Die National Cybersecurity Agency hat ihre FAQs bezüglich der NIS 2-Richtlinie aktualisiert und klargestellt, dass Unternehmensvorstände für die Genehmigung strategischer Cybersicherheitsentscheidungen verantwortlich sind, während die operative Umsetzung an technische Strukturen delegiert werden kann. Gemäß den aktualisierten Richtlinien müssen Unternehmen sicherstellen, dass strategische Entscheidungen - wie die Definition von Sicherheitsrichtlinien und -planung - vom Vorstand oder einem gleichwertigen Verwaltungsorgan getroffen werden. Operative Aufgaben wie die Erstellung von Verfahren, Anweisungen und Handbüchern bleiben in der Verantwortung der technischen Teams, die diese Dokumente unabhängig aktualisieren können, ohne jedes Mal die Genehmigung des Vorstands zu benötigen. Unternehmen haben die Flexibilität, ihre Dokumentation entweder durch ein einheitliches oder mehrere koordinierte Dokumente zu organisieren, solange es ein kohärentes System gibt, das strategische Entscheidungen von der technischen Ausführung unterscheidet. Zusätzlich erfordern Aktualisierungen technischer und organisatorischer Dokumente nicht automatisch eine erneute Genehmigung durch den Vorstand.
Tendenz-Einschätzung (Mitte): Der Artikel bietet eine neutrale Erläuterung der aktualisierten regulatorischen Anforderungen im Zusammenhang mit der Steuerung der Cybersicherheit innerhalb von Unternehmen.




