Governance, die in der Praxis funktioniert, nicht nur auf dem Papier

Einführung von QSEC 8.1, dem neuesten GRC-Release der NEXIS Platform

Regulierungsbehörden in ganz Europa legen die Messlatte höher. NIS2, DORA und der EU AI Act verlangen von Unternehmen nicht mehr nur, dass sie Governance-Richtlinien festlegen. Sie erwarten, dass diese Organisationen nachweisen, wie Entscheidungen getroffen wurden, wer verantwortlich war und wie sich Risiken im Laufe der Zeit entwickelt haben.

Für die meisten Governance-Teams liegt genau hier der eigentliche Druck. Nicht darin, die Vorschriften zu verstehen, sondern darin, in jedem Moment zu beweisen, dass Ihr Unternehmen diese auch tatsächlich lebt.

Die NEXIS Platform verfügt über Governance-, Risiko- und Compliance-Funktionen, die gemeinhin als GRC bezeichnet werden und Risikomanagement, regulatorische Verpflichtungen, Identitätskontrollen und Audit-Dokumentation in einer vernetzten Umgebung zusammenführen. QSEC 8.1, der GRC-Teil der Platform, ist das neueste Release und liefert fünf konkrete Bereiche mit neuen Funktionen, die direkt von NIS2, DORA, ISO/IEC 27001:2022 und dem EU AI Act geprägt sind.

 

NEU: AI-Systembewertungen direkt im Asset-Register

Der EU AI Act verpflichtet Unternehmen, die von ihnen verwendeten AI-Systeme zu identifizieren, zu bewerten und zu dokumentieren, einschließlich ihres Verwendungszwecks, des Risikoniveaus und der dafür verantwortlichen Rollen. In der Praxis handhaben viele Organisationen dies isoliert: hier eine Tabellenkalkulation, dort ein separates Projekt, losgelöst vom Rest ihrer Governance-Struktur.

Das Problem bei diesem Ansatz ist die Fragmentierung. Wenn ein Auditor fragt, wie ein bestimmtes AI-System bewertet wurde und wer es genehmigt hat, sollte die Antwort nicht die Suche in drei verschiedenen Tools erfordern.

Mit QSEC 8.1 steht ein neues AI-Bewertungsformular direkt im Asset-Register zur Verfügung und kann auf Anfrage aktiviert werden. Wenn ein neues AI-gestütztes Tool eingeführt wird, wird dessen Bewertung Teil des Standard-Governance-Workflows und nicht mehr zu einer separaten Übung. Die Formular-Engine selbst wurde ebenfalls erweitert, mit neuen logischen Feldberechnungen, Abhängigkeiten und einer einfacheren Feldpositionierung, was die Anpassung der Bewertungen an Ihre spezifischen Anforderungen vereinfacht.

Das praktische Ergebnis: weniger doppelte Dokumentation, konsistentere Bewertungen und ein wesentlich saubererer Audit-Trail.

 

NEU: Historienfunktion und revisionssichere Rückverfolgbarkeit

Regulierungsbehörden wollen zunehmend nicht nur wissen, wo Sie heute stehen, sondern auch, wie Sie dorthin gekommen sind. Wie war die Risikobewertung vor sechs Monaten? Wer hat sie geändert und warum? Wurde diese Zugriffsrichtlinie vor oder nach dem Vorfall genehmigt?

Eine solche Historie manuell aus E-Mails, Besprechungsnotizen und versionskontrollierten Dokumenten zu rekonstruieren, ist zeitaufwendig und fehleranfällig.

QSEC 8.1 führt eine neue Historienfunktion auf der Ebene der zentralen Governance-Objekte ein, die Änderungsübersichten bietet, aus denen hervorgeht, was wann geändert wurde. Das Release verbessert zudem die Anonymisierung von Mitarbeiterdaten und verfeinert das gesamte Löschkonzept, was ein DSGVO-konformes Datenlebenszyklus-Management neben der Audit-Rückverfolgbarkeit unterstützt.

Wenn ein Auditor fragt, warum eine bestimmte Entscheidung vor achtzehn Monaten getroffen wurde, ist die Antwort bereits im System vorhanden. Die Audit-Vorbereitung ist kein Sprint mehr, sondern wird zur Routine.

 

NEU: Geschäftsorientierte Risikopriorisierung

Eine Schwachstelle mit mittlerem Schweregrad in einem Zahlungsverarbeitungssystem ist nicht dasselbe wie eine Schwachstelle mit mittlerem Schweregrad in einem internen Planungstool. Viele Risiko-Frameworks behandeln sie jedoch identisch, da sie denselben technischen Score aufweisen.

Dies führt zu Problemen, wenn Sie der Geschäftsführung erklären müssen, warum bestimmte Risiken zuerst angegangen werden, oder wenn Ressourcenbeschränkungen schwierige Priorisierungsentscheidungen erzwingen.

