CompliantDesk

A.5 Organisatorische Maßnahmen

A.5.2

Informationssicherheitsrollen und -verantwortlichkeiten

ISO 27001NIS2TISAXBSI

Rollen und Verantwortlichkeiten für die Informationssicherheit müssen entsprechend den Anforderungen der Organisation definiert und zugewiesen werden.

Was fordert dieses Control?

Rollen und Verantwortlichkeiten für die Informationssicherheit müssen entsprechend den Anforderungen der Organisation definiert und zugewiesen werden.

Warum ist das wichtig?

Nur wenn klar ist, wer wofür verantwortlich ist, werden Sicherheitsaufgaben verlässlich wahrgenommen. Unklare Zuständigkeiten sind eine der häufigsten Audit-Lücken.

Cross-Standard-Mapping

StandardControl-IDRelevanz
NIS2Art. 20Direkt
TISAX1.2.1Direkt
BSIISMS.1.A2Direkt

Was der Auditor erwartet

  1. 1Dokumentierte Rollen mit klaren Verantwortlichkeiten
  2. 2Benannte Verantwortliche (z.B. ISB) mit Mandat
  3. 3Nachvollziehbare Zuweisung an konkrete Personen

Audit-Checkliste

Dokumente

  • Rollen- und Verantwortungsmatrix

    Welche Rolle welche Sicherheitsaufgaben trägt

Nachweise

  • Benennungsnachweis ISB

    Formale Ernennung mit Mandat und Ressourcen

Interviews

  • Rolleninhaber

    Kennen sie ihre Sicherheitsverantwortung

Praxis-Tipps zur Umsetzung

1

RACI nutzen

Eine RACI-Matrix macht Verantwortung, Mitwirkung und Information eindeutig.

2

Mandat geben

Der ISB braucht Befugnisse und Ressourcen, nicht nur einen Titel.

3

Auf Personen herunterbrechen

Rollen konkreten Personen zuordnen, nicht nur abstrakt beschreiben.

Häufige Fehler

ISB ohne Mandat

Ein Beauftragter ist benannt, hat aber weder Befugnisse noch Zeit.

Nur Rollen, keine Personen

Verantwortlichkeiten bleiben abstrakt und werden nicht zugewiesen.

Häufig gestellte Fragen

Brauchen wir einen hauptamtlichen ISB?

Nicht zwingend, die Rolle kann je nach Größe in Teilzeit oder extern besetzt werden, braucht aber ein echtes Mandat.

Darf der IT-Leiter auch ISB sein?

Möglich, aber wegen Interessenkonflikten kritisch. Eine gewisse Unabhängigkeit ist vorzuziehen.

Wie dokumentiert man Rollen am besten?

Über eine Rollenmatrix oder ein Rollenregister mit Zuordnung zu konkreten Personen.

So hilft CompliantDesk bei A.5.2

Hinterlegen Sie ISMS-Rollen mit Verantwortlichkeiten und Inhabern und verknüpfen Sie sie mit Aufgaben, Kontrollen und Reviews.

Demo buchen NIS2-Check Gratis

Verwandte Controls

A.5.3

Aufgabentrennung

A.5.4

Verantwortlichkeiten der Leitung

A.5.1

Informationssicherheitsrichtlinien