⚡ LIMITED TIME Get our FREE €500+ Compliance Starter Kit
Get It Now →
DE EN BG CS DA EL ES ET FI FR GA HR HU IT LV MT NL PL PT RO SK SL SV
Compliance

Wie ISO/IEC 27001:2022 die GDPR-Compliance in KMU unterstützt

Igor Petreski
13 min read
#ISO 27001:2022 #GDPR #Datenschutz #Risikomanagement #ISMS #Audit

Für kleine und mittlere Unternehmen kann der Umgang mit den Überschneidungen zwischen GDPR und ISO/IEC 27001:2022 wirken, als müssten zwei unterschiedliche Puzzles mit denselben Teilen gelöst werden. Dieser Leitfaden zeigt, wie der strukturierte, risikobasierte Ansatz von ISO 27001 als wirksamer Motor genutzt werden kann, um die Einhaltung der anspruchsvollen Datenschutzgrundsätze der GDPR zu steuern, zu verwalten und nachzuweisen.

Worum es geht

Für ein KMU gehen die Folgen einer unzureichenden Absicherung personenbezogener Daten weit über regulatorische Bußgelder hinaus. Auch wenn die Sanktionen der GDPR erheblich sind, können der operative Schaden und der Reputationsschaden durch eine Datenpanne noch gravierender sein. Ein einzelner Vorfall kann eine Kaskade negativer Folgen auslösen: verlorenes Kundenvertrauen, gekündigte Verträge und eine beschädigte Marke, deren Wiederaufbau Jahre dauern kann. Die Verordnung verlangt die Umsetzung angemessener technischer und organisatorischer Maßnahmen zum Schutz personenbezogener Daten; diese Anforderung entspricht der Grundlogik von ISO 27001. Wer dies ignoriert, akzeptiert ein Risikoniveau, das das gesamte Unternehmen gefährden kann. Es geht nicht nur darum, Sanktionen zu vermeiden; es geht darum, die Aufrechterhaltung des Geschäftsbetriebs sicherzustellen und das Vertrauen zu erhalten, das Sie bei Kunden und Partnern aufgebaut haben.

Der Druck kommt von allen Seiten. Kunden sind stärker für Datenschutz sensibilisiert als je zuvor und verlangen zunehmend Nachweise für belastbare Datenschutzpraktiken. Geschäftspartner, insbesondere größere Unternehmen, machen die Einhaltung von Standards wie ISO 27001 häufig zur vertraglichen Voraussetzung. Sie benötigen die Zusicherung, dass ihre Daten und alle personenbezogenen Daten, die Sie in ihrem Auftrag verarbeiten, angemessen geschützt sind. Können Sie diese Zusicherung nicht erbringen, kann dies den Verlust wertvoller Aufträge bedeuten. Intern führt das Fehlen eines strukturierten Sicherheitsrahmens zu Ineffizienz und Unklarheit, erschwert eine wirksame Reaktion auf Vorfälle und macht Ihre wertvollsten Informationswerte anfällig für versehentlichen Verlust oder böswillige Angriffe.

Betrachten wir ein kleines E-Commerce-Unternehmen, das Kundennamen, Adressen und Kaufhistorien speichert. Ein Ransomware-Angriff verschlüsselt die Datenbank. Ohne formalen Business-Continuity-Plan und getestete Backups, wie sie sowohl nach Article 32 GDPR als auch nach ISO 27001 gefordert sind, kann der Dienst nicht schnell wiederhergestellt werden. Das Unternehmen riskiert nicht nur ein mögliches Bußgeld wegen unzureichender Sicherheit, sondern auch mehrere Tage Umsatzverlust und eine Kommunikationskrise, weil es den Serviceausfall und die mögliche Offenlegung von Daten gegenüber seiner gesamten Kundenbasis erklären muss.

Wie ein guter Zielzustand aussieht

Die Ausrichtung von ISO/IEC 27001:2022 und GDPR macht aus einer belastenden Checklistenübung einen strategischen Vorteil. Wenn Ihr Informationssicherheitsmanagementsystem (ISMS) auf ISO 27001 basiert, stellt es die Struktur, Prozesse und Nachweise bereit, die erforderlich sind, um die Einhaltung der GDPR-Grundsätze Datenschutz durch Technikgestaltung und Datenschutz durch datenschutzfreundliche Voreinstellungen nachzuweisen. Ein guter Zielzustand bedeutet: Sie behaupten nicht nur, konform zu sein; Sie verfügen über die Dokumentation, Aufzeichnungen und Prüfpfade, um dies zu belegen. Ihre Risikobeurteilungen berücksichtigen Datenschutzrisiken selbstverständlich, und die ausgewählten Sicherheitsmaßnahmen mindern Bedrohungen für personenbezogene Daten unmittelbar.

