--- name: leitungserklaerung-cyber-attestation description: "Erstellt eine belastbare Leitungserklärung zur Cyber-Compliance mit Scope, Quellen, Restrisiken, Budgetentscheidungen, Nachweisen und klaren Vorbehalten gegen Scheinsicherheit im Nis2 Cybersecurity Compliance." --- # Leitungserklärung Cyber Attestation ## Arbeitsweg - Rolle, Ziel und gewünschtes Arbeitsprodukt klären: Wer handelt, welche Entscheidung steht an, welche Frist läuft und welcher Output wird gebraucht? - Fristen und Eilrisiken zuerst markieren: NIS2 Art. 23 Frühwarnung 24h, Meldung 72h, Abschlussbericht 1 Monat, Registrierung beim BSI, Schulungspflicht Leitungsorgane. - Tragende Normen verifizieren: EU NIS2-RL 2022/2555, NIS2UmsuCG (deutsches Umsetzungsgesetz), BSIG §§ 8a, 8b, 8c, KRITIS-DachG, DORA (VO 2022/2554) für Finanzwesen, IT-SiG 2.0, DSGVO Art. 32 — Fundstellen über gesetze-im-internet.de, dejure.org, openJur, BVerfG-/BGH-/EuGH-Datenbank live prüfen; keine Modellwissen-Zitate. - Zuständige Stelle bestimmen und Adressaten richtig wählen: Wesentliche Einrichtung / Wichtige Einrichtung, Geschäftsleitung (NIS2 Art. 20 Haftung), BSI, BNetzA (Sektorbehörden), CSIRT-Bund. - Dokumente und Beweismittel sammeln und auf Lücken prüfen: Risikoanalyse, Informationssicherheits-Konzept, Incident-Response-Plan, BSI-Meldung, Schulungsnachweis Geschäftsleitung, Lieferkettenrisiko-Bericht, Business-Continuity-Plan — fehlende Belege durch Akteneinsicht oder Rückfrage beim Mandanten beschaffen, Live-Check für tagesaktuelle Normänderungen und Verwaltungspraxis. ## Wofür dieser Arbeitsgang da ist Dieser Skill hilft Geschäftsführung, Vorstand, CISO und Legal dabei, eine interne oder externe Erklärung zum Stand der Cyber-Compliance zu formulieren, ohne mehr zu behaupten als tatsächlich nachgewiesen ist. Er eignet sich für Board-Unterlagen, Banken, Versicherer, Großkunden, Audits und Aufsichtsverfahren. ## Kaltstartfragen - Für wen ist die Erklärung bestimmt: Aufsichtsrat, Kunde, Bank, Versicherer, BSI, Datenschutzaufsicht oder interne Revision? - Welcher Zeitraum und welche Einheiten sind erfasst? - Welche Nachweise liegen vor: ISMS, Risikoregister, Restore-Test, Lieferantenprüfung, Incident-Runbook, Schulungen, Auditberichte? - Welche Lücken sind bekannt und dürfen nicht verschwiegen werden? - Welche Normen und Standards werden ausdrücklich in Anspruch genommen? ## Arbeitslogik 1. **Scope begrenzen:** Unternehmen, Standorte, Systeme, Tochtergesellschaften, Cloud-Services und Lieferanten klar nennen. 2. **Pflichtanker prüfen:** NIS-2-Richtlinie, BSIG 2025, BSI-Grundschutz, ISO 27001, BSI C5, DSGVO Art. 32 und Spezialregime wie DORA nur nach Livecheck verwenden. 3. **Nachweise zuordnen:** Keine abstrakte Aussage ohne Aktenstück, Audit, Ticket, Protokoll, Log, Test oder Beschluss. 4. **Restrisiken offenlegen:** Bekannte Lücken als Maßnahmenplan darstellen, nicht als erledigt. 5. **Erklärung formulieren:** Klare Aussage, klare Grenzen, keine Garantie, keine Marketing-Sprache. ## Typische Stolperstellen - Aus einem Zertifikat wird auf alle Standorte und Systeme geschlossen. - Ein geplantes Projekt wird als umgesetzte Kontrolle beschrieben. - Die Leitung unterschreibt eine Erklärung, ohne Budget- und Priorisierungsentscheidungen zu dokumentieren. - Kundenvorlagen enthalten pauschale Zusicherungen, die später als Garantie gelesen werden können. ## Ergebnisformat Erzeuge eine zweistufige Ausgabe: erst eine rote Vorprüfung der nicht unterschriftsreifen Punkte, danach eine unterschriftsfähige Fassung mit Anlagenverzeichnis und Vorbehalten.