von Dominik Weyand | Jun 7, 2024 | Compliance, Cyber-Sicherheit, Datenschutz, GRC & Informationssicherheit, News
Von Dominik Weyand
Einleitung
Der Klimawandel ist eine der größten Herausforderungen unserer Zeit und beeinflusst alle Aspekte des gesellschaftlichen und wirtschaftlichen Lebens. Um den Auswirkungen des Klimawandels gerecht zu werden und eine nachhaltige Entwicklung zu fördern, werden zunehmend Managementsysteme angepasst. Insbesondere die international anerkannten Normen ISO 9001 (Qualitätsmanagement) und ISO 27001 (Informationssicherheitsmanagement) haben begonnen, den Klimawandel in ihre Anforderungen zu integrieren. Dies spiegelt sich konkret in den Kapiteln 4.1 und 4.2 dieser Normen wider, die kürzlich überarbeitet wurden.
Die ISO 9001 und der Klimawandel
Die ISO 9001-Norm, die weltweit als Standard für Qualitätsmanagementsysteme gilt, wurde dahingehend erweitert, dass der Klimawandel und seine Auswirkungen stärker berücksichtigt werden. Die überarbeitete Fassung von Kapitel 4.1 fordert nun, dass Organisationen bei der Bestimmung ihres internen und externen Kontextes auch die Auswirkungen des Klimawandels berücksichtigen. Dies bedeutet, dass Unternehmen:
- Umweltfaktoren analysieren müssen, die die Qualität ihrer Produkte und Dienstleistungen beeinflussen könnten, wie extreme Wetterereignisse oder Veränderungen der Ressourcenzugänglichkeit
- Risikobewertungen hinsichtlich des Klimawandels durchführen, um mögliche Störungen in der Lieferkette oder Produktionsprozesse zu identifizieren und zu mitigieren
- Strategische Maßnahmen entwickeln, um die Resilienz ihres Qualitätsmanagementsystems gegen klimabedingte Risiken zu stärken
Kapitel 4.2 wurde dahingehend angepasst, dass Organisationen nun die Erwartungen und Anforderungen ihrer interessierten Parteien im Kontext des Klimawandels berücksichtigen müssen. Dies beinhaltet:
- Erwartungen von Kunden und Lieferanten hinsichtlich nachhaltiger und klimafreundlicher Produkte und Prozesse bestimmen
- Regulatorische Anforderungen in Bezug auf Umwelt- und Klimaschutzmaßnahmen erfüllen
Die ISO 27001 und der Klimawandel
Auch die ISO 27001-Norm, die als Standard für Informationssicherheitsmanagementsysteme dient, wurde um Aspekte des Klimawandels erweitert. In der aktualisierten Version von Kapitel 4.1 müssen Organisationen nun auch klimabedingte Faktoren in ihren Kontextanalysen berücksichtigen. Dies bedeutet, dass:
- Klimainduzierte Risiken für die Informationssicherheit, wie z.B. durch Naturkatastrophen verursachte Ausfälle von Rechenzentren oder Kommunikationsinfrastrukturen, identifiziert und bewertet werden müssen.
- Maßnahmen zur Erhöhung der Resilienz gegenüber klimabedingten Bedrohungen, wie Backup-Systeme und redundante Kommunikationswege, implementiert werden sollten.
Kapitel 4.2 der ISO 27001 wurde so erweitert, dass Organisationen auch die klimabezogenen Erwartungen und Anforderungen ihrer Stakeholder berücksichtigen müssen. Dies beinhaltet:
- Anforderungen von Kunden und Partnern hinsichtlich der Sicherstellung der Informationssicherheit unter klimatischen Extrembedingungen.
- Regulatorische Vorgaben und Compliance-Anforderungen im Kontext von Klimarisiken und Informationssicherheit.
- Erwartungen der Gesellschaft bezüglich der Nachhaltigkeit und Klimaschutzmaßnahmen von Unternehmen im Bereich der Informationssicherheit.
Fazit
Die Integration des Klimawandels in die Managementsysteme ISO 9001 und ISO 27001 stellt einen bedeutenden Schritt dar, um den Herausforderungen des Klimawandels auf organisatorischer Ebene zu begegnen. Die Anpassungen in den Kapiteln 4.1 und 4.2 dieser Normen verdeutlichen die Notwendigkeit, Klimarisiken und -chancen systematisch zu identifizieren und in die strategischen Planungen und operativen Prozesse zu integrieren. Unternehmen, die diese Anpassungen proaktiv umsetzen, positionieren sich nicht nur besser in einem sich verändernden globalen Umfeld, sondern tragen auch aktiv zu einer nachhaltigeren und widerstandsfähigeren Wirtschaft bei.
Unsere Experten helfen Ihnen gerne weiter und stehen für offene Fragen jederzeit zur Verfügung. Durch unsere jahrelange Erfahrung aus verschiedenen Branchen helfen wir Ihnen nicht nur bei aktuellen Problemen, sondern sorgen für ein nachhaltig hohes Sicherheitsniveau in Ihrem Unternehmen.
von Michael Wager | Apr 25, 2023 | GRC & Informationssicherheit, News
von Dominik Weyand
Anpassung der Normen
Seit der letzten Revision sind die Cybergefahren stark angestiegen, die Anforderungen an den Datenschutz wurden verschärft und die technische Entwicklung ist vorangeschritten. Aus diesen Gründen war es notwendig die Anforderungen an die ISO/IEC 27002 sowie an die ISO/IEC 27001 von Grund auf zu überarbeiten. Diese Anpassungen wurden in Form der ISO/IEC 27001:2022 und der ISO/IEC 27002:2022 bereits veröffentlicht.
