A.5 Organisatorische Maßnahmen
Rechtliche, gesetzliche, regulatorische und vertragliche Anforderungen
Rechtliche, gesetzliche, regulatorische und vertragliche Anforderungen an die Informationssicherheit sowie die Vorgehensweise zu deren Erfüllung müssen identifiziert, dokumentiert und aktuell gehalten werden.
Was fordert dieses Control?
Rechtliche, gesetzliche, regulatorische und vertragliche Anforderungen an die Informationssicherheit sowie die Vorgehensweise zu deren Erfüllung müssen identifiziert, dokumentiert und aktuell gehalten werden.
Warum ist das wichtig?
Compliance-Verstöße führen zu Bußgeldern und Haftung. Ein gepflegtes Register relevanter Anforderungen ist die Basis, um Pflichten überhaupt erfüllen zu können.
Cross-Standard-Mapping
| Standard | Control-ID | Relevanz |
|---|---|---|
| NIS2 | Art. 21 | Direkt |
| DSGVO | Art. 5/24 | Direkt |
| TISAX | 1.5.1 | Direkt |
Was der Auditor erwartet
- 1Register relevanter rechtlicher und vertraglicher Anforderungen
- 2Zuordnung zu Maßnahmen und Verantwortlichen
- 3Aktualisierung bei Änderungen der Rechtslage
Audit-Checkliste
Dokumente
Compliance-/Anforderungsregister
Relevante Gesetze, Normen und Verträge mit Bezug zur Sicherheit
Nachweise
Aktualisierungsnachweis
Pflege des Registers bei Rechtsänderungen
Praxis-Tipps zur Umsetzung
Register führen
Alle relevanten Anforderungen zentral mit Quelle und Verantwortlichem erfassen.
Auf Updates achten
Rechtliche Änderungen systematisch beobachten und einarbeiten.
Auf Maßnahmen mappen
Jede Anforderung mit der erfüllenden Maßnahme verknüpfen.
Häufige Fehler
Kein Register
Anforderungen sind nicht systematisch erfasst, Lücken bleiben unerkannt.
Veraltet
Neue gesetzliche Pflichten werden nicht nachgepflegt.
Häufig gestellte Fragen
Welche Anforderungen gehören ins Register?
Etwa DSGVO, NIS2, branchenspezifische Gesetze, Normen und vertragliche Sicherheitszusagen.
Wie hält man das Register aktuell?
Über regelmäßige rechtliche Beobachtung, etwa mithilfe eines Regulatory-Radars.
Wer ist verantwortlich?
Meist der ISB in Abstimmung mit Recht und Datenschutz, mit klaren Zuständigkeiten je Anforderung.
So hilft CompliantDesk bei A.5.31
Das Radar-Modul beobachtet regulatorische Updates, die Sie als Anforderungen mit Maßnahmen und Verantwortlichen im ISMS verknüpfen.