Auditoren unter NIS2 prüfen werden

And why “we have a policy for that” won’t be enough this time with NIS2

01 Jan 2026Read
From Checkbox to Strategy: The Death of Fake Compliance

Vom Checkbox zum Strategie: Der Tod der Schein-Compliance

Compliance, die auf Checklisten basiert, hat ausgedient. So entwickeln sich Organisationen von vorgetäuschter Reife zu echter strategischer Sicherheit.

01 Jan 2026Read
AI Governance vs. AI Compliance: What's the Difference

AI Governance vs. AI Compliance: Was ist der Unterschied?

Und warum Sie in Schwierigkeiten geraten, wenn Sie AI Governance und AI Compliance verwechseln.

01 Jan 2026Read
The Ultimate Guide to ISO Certifications for GRC Pros

Der ultimative Leitfaden zu ISO-Zertifizierungen für GRC-Profis

Ein praxiserprobter Leitfaden zu ISO-Zertifizierungen, den jeder GRC-Fachmann kennen sollte; und warum sie im Berufsalltag relevant sind.

01 Jan 2026Read
How to Write Policies People Actually Follow

Wie man Richtlinien schreibt, die tatsächlich befolgt werden

Because “In accordance with applicable legal requirements…” is not how humans talk. Therefore, not your policies should not include this.

01 Jan 2026Read
Data Classification Policies that Actually Work

Datenklassifizierungsrichtlinien, die wirklich funktionieren

Because most “Confidential / Internal / Public” labels are just data decorative.

01 Jan 2026Read
From intern to CISO: How to Build a GRC Career That Scales

Vom Praktikanten zum CISO: So bauen Sie eine skalierbare GRC-Karriere auf

Ein praxiserprobter Karrierefahrplan vom Junior-GRC-Analysten zum CISO; ohne sich in Vorlagen, Audits oder unternehmerischem Chaos zu verlieren.

01 Jan 2026Read
Lessons from Failed Audits: What Every Organization Should Learn

Lehren aus gescheiterten Audits: Was jede Organisation daraus lernen sollte

Warum Audits scheitern, was das wirklich bedeutet und welche Lehren jede Organisation ziehen muss, um dieselben Fehler nicht zu wiederholen.

01 Jan 2026Read
Lead Auditor vs. Lead Implementer: Which Certification Fits You

Lead Auditor vs. Lead Implementer: Welche Zertifizierung passt zu Ihnen?

Wie Sie mit Nicht-GRC-Fachleuten über GRC sprechen (und sie dafür gewinnen)

01 Jan 2026Read
Top 10 Audit Findings in 2025: The Real Ones

Top 10 Audit-Findings 2025: Die echten Ergebnisse

Praxisnotizen aus realen Gap-Assessments in ganz Europa, nicht aus Lehrbüchern.

01 Jan 2026Read
How to Build a Compliance Culture Beyond Checklists

Wie Sie eine Compliance-Kultur aufbauen, die über Checklisten hinausgeht

Eine Compliance-Kultur entsteht nicht durch Richtlinien oder Checklisten; sie entsteht durch Verhalten, Verantwortungsbewusstsein und Klarheit.

01 Jan 2026Read
How to Stand Out as a vCISO

Wie Sie sich als vCISO abheben

Wie ein vCISO sich in einem gesättigten Markt wirklich abheben kann: durch pragmatisches Vorgehen, menschliche Kommunikation und konsequente Praxisorientierung.

01 Jan 2026Read
Why 2026 Is the Year of Compliance Convergence

Warum 2026 das Jahr der Compliance-Konvergenz wird

GRC mit Nicht-GRC-Fachleuten besprechen (und sie wirklich überzeugen) Bis 2026 werden die Unternehmen, die den regulatorischen Sturm überstehen. NIS2, DORA, den AI Act, den CRA Act, den DATA Act, ESG, Datenschutz und mehr. Es werden jene sein, die aufgehört haben, Frameworks isoliert zu verwalten. Wir treten in die Ära der GRC-Konvergenz ein

01 Jan 2026Read
When Excel Is Enough and When You Need a Real GRC Platform

Wann Excel ausreicht und wann Sie eine echte GRC-Plattform benötigen

Excel works… until it doesn’t. Here’s the pragmatic line between “good enough” spreadsheets and when your organisation truly needs a GRC platform.

01 Jan 2026Read

Möchten Sie die nächste Feldnotiz in Ihrem Posteingang?

Der GRC Brief Newsletter erscheint jeden Montag um 8 Uhr MEZ in einer kurzen Ausgabe. Fünf Links, eine kurze Einschätzung. Drei Minuten Lesezeit, kein KI-Füllmaterial.