(nach ISO/IEC 27001:2022 und ISO/IEC 27002:2022)

Organisationen sind verpflichtet, eine Vielzahl rechtlicher, gesetzlicher, regulatorischer und vertraglicher Anforderungen einzuhalten, die unmittelbare Auswirkungen auf den Umgang mit Informationen, Technologien, personenbezogenen Daten und sicherheitsrelevanten Prozessen haben. Dieses Control stellt sicher, dass relevante Anforderungen identifiziert, dokumentiert, regelmäßig überprüft und umgesetzt werden. Damit werden Risiken aus Compliance-Verstößen reduziert, die zu Sanktionen, Reputationsschäden oder Sicherheitsvorfällen führen können.

Zweck des Controls

A 5.31 soll gewährleisten, dass alle Anforderungen, die sich aus Rechtsvorschriften, Normen, Verträgen und anderen bindenden Vereinbarungen ergeben, systematisch ermittelt, verstanden und erfüllt werden. Weiterhin müssen Kontrollen implementiert werden, die nachweislich sicherstellen, dass diese Anforderungen dauerhaft eingehalten werden.

Anforderungen und Maßnahmen

1. Identifikation relevanter Anforderungen

Organisationen müssen alle Anforderungen ermitteln, die für sie relevant sind:

• Gesetze und Verordnungen (z. B. Datenschutz, Arbeitsrecht, Fernmeldegesetze, IT-Sicherheitsrecht, branchenspezifische Vorgaben).
• Regulatorische Anforderungen (z. B. NIS2, Finanzaufsicht, Gesundheitswesen, Energieversorgung).
• Vertragliche Verpflichtungen gegenüber Kunden, Lieferanten oder Partnern.
• Branchenspezifische Standards (z. B. KRITIS, PCI-DSS).
• Interne und externe normative Anforderungen (z. B. Corporate Policies, Zertifizierungsanforderungen).

Die Identifikation muss dokumentiert, nachvollziehbar und aktuell sein.

2. Erstellung eines Compliance-Registers

Alle identifizierten Anforderungen müssen in einem strukturierten Register festgehalten werden:

• Beschreibung der Anforderung.
• Betroffener Anwendungsbereich (Prozesse, Systeme, Abteilungen).
• Verantwortlichkeiten für Umsetzung und Überwachung.
• Vorgaben für Nachweise, Kontrollen und Checklisten.
• Bewertung der Relevanz (z. B. kritisch, hoch, mittel, gering).

Das Compliance-Register dient als zentrale Grundlage für die Steuerung der Informationssicherheits-Compliance.

3. Umsetzung der Anforderungen in interne Regelwerke

Rechtliche und vertragliche Anforderungen müssen in interne Richtlinien und Verfahren übersetzt werden:

• Informationssicherheitsrichtlinien, Datenschutzrichtlinien, IT-Sicherheitskonzepte.
• Technische und organisatorische Maßnahmen (z. B. Zugriffskontrolle, Löschkonzepte).
• Betriebsrichtlinien für den Umgang mit Daten, Systemen und Informationswerten.
• Vorgaben für das Verhalten von Mitarbeitenden und externen Partnern.

Damit wird die Einhaltung für alle Beteiligten verbindlich und verständlich.

4. Überwachung und Kontrolle der Compliance

Die Organisation muss sicherstellen, dass die Anforderungen auch tatsächlich eingehalten werden:

• Regelmäßige interne Audits und Compliance-Reviews.
• Automatisierte technische Kontrollen (Monitoring, Logging, Berechtigungsüberprüfungen).
• Überprüfung von Vertragskonformität bei Lieferanten und Dienstleistern.
• Erfassung und Bewertung von Abweichungen oder Verstößen.
• Pflege von Nachweisen für interne und externe Prüfer.

Dies ermöglicht eine transparente und belastbare Compliance-Steuerung.

5. Umgang mit Änderungen der Anforderungen

Rechtliche und regulatorische Rahmenbedingungen ändern sich oft kurzfristig:

• Systematische Beobachtung von Gesetzesänderungen (Legal Monitoring).
• Bewertung der Auswirkungen auf Prozesse, Systeme und Verträge.
• Rechtzeitige Anpassung von Richtlinien und technischen Maßnahmen.
• Kommunikation neuer Anforderungen an interne Stakeholder und externe Parteien.
• Schulungen und Sensibilisierungen für betroffene Mitarbeitende.

Ein strukturiertes Change-Management verhindert Compliance-Lücken.

6. Umgang mit vertraglichen Pflichten und Vereinbarungen

Verträge können spezifische Sicherheits-, Datenschutz- oder Serviceanforderungen enthalten:

• Definition und Überwachung relevanter SLA-, NDA- oder Sicherheitsklauseln.
• Kontrolle der Einhaltung vertraglicher Vorgaben bei Lieferanten (Third-Party-Management).
• Dokumentation relevanter Verpflichtungen im Compliance-Register.
• Sicherstellung, dass Abweichungen oder Verstöße vertraglich adressiert werden können.

So wird die Einhaltung vertraglicher Sicherheitsanforderungen gewährleistet.

7. Dokumentation und Aufbewahrung von Nachweisen

Zur Absicherung der Compliance müssen Nachweise verfügbar sein:

• Protokolle, Checklisten, Auditberichte, Schulungsnachweise.
• Dokumentierte Verfahren und Änderungsnachweise.
• Nachweise für erfolgte Meldungen an Behörden oder Kunden.
• Archivierungs- und Aufbewahrungsrichtlinien.

Diese Dokumentation sorgt für Transparenz und Revisionssicherheit.

8. Sensibilisierung und Schulung der Mitarbeitenden

Alle Mitarbeitenden müssen die Anforderungen kennen, verstehen und umsetzen:

• Regelmäßige Schulungen zu Datenschutz, Geheimhaltung, IT-Sicherheit und spezifischen Compliance-Themen.
• Dokumentierte Awareness-Kampagnen und verpflichtende Schulungsprogramme.
• Zielgruppenspezifische Trainings für Fachbereiche mit besonderen Anforderungen (z. B. HR, Einkauf, Rechtsabteilung).

Dies unterstützt die organisatorische Verankerung der Compliance-Kultur.

Zusammenfassung

A 5.31 verlangt, dass Organisationen alle relevanten gesetzlichen, regulatorischen, vertraglichen und sonstigen bindenden Anforderungen identifizieren, bewerten, dokumentieren und erfüllen. Die Umsetzung erfolgt durch ein strukturiertes Compliance-Management, angemessene interne Regelwerke, kontinuierliche Überwachung, regelmäßige Schulungen sowie die Anpassung an geänderte Rahmenbedingungen. Damit wird sichergestellt, dass Informationssicherheit nicht nur technisch, sondern auch rechtlich und organisatorisch wirksam verankert ist.