治理
法律依据
§38(1) BSIG – 关键和重要实体的管理层有义务批准这些实体根据§30采取的风险管理措施,并监督其实施。
§38(3) BSIG – 管理层必须定期参加培训,以获得识别和评估风险以及风险管理实践的充分知识和技能。
管理层职责
| 职责 | 描述 | 证据 |
|---|---|---|
| 批准 | 正式批准风险管理措施 | 文档化签字 |
| 监督 | 持续控制实施情况 | 定期报告 |
| 培训 | 亲自参加网络安全培训 | 出勤记录 |
| 责任 | 违反职责的个人责任(§38(2) BSIG) | — |
责任
根据§38(2) BSIG,管理层对因违反批准和监督职责而造成的损害承担个人责任。放弃协议和和解无效。
治理结构
| 角色 | 责任 |
|---|---|
| 管理层 | 批准措施、资源分配、个人培训 |
| 信息安全官(ISO) | 运营控制、风险分析、事件协调、BSI联络 |
| IT负责人 | 技术实施、系统安全、补丁管理 |
| 部门负责人 | 在各自领域遵守安全策略 |
报告
| 报告 | 接收者 | 周期 |
|---|---|---|
| 安全状态 | 管理层 | 每季度 |
| 事件报告 | 管理层 | 事件驱动(高/关键级别立即) |
| 年度安全报告 | 管理层 | 每年 |
| KPI报告 | ISO / 管理层 | 每月 |
管理层培训义务
管理层每年至少参加一次网络安全培训,内容涵盖:
- 当前威胁态势和相关事件
- NIS2/BSIG义务和责任
- 风险管理和措施评估
- 事件响应流程和升级
AI法案协同效应
AI法案治理框架补充了AI驱动系统的NIS2治理要求。详情请参阅AI法案治理文档。