Organisationen unterliegen in vielen Bereichen gesetzlichen, regulatorischen und aufsichtsrechtlichen Anforderungen, die einen geregelten Kontakt mit zuständigen Behörden erfordern. Dazu zählen insbesondere Meldepflichten bei Sicherheitsvorfällen, Datenschutzverletzungen oder Störungen kritischer Dienste. Dieses Control stellt sicher, dass der Kontakt mit relevanten Behörden strukturiert, vorbereitet und kontrolliert erfolgt, um rechtliche Pflichten zu erfüllen und Risiken aus verspäteter, unvollständiger oder fehlerhafter Kommunikation zu vermeiden.
Zweck des Controls
A 5.5 soll gewährleisten, dass Organisationen relevante Behörden identifizieren, geeignete Kommunikationswege festlegen und klare Zuständigkeiten für den Kontakt mit Behörden definieren. Ziel ist es, sicherzustellen, dass gesetzliche und regulatorische Melde- und Informationspflichten korrekt, fristgerecht und abgestimmt erfüllt werden und die Kommunikation mit Behörden im Ereignisfall kontrolliert und nachvollziehbar erfolgt.
Anforderungen und Maßnahmen
1. Identifikation relevanter Behörden
Organisationen müssen alle Behörden identifizieren, mit denen im Kontext der Informationssicherheit ein Kontakt erforderlich sein kann, insbesondere:
Datenschutzaufsichtsbehörden
Aufsichts- und Regulierungsbehörden (z. B. KRITIS-, NIS2-, Finanz- oder Gesundheitsaufsicht)
Strafverfolgungsbehörden
Zertifizierungs- und Akkreditierungsstellen
Weitere zuständige nationale oder regionale Stellen
Die Identifikation muss dokumentiert und regelmäßig überprüft werden.
2. Festlegung von Kontaktpunkten und Zuständigkeiten
Für den Kontakt mit Behörden müssen klare Zuständigkeiten definiert werden:
Benennung verantwortlicher Rollen oder Funktionen
Festlegung von Vertretungsregelungen
Abgrenzung der Zuständigkeiten zwischen Management, ISMS, Datenschutz, Recht und IT
Definition von Entscheidungs- und Freigaberechten für behördliche Kommunikation
So wird sichergestellt, dass Kommunikation kontrolliert und abgestimmt erfolgt.
3. Definition von Kommunikationswegen und Verfahren
Organisationen müssen Verfahren für die Kommunikation mit Behörden festlegen, unter anderem:
Art und Form der Kontaktaufnahme (schriftlich, elektronisch, telefonisch)
Nutzung sicherer Kommunikationskanäle
Vorgaben für Inhalt, Umfang und Struktur von Meldungen
Einhaltung gesetzlicher Fristen und formaler Anforderungen
Diese Verfahren müssen dokumentiert und verfügbar sein.
4. Einbindung in Incident- und Krisenmanagement
Der Kontakt mit Behörden muss in bestehende Prozesse integriert sein:
Verknüpfung mit dem Incident-Management-Prozess
Abstimmung mit Notfall- und Krisenmanagement
Definition von Eskalationsstufen und Auslösekriterien
Sicherstellung einer konsistenten Kommunikation im Ereignisfall
So wird vermieden, dass Meldungen ungeordnet oder widersprüchlich erfolgen.
5. Umgang mit meldepflichtigen Sicherheitsvorfällen
Organisationen müssen sicherstellen, dass meldepflichtige Vorfälle korrekt behandelt werden:
Bewertung, ob eine Meldepflicht besteht
Festlegung der zuständigen Behörde je Vorfallart
Einhaltung gesetzlicher Meldefristen
Koordination mit Datenschutz-, Rechts- und Kommunikationsfunktionen
Dokumentation aller Meldungen und behördlichen Rückmeldungen
Dies reduziert rechtliche und organisatorische Risiken.
6. Dokumentation und Nachweisführung
Alle relevanten Kontakte mit Behörden müssen nachvollziehbar dokumentiert werden:
Kontaktdaten der zuständigen Stellen
Dokumentation von Meldungen, Anfragen und Rückmeldungen
Nachweise über fristgerechte Kommunikation
Archivierung gemäß Aufbewahrungs- und Compliance-Vorgaben
Diese Dokumentation dient als Nachweis gegenüber Prüfern und Aufsichtsstellen.
7. Regelmäßige Überprüfung und Aktualisierung
Der behördliche Kontakt muss regelmäßig überprüft werden:
Aktualisierung von Kontaktdaten und Zuständigkeiten
Anpassung an neue gesetzliche oder regulatorische Anforderungen
Überprüfung der Verfahren im Rahmen von Audits oder Management Reviews
Berücksichtigung von Lessons Learned aus Vorfällen
So bleibt die Organisation jederzeit handlungsfähig.
8. Sensibilisierung und Schulung
Relevante Mitarbeitende müssen über den Umgang mit Behörden informiert sein:
Schulungen zu Meldepflichten und Fristen
Sensibilisierung für die Bedeutung abgestimmter Kommunikation
Klarstellung, wer autorisiert ist, Behörden zu kontaktieren
Einbindung in Notfall- und Incident-Übungen
Dies verhindert unkoordinierte oder unautorisierte Kommunikation.
Zusammenfassung
A 5.5 verlangt, dass Organisationen den Kontakt mit relevanten Behörden systematisch vorbereiten und steuern. Durch die Identifikation zuständiger Behörden, klare Verantwortlichkeiten, definierte Kommunikationsverfahren, Integration in Incident- und Krisenmanagement sowie vollständige Dokumentation wird sichergestellt, dass gesetzliche und regulatorische Pflichten zuverlässig erfüllt werden. Das Control trägt wesentlich dazu bei, rechtliche Risiken zu minimieren und die Handlungsfähigkeit der Organisation im Sicherheitsvorfall zu sichern.
Leave a comment