Dieser integrierte Ansatz schafft eine Sicherheits- und Datenschutzkultur, die die gesamte Organisation durchdringt. Datenschutz wird nicht als isoliertes IT-Thema behandelt, sondern als gemeinsame Verantwortung, gesteuert durch klare Richtlinien und Verfahren. Beschäftigte verstehen ihre Rolle beim Schutz personenbezogener Daten, von der sicheren Bearbeitung von Kundenanfragen bis zur zeitnahen Meldung möglicher Vorfälle. Lieferantenbeziehungen werden über Verträge gesteuert, die robuste Datenschutzklauseln enthalten, sodass Ihre Sicherheitsanforderungen entlang der gesamten Lieferkette gelten. Dieser Zustand nachweisbarer Compliance bedeutet: Wenn ein Auditor oder ein potenzieller Geschäftspartner fragt, wie Sie personenbezogene Daten schützen, können Sie auf ein gelebtes Managementsystem verweisen, nicht nur auf ein verstaubtes Richtliniendokument.

Stellen Sie sich einen wachsenden Software-as-a-Service (SaaS)-Anbieter vor, der einen großen Unternehmenskunden gewinnen möchte. Der Due-Diligence-Fragebogen des Kunden ist umfangreich und enthält detaillierte Fragen zur GDPR-Compliance. Da der SaaS-Anbieter über ein nach ISO 27001 zertifiziertes ISMS verfügt, kann er effizient seine Erklärung zur Anwendbarkeit (SoA), die Methodik der Risikobeurteilung und Aufzeichnungen interner Audits bereitstellen. Diese Dokumente zeigen klar, wie er Maßnahmen wie Verschlüsselung, Zugriffskontrolle und Schwachstellenmanagement umsetzt, um die von ihm verarbeiteten personenbezogenen Daten zu schützen, und erfüllen damit unmittelbar die Anforderungen des Kunden sowie die Anforderungen der GDPR.

Praktischer Umsetzungsweg

Ein einheitliches System, das sowohl ISO 27001 als auch GDPR erfüllt, entsteht durch ein methodisches Vorgehen, nicht durch ein einmaliges Projekt. Es nutzt den strukturierten Plan-Do-Check-Act-Zyklus eines ISMS, um die spezifischen Anforderungen des Datenschutzrechts systematisch zu adressieren. Wenn personenbezogene Daten innerhalb Ihres ISMS als kritischer Informationswert behandelt werden, können Sie den wirksamen Risikomanagementmechanismus des Standards nutzen, um die GDPR-Pflichten für eine sichere Verarbeitung zu erfüllen. Dieser Weg stellt sicher, dass Ihre Maßnahmen effizient, wiederholbar und vor allem wirksam bei der Reduzierung realer Risiken sind.

Phase 1: Grundlage mit Kontext und Risikobeurteilung schaffen

Der erste Schritt besteht darin, den ISMS-Geltungsbereich zu definieren und dabei ausdrücklich alle Systeme, Prozesse und Standorte einzubeziehen, an denen personenbezogene Daten verarbeitet werden. Dies entspricht der ISO 27001-Anforderung, die Organisation und ihren Kontext zu verstehen. Ein wesentlicher Teil dieser Phase ist die Ermittlung der rechtlichen und regulatorischen Anforderungen, wobei GDPR ein zentraler Eingangsfaktor ist. Sie müssen ein Verzeichnis von Verarbeitungstätigkeiten (VVT) erstellen und pflegen, wie es Article 30 GDPR verlangt. Dieses Inventar personenbezogener Datenbestände, Datenflüsse und Verarbeitungszwecke wird zu einem Grundpfeiler Ihres ISMS und informiert Ihre Risikobeurteilung sowie die Auswahl von Maßnahmen. Unser Implementierungsleitfaden, der Zenith Blueprint, bietet einen schrittweisen Prozess zur Festlegung dieses grundlegenden Kontexts und Geltungsbereichs.1

Sobald Sie wissen, welche personenbezogenen Daten Sie haben und wo sie sich befinden, können Sie eine Risikobeurteilung durchführen, die Bedrohungen für deren Vertraulichkeit, Integrität und Verfügbarkeit adressiert. Dieser für ISO 27001 zentrale Prozess erfüllt unmittelbar die GDPR-Vorgabe eines risikobasierten Sicherheitsansatzes. Ihre Risikobeurteilung sollte potenzielle Bedrohungen wie unbefugten Zugriff, Datenabfluss oder Systemausfälle identifizieren und deren potenzielle Auswirkungen auf die Rechte und Freiheiten betroffener Personen bewerten.