QSEC 8.1 erweitert das ISMS-Risikomodul signifikant in zwei Dimensionen. Erstens werden neue Kernmechanismen eingeführt, darunter Prioritätenlisten, eine am Schutzbedarf orientierte Bewertungstiefe und Workflow-Funktionen für Risikobehandlungsstrategien. Zweitens, und ebenso wichtig, wird die Verbindung zwischen Risikomanagement und dem Business gestärkt: Ergebnisse der Business Impact Analysis werden nun automatisch in die Risikopriorisierung einbezogen, DORA-definierte kritische Geschäftsfunktionen können direkt integriert werden, und Risiken können auf mehreren Ebenen bewertet werden, einschließlich Prozessen, Projekten, Assets und Servicebeziehungen.

Dies gibt Governance-Verantwortlichen eine fundiertere Basis für die Priorisierung und eine klarere Möglichkeit, Risikoentscheidungen mit Geschäftsprioritäten zu verknüpfen – genau das, was DORA- und NIS2-Regulierungsbehörden erwarten.

 

NEU: Projekte, Mandanten und regulatorische Meldepflichten im ISMS

Sowohl DORA als auch NIS2 legen strenge Fristen für die Meldung bestimmter Vorfälle an die Regulierungsbehörden fest. Wird eine Frist versäumt oder an die falsche Behörde gemeldet, kann das Compliance-Versagen ebenso schädlich sein wie der Vorfall selbst.

Viele Unternehmen verwalten diese Meldepflichten noch außerhalb ihrer Haupt-Governance-Umgebung, in gemeinsamen Dokumenten, Posteingängen oder manuell gepflegten Trackern. Das funktioniert so lange, bis es eben nicht mehr funktioniert.

QSEC 8.1 führt hier eine echte Neuerung ein: Kunden- und Projektdaten können nun direkt im ISMS verwaltet und in Risikomanagement-Workflows integriert werden. Regulatorische Meldepflichten werden in demselben System dokumentiert, in dem die zugrunde liegenden Risiken und Kontrollen bereits hinterlegt sind, mit klarer Verantwortungszuweisung und Zeitplänen.

Wenn ein realer Vorfall eintritt, gibt es auf die Frage, was an wen und bis wann zu melden ist, eine klare Antwort, anstatt dass dies zu einer weiteren Belastung in einer ohnehin schon kritischen Situation wird.

 

Tiefergehende Integration in Ihre Identitäts- und Unternehmenslandschaft

Ein erheblicher Teil der Compliance-Risiken entsteht heute in Identitätsstrukturen – den Systemen, die steuern, wer in Ihrem Unternehmen worauf Zugriff hat. Konflikte bei der Funktionstrennung (Segregation of Duties), übermäßige Berechtigungen und verwaiste Konten ehemaliger Mitarbeiter sind häufige Feststellungen bei Audits und Sicherheitsvorfällen gleichermaßen.

Diese werden in der Regel von IT- und Identitätsteams mit speziellen Identity and Access Management (IAM)-Tools verwaltet. Es handelt sich jedoch grundlegend um Governance-Risiken, nicht nur um technische.

NEXIS basiert auf einer einheitlichen Architektur, die GRC und Identity Governance verbindet. QSEC 8.1 führt dies mit neuen Standardschnittstellen und Adaptern fort, insbesondere für Microsoft Entra ID, SharePoint und SAP LeanIX. Das bedeutet, dass Identitätsdaten aus Entra ID direkter in Governance-Dashboards und Risikobewertungen einfließen können, Zugriffsrisiken neben den entsprechenden Kontrollen und Richtlinien sichtbar werden und Enterprise-Architecture-Daten aus LeanIX Governance-Entscheidungen im Kontext unterstützen können.

Für Unternehmen, die bereits Microsoft-Infrastrukturen oder LeanIX für das Applikations-Portfolio-Management nutzen, ist dies ein bedeutender Schritt hin zu einem vernetzten Kontrollmodell, bei dem Identitätsentscheidungen und Governance-Aufsicht einander verstärken, anstatt in separaten Systemen zu arbeiten, die kaum miteinander kommunizieren.

 

Was das in der Praxis bedeutet

QSEC 8.1 führt Funktionen nicht zum Selbstzweck ein. Jede dieser neuen Möglichkeiten schließt eine spezifische Lücke zwischen der Art und Weise, wie Governance dokumentiert wird, und wie sie unter Druck tatsächlich funktioniert: in bestehende Workflows eingebettete AI-Bewertungen, Historienfunktionen, die Rückverfolgbarkeit automatisieren, geschäftsorientierte Risikopriorisierung, strukturiertes Meldemanagement und eine engere Integration mit den Identitäts- und Unternehmenstools, die Organisationen bereits nutzen.

Zusammengenommen entwickeln sie Governance von einer reinen Reporting-Funktion hin zu einer operativen Infrastruktur – stets aktuell, stets rückverfolgbar und zu jedem Zeitpunkt vertretbar, nicht nur zum Zeitpunkt eines Audits.

Für Unternehmen, die sich in der wachsenden Komplexität europäischer regulatorischer Anforderungen zurechtfinden müssen, ist dieser Wandel nicht optional. Es ist die Richtung, in die das regulatorische Umfeld alle drängt.

QSEC 8.1 wurde entwickelt, um Ihnen dabei zu helfen, dieses Ziel zu Ihren eigenen Bedingungen zu erreichen, bevor externer Druck das Thema erzwingt.