Änderungen durch die Revision
Die wesentlichen Änderungen beziehen sich auf die inhaltliche Umstrukturierung der ISO/IEC 27002. Vergleicht man die beiden Gliederungen, so ist schnell erkennbar, dass in dem neuen Standard aus 114 Maßnahmen in 14 Bereichen 93 Maßnahmen in 4 Bereichen geworden sind. Die Reduzierung ist dadurch erklärbar, dass bestimmte Inhalte zusammengefasst, allerdings nicht weggefallen sind. Zusätzlich gibt es 11 neue Maßnahmen, welche in dieser Form im vorherigen Standard nicht existieren. Weiterhin wird in der neuen Version das Ziel jeder Maßnahme explizit definiert und durch weitere Informationen spezifiziert. Die folgenden 11 neuen Maßnahmen wurden aufgenommen, um aktuelle Entwicklungen in der Informationssicherheit zu berücksichtigen:
| 5.7 Bedrohungsintelligenz |
Organisatorische Maßnahme |
| 5.23 Informationssicherheit für die Nutzung von Cloud-Diensten |
Organisatorische Maßnahme |
| 5.30 IKT-Bereitschaft für Geschäftskontinuität |
Organisatorische Maßnahme |
| 7.4 Überwachung der physischen Sicherheit |
Physische Maßnahme |
| 8.9 Konfigurationsmanagement |
Technologische Maßnahme |
| 8.10 Löschung von Informationen |
Technologische Maßnahme |
| 8.11 Datenmaskierung |
Technologische Maßnahme |
| 8.12 Verhinderung von Datenverlusten |
Technologische Maßnahme |
| 8.16 Überwachungstätigkeiten |
Technologische Maßnahme |
| 8.23 Web-Filterung |
Technologische Maßnahme |
| 8.28 Sichere Kodierung |
Technologische Maßnahme |
Hierbei muss beachtet werden, dass nicht einfach alle Maßnahmen aus dem Anhang abgearbeitet werden sollen, sondern die Risiken aus der jeweiligen Unternehmensperspektive zu betrachten sind. Die neue Version fordert also, dass dem Blick in den Normenkontext der Blick auf die Situation und die Bedürfnisse des Unternehmens vorausgehen muss. Auf dieser Grundlage müssen die Risiken analysiert und Maßnahmen für das Unternehmen abgleitet werden.
Neben den signifikanten Änderungen des Anhangs wurden auch einige Stellen in der Norm angepasst. So wurden beispielsweise in den Kapiteln einzelne Anforderungen umformuliert oder durch zusätzliche Aufzählungspunkte ergänzt. Darüber hinaus wurde das Unterkapitel 9.3 Managementbewertung stärker untergliedert, um die Bedeutung dieser hervorzuheben. Ebenso wurde die Reihenfolge in Kapitel 10 Verbesserung getauscht, wodurch die fortlaufende Verbesserung vor den Umgang mit Nichtkonformitäten und Korrekturmaßnahmen gestellt wird.
Handlungsbedarf
Die neuen Anpassungen im Anhang sorgen dafür, dass das Informationssicherheitsmanagement gemäß ISO/IEC 27001 mit anderen Managementsystemen zu einem integrierten Managementsystem zusammengefügt werden kann und die Unternehmen somit von den Synergieeffekten profitieren. Auf Grund der stetig steigenden Anzahl an Anforderungen und Managementsystemen führt dies zu einer Reduzierung des operativen Aufwands. An erster Stelle sollen allerdings die zuvor genannten Änderungen bereits enthaltene Inhalte spezifizieren und keine grundlegend neuen Anforderungen an das Informationssicherheitssystem stellen. Während das Managementsystem also weitestgehend gleich bleibt, liegt die wirkliche Arbeit beim Umstieg auf die neue ISO 27001:2022 in der Umstellung der Risikoanalyse auf die neuen Controls. Die Übergangsfrist für die Umstellung auf die neue Version beläuft sich gemäß den Vorgaben des International Accreditation Forum (IAF) auf den 31.10.2025. Unternehmen, die vor einer Rezertifizierung stehen, können bis zu diesem Zeitpunkt entscheiden, ob sie nach dem bisherigen oder dem neuen Standard zertifiziert werden. Für Unternehmen, die neu anfangen ist es ratsam sich direkt an der Version 2022 zu orientieren. Somit lässt sich festhalten, dass sich der Umfang der Änderungen für bereits zertifizierte Unternehmen im Rahmen hält und diese besser gleich umgesetzt werden sollen. Der Aufwand für Unternehmen, die bislang die Punkte des Anhangs lediglich abgehakt haben ist jedoch um ein vielfaches höher. Insbesondere die Überarbeitung der SoA (Statement of Applicability), welche die Maßnahmen zur Behandlung von Risiken auflistet und beschreibt, nimmt einige Zeit in Anspruch. Ebenso müssen die in der Risikoanalyse festgestellten Risiken mit wirksamen Maßnahmen verknüpft werden. Darüber hinaus ist es wichtig alle in der Norm enthaltenen Anforderungen zu bearbeiten. Sollten bestimmte Anforderungen nicht zum Unternehmen passen muss hierzu eine Begründung abgegeben werden, weshalb diese nicht für das Unternehmen relevant sind.
Abschließend ist zu beachten, dass die tatsächlichen Auswirkungen der Revision auf Unternehmen von verschiedenen Faktoren abhängig sind. Daher wird empfohlen, sich mit einem Experten für Informationssicherheit Verbindung zu setzen, um die genauen Auswirkungen der ISO 27001:2022 auf Ihr Unternehmen zu ermitteln und geeignete Maßnahmen umzusetzen.