  • Datenflüsse abbilden: Dokumentieren Sie, wie personenbezogene Daten in Ihre Organisation gelangen, sich dort bewegen und sie wieder verlassen.
  • Rechtliche Verpflichtungen identifizieren: Nutzen Sie ISO 27001 Abschnitt 4.2, um GDPR formell als zentrale Anforderung interessierter Parteien (Aufsichtsbehörden, betroffene Personen) zu identifizieren.
  • Asset-Inventar erstellen: Erstellen Sie ein Register aller Assets, die an der Verarbeitung personenbezogener Daten beteiligt sind, einschließlich Anwendungen, Datenbanken und Servern.
  • Risikobeurteilung durchführen: Bewerten Sie Bedrohungen für personenbezogene Daten und bestimmen Sie das Risikoniveau unter Berücksichtigung von Eintrittswahrscheinlichkeit und Auswirkung.
  • Risikobehandlungsplan entwickeln: Legen Sie fest, wie Sie auf jedes identifizierte Risiko reagieren, sei es durch Anwendung einer Maßnahme, Risikoakzeptanz oder Risikovermeidung.

Phase 2: Maßnahmen zum Schutz personenbezogener Daten umsetzen

Mit einem klaren Verständnis der Risiken können Sie geeignete Maßnahmen aus Anhang A von ISO 27001 auswählen und umsetzen, um diese Risiken zu mindern. Hier wird die Synergie zwischen Standard und Verordnung besonders deutlich. Viele Anforderungen aus Article 32 GDPR an „technische und organisatorische Maßnahmen“ werden direkt durch Maßnahmen aus Anhang A adressiert. So wird etwa die GDPR-Forderung nach Verschlüsselung und Pseudonymisierung durch die Umsetzung von Maßnahmen wie 8.24 Use of cryptography und 8.11 Data masking erfüllt. Die Notwendigkeit, die fortlaufende Integrität und Resilienz der Verarbeitungssysteme sicherzustellen, wird durch Maßnahmen für Schwachstellenmanagement (8.8), Backup (8.13) und Protokollierung (8.15) adressiert.

Die Überführung dieser Anforderungen in einen kohärenten Maßnahmenkatalog kann komplex sein, da sich die Sprache rechtlicher Regelungen und die Sprache von Sicherheitsstandards unterscheiden. Eine Master-Zuordnung, die jede ISO 27001-Maßnahme mit den entsprechenden Artikeln in GDPR, NIS2 und anderen Rahmenwerken verknüpft, ist äußerst wertvoll. Sie schafft Klarheit für Umsetzungsverantwortliche und einen klaren Prüfpfad für Auditoren. Die Bibliothek Zenith Controls wurde genau für diesen Zweck entwickelt und dient als maßgebliche Querverknüpfung zwischen Rahmenwerken.2 Dadurch wird sichergestellt, dass Sie bei der Umsetzung einer ISO 27001-Maßnahme bewusst und nachweisbar eine konkrete GDPR-Anforderung erfüllen.

  • Zugriffskontrolle umsetzen: Setzen Sie das Prinzip der minimalen Berechtigung durch, damit Beschäftigte nur auf die personenbezogenen Daten zugreifen können, die für ihre Rolle erforderlich sind.
  • Kryptografie einsetzen: Verschlüsseln Sie personenbezogene Daten sowohl ruhend in Datenbanken als auch während der Übertragung über Netzwerke.
  • Technische Schwachstellen managen: Etablieren Sie einen Prozess, um Softwareschwachstellen regelmäßig zu identifizieren, zu bewerten und durch Patches zu beheben.
  • Aufrechterhaltung des Geschäftsbetriebs sicherstellen: Implementieren und testen Sie Backup- und Wiederherstellungsverfahren, damit der Zugriff auf personenbezogene Daten nach einem Vorfall zeitnah wiederhergestellt werden kann.
  • Entwicklungsumgebungen absichern: Wenn Sie Software entwickeln, stellen Sie sicher, dass Testumgebungen von der Produktion getrennt sind und keine echten personenbezogenen Daten ohne Schutzmaßnahmen wie Maskierung verwenden.

Phase 3: Überwachen, pflegen und verbessern

Ein ISMS ist kein statisches System. ISO 27001 verlangt fortlaufende Überwachung, Messung, Analyse und Bewertung, um sicherzustellen, dass Maßnahmen wirksam bleiben. Dies unterstützt unmittelbar die GDPR-Anforderung, die Wirksamkeit Ihrer Sicherheitsmaßnahmen regelmäßig zu testen und zu bewerten. Diese Phase umfasst interne Audits, die Überprüfung von Protokollen und Monitoring-Warnmeldungen sowie regelmäßige Managementbewertungen zur Beurteilung der ISMS-Leistung. Alle identifizierten Nichtkonformitäten oder Verbesserungsmöglichkeiten fließen zurück in den Prozess der Risikobeurteilung und Risikobehandlung und schaffen so einen Zyklus kontinuierlicher Verbesserung.

