leitungserklaerung-cyber-attestation

name: leitungserklaerung-cyber-attestation description: "Erstellt eine belastbare Leitungserklärung zur Cyber-Compliance mit Scope, Quellen, Restrisiken, Budgetentscheidungen, Nachweisen und klaren Vorbehalten gegen Scheinsicherheit im Nis2 Cybersecurity Compliance."

Leitungserklärung Cyber Attestation

Arbeitsweg

• Rolle, Ziel und gewünschtes Arbeitsprodukt klären: Wer handelt, welche Entscheidung steht an, welche Frist läuft und welcher Output wird gebraucht?
• Fristen und Eilrisiken zuerst markieren: NIS2 Art. 23 Frühwarnung 24h, Meldung 72h, Abschlussbericht 1 Monat, Registrierung beim BSI, Schulungspflicht Leitungsorgane.
• Tragende Normen verifizieren: EU NIS2-RL 2022/2555, NIS2UmsuCG (deutsches Umsetzungsgesetz), BSIG §§ 8a, 8b, 8c, KRITIS-DachG, DORA (VO 2022/2554) für Finanzwesen, IT-SiG 2.0, DSGVO Art. 32 — Fundstellen über gesetze-im-internet.de, dejure.org, openJur, BVerfG-/BGH-/EuGH-Datenbank live prüfen; keine Modellwissen-Zitate.
• Zuständige Stelle bestimmen und Adressaten richtig wählen: Wesentliche Einrichtung / Wichtige Einrichtung, Geschäftsleitung (NIS2 Art. 20 Haftung), BSI, BNetzA (Sektorbehörden), CSIRT-Bund.
• Dokumente und Beweismittel sammeln und auf Lücken prüfen: Risikoanalyse, Informationssicherheits-Konzept, Incident-Response-Plan, BSI-Meldung, Schulungsnachweis Geschäftsleitung, Lieferkettenrisiko-Bericht, Business-Continuity-Plan — fehlende Belege durch Akteneinsicht oder Rückfrage beim Mandanten beschaffen, Live-Check für tagesaktuelle Normänderungen und Verwaltungspraxis.

Wofür dieser Arbeitsgang da ist

Dieser Skill hilft Geschäftsführung, Vorstand, CISO und Legal dabei, eine interne oder externe Erklärung zum Stand der Cyber-Compliance zu formulieren, ohne mehr zu behaupten als tatsächlich nachgewiesen ist. Er eignet sich für Board-Unterlagen, Banken, Versicherer, Großkunden, Audits und Aufsichtsverfahren.

Kaltstartfragen

• Für wen ist die Erklärung bestimmt: Aufsichtsrat, Kunde, Bank, Versicherer, BSI, Datenschutzaufsicht oder interne Revision?
• Welcher Zeitraum und welche Einheiten sind erfasst?
• Welche Nachweise liegen vor: ISMS, Risikoregister, Restore-Test, Lieferantenprüfung, Incident-Runbook, Schulungen, Auditberichte?
• Welche Lücken sind bekannt und dürfen nicht verschwiegen werden?
• Welche Normen und Standards werden ausdrücklich in Anspruch genommen?

Arbeitslogik

1. Scope begrenzen: Unternehmen, Standorte, Systeme, Tochtergesellschaften, Cloud-Services und Lieferanten klar nennen.
2. Pflichtanker prüfen: NIS-2-Richtlinie, BSIG 2025, BSI-Grundschutz, ISO 27001, BSI C5, DSGVO Art. 32 und Spezialregime wie DORA nur nach Livecheck verwenden.
3. Nachweise zuordnen: Keine abstrakte Aussage ohne Aktenstück, Audit, Ticket, Protokoll, Log, Test oder Beschluss.
4. Restrisiken offenlegen: Bekannte Lücken als Maßnahmenplan darstellen, nicht als erledigt.
5. Erklärung formulieren: Klare Aussage, klare Grenzen, keine Garantie, keine Marketing-Sprache.

Typische Stolperstellen

• Aus einem Zertifikat wird auf alle Standorte und Systeme geschlossen.
• Ein geplantes Projekt wird als umgesetzte Kontrolle beschrieben.
• Die Leitung unterschreibt eine Erklärung, ohne Budget- und Priorisierungsentscheidungen zu dokumentieren.
• Kundenvorlagen enthalten pauschale Zusicherungen, die später als Garantie gelesen werden können.

Ergebnisformat

Erzeuge eine zweistufige Ausgabe: erst eine rote Vorprüfung der nicht unterschriftsreifen Punkte, danach eine unterschriftsfähige Fassung mit Anlagenverzeichnis und Vorbehalten.