(nach ISO/IEC 27001:2022 und ISO/IEC 27002:2022)

Organisationen unterliegen einer Vielzahl rechtlicher, gesetzlicher, regulatorischer und vertraglicher Anforderungen, die direkten Einfluss auf den Umgang mit Informationen, Informationsverarbeitungssystemen und sicherheitsrelevanten Prozessen haben. Die Nichteinhaltung dieser Anforderungen kann zu Sanktionen, Haftungsrisiken, Reputationsschäden oder Informationssicherheitsvorfällen führen. Dieses Control stellt sicher, dass relevante Anforderungen systematisch identifiziert, umgesetzt, überwacht und regelmäßig überprüft werden.

Zweck des Controls

A 5.31 soll gewährleisten, dass alle für die Organisation relevanten rechtlichen, gesetzlichen, regulatorischen und vertraglichen Anforderungen in Bezug auf Informationssicherheit ermittelt, verstanden und erfüllt werden. Ziel ist es, Compliance-Risiken zu minimieren und sicherzustellen, dass Informationssicherheitsmaßnahmen nicht nur technisch, sondern auch rechtlich und organisatorisch wirksam verankert sind.

Anforderungen und Maßnahmen

1. Identifikation relevanter Anforderungen

Organisationen müssen alle Anforderungen identifizieren, die Auswirkungen auf die Informationssicherheit haben, insbesondere:

• gesetzliche und rechtliche Anforderungen (z. B. Datenschutz, Arbeitsrecht, IT-Sicherheitsrecht)
• regulatorische Vorgaben (z. B. NIS2, KRITIS, branchenspezifische Auflagen)
• vertragliche Verpflichtungen gegenüber Kunden, Lieferanten und Partnern
• normative Anforderungen (z. B. Standards, Zertifizierungsanforderungen)
• interne Richtlinien und Vorgaben

Die Identifikation muss dokumentiert, nachvollziehbar und aktuell sein.

2. Dokumentation in einem strukturierten Register

Alle identifizierten Anforderungen müssen systematisch dokumentiert werden, zum Beispiel in einem Compliance-Register:

• Beschreibung der jeweiligen Anforderung
• betroffener Anwendungsbereich (Prozesse, Systeme, Abteilungen)
• Verantwortlichkeiten für Umsetzung und Überwachung
• erforderliche Maßnahmen und Nachweise
• Bewertung der Relevanz und Kritikalität

Das Register dient als zentrale Grundlage für die Compliance-Steuerung.

3. Umsetzung in interne Regelwerke und Prozesse

Relevante Anforderungen müssen in interne Regelungen überführt werden:

• Informationssicherheitsrichtlinien und -verfahren
• Datenschutz- und IT-Sicherheitskonzepte
• technische und organisatorische Maßnahmen
• Vorgaben für Mitarbeitende und externe Parteien

So werden die Anforderungen verbindlich und im Alltag umsetzbar.

4. Überwachung und Kontrolle der Einhaltung

Die Organisation muss sicherstellen, dass die Anforderungen eingehalten werden:

• regelmäßige interne Audits und Reviews
• Überprüfung technischer und organisatorischer Kontrollen
• Überwachung der Einhaltung vertraglicher Verpflichtungen
• Erfassung und Bewertung von Abweichungen

Dies ermöglicht eine transparente und belastbare Compliance-Kontrolle.

5. Umgang mit Änderungen der Anforderungen

Rechtliche und regulatorische Anforderungen unterliegen häufigen Änderungen:

• systematische Beobachtung relevanter Änderungen
• Bewertung der Auswirkungen auf Informationssicherheit
• Anpassung von Richtlinien, Prozessen und Maßnahmen
• Kommunikation der Änderungen an betroffene Stellen

Ein strukturiertes Änderungsmanagement verhindert Compliance-Lücken.

6. Berücksichtigung vertraglicher Verpflichtungen

Vertragliche Anforderungen müssen angemessen gesteuert werden:

• Prüfung sicherheitsrelevanter Vertragsklauseln
• Integration von Sicherheitsanforderungen in Verträge
• Überwachung der Einhaltung durch externe Parteien
• Behandlung von Abweichungen oder Verstößen

So wird die Einhaltung vertraglicher Sicherheitsanforderungen sichergestellt.

7. Dokumentation und Nachweisführung

Die Erfüllung der Anforderungen muss nachvollziehbar dokumentiert sein:

• Richtlinien, Verfahren und Arbeitsanweisungen
• Auditberichte, Prüfprotokolle und Nachweise
• Dokumentation von Maßnahmen und Änderungen
• Aufbewahrung gemäß gesetzlichen und internen Vorgaben

Diese Nachweise sind essenziell für Audits und externe Prüfungen.

8. Schulung und Sensibilisierung

Mitarbeitende müssen die relevanten Anforderungen kennen und umsetzen können:

• regelmäßige Schulungen zu rechtlichen und regulatorischen Themen
• Sensibilisierung für Compliance- und Sicherheitsanforderungen
• zielgruppenspezifische Trainings für besonders betroffene Bereiche
• Dokumentation der Schulungsmaßnahmen

Dies unterstützt eine nachhaltige Compliance-Kultur.

Zusammenfassung

A 5.31 fordert, dass Organisationen rechtliche, gesetzliche, regulatorische und vertragliche Anforderungen systematisch identifizieren, dokumentieren, umsetzen und überwachen. Durch ein strukturiertes Compliance-Management, klare interne Regelwerke, kontinuierliche Überwachung und regelmäßige Schulungen wird sichergestellt, dass Informationssicherheit rechtlich, organisatorisch und technisch wirksam verankert ist. Das Control bildet eine zentrale Grundlage für Compliance, Risikominimierung und Vertrauen von Kunden und Partnern.