Diese fortlaufende Governance erstreckt sich auch auf Ihre Lieferkette. Nach Article 28 GDPR sind Sie dafür verantwortlich sicherzustellen, dass alle von Ihnen eingesetzten Auftragsverarbeiter ausreichende Garantien für ihre eigene Sicherheit bieten. Die Maßnahmen von ISO 27001 zu Lieferantenbeziehungen (5.19 bis 5.22) stellen hierfür ein Rahmenwerk bereit, von Due Diligence und Vertragsklauseln bis zur fortlaufenden Überwachung der Leistungserbringung.

  • Interne Audits durchführen: Überprüfen Sie Ihr ISMS regelmäßig gegen die Anforderungen von ISO 27001 und Ihre eigenen Richtlinien, um Lücken zu identifizieren.
  • Sicherheitsereignisse überwachen: Implementieren Sie Protokollierung und Überwachung, um potenzielle Sicherheitsvorfälle zu erkennen und darauf zu reagieren.
  • Lieferantenrisiko steuern: Überprüfen Sie die Sicherheitspraktiken Ihrer Lieferanten und stellen Sie sicher, dass Auftragsverarbeitungsverträge vorhanden sind.
  • Managementbewertungen durchführen: Berichten Sie der obersten Leitung über die Leistung des ISMS, um fortgesetzte Unterstützung und Ressourcenzuteilung sicherzustellen.
  • Kontinuierliche Verbesserung vorantreiben: Nutzen Sie Feststellungen aus Audits und Überprüfungen, um Ihre Risikobeurteilung zu aktualisieren und Ihre Maßnahmen zu verbessern.

Richtlinien, die die Umsetzung verankern

Ein gut konzipiertes ISMS stützt sich auf klare, zugängliche und durchsetzbare Richtlinien, um die Vorgaben des Managements in konsistente operative Praxis zu überführen. Richtlinien bilden die entscheidende Verbindung zwischen den strategischen Zielen Ihres Sicherheitsprogramms und den täglichen Handlungen Ihrer Beschäftigten. Ohne sie wird die Umsetzung von Maßnahmen uneinheitlich und hängt von einzelnen Personen statt von Prozessen ab. Für die GDPR-Compliance ist die Richtlinie zu Datenschutz und Privatsphäre ein zentrales Dokument.3 Diese übergeordnete Richtlinie legt die Verpflichtung der Organisation zum Schutz personenbezogener Daten fest und beschreibt die zentralen Grundsätze für deren Umgang, etwa Rechtmäßigkeit, Fairness, Transparenz und Datenminimierung. Sie bildet die Grundlage für alle weiteren zugehörigen Sicherheitsverfahren.

Diese grundlegende Richtlinie steht nicht für sich allein. Sie wird durch eine Reihe spezifischerer Richtlinien unterstützt, die besondere Risiken und Maßnahmenbereiche adressieren, die in Ihrer Risikobeurteilung identifiziert wurden. Um beispielsweise den starken GDPR-Empfehlungen zur Verschlüsselung zu entsprechen, benötigen Sie eine Richtlinie zu kryptografischen Maßnahmen4, die verbindliche Anforderungen für den Einsatz von Verschlüsselung zum Schutz ruhender Daten und von Daten während der Übertragung festlegt. Ebenso enthält eine Richtlinie zur Datenmaskierung und Pseudonymisierung klare Regeln, wann und wie personenbezogene Daten de-identifiziert werden müssen, insbesondere in Nicht-Produktivumgebungen wie Test- und Entwicklungsumgebungen, um den Grundsatz der Datenminimierung und des Datenschutzes durch Technikgestaltung operativ umzusetzen. Zusammen bilden diese Dokumente ein kohärentes Rahmenwerk, das Verhalten steuert, Schulungen vereinfacht und wichtige Nachweise für Auditoren bereitstellt.

Checklisten

Vor jeder Aufgabenliste ist eine klare Einordnung erforderlich, um Zweck und Kontext zu bestimmen. Diese Checklisten sind nicht nur eine Reihe abzuhakender Punkte; sie beschreiben einen strukturierten Weg. In der Phase „Aufbauen“ geht es darum, eine solide Grundlage zu schaffen und sicherzustellen, dass Ihr ISMS von Beginn an mit Blick auf GDPR konzipiert ist. Die Phase „Betreiben“ konzentriert sich auf die täglichen Disziplinen und Routinen, die das System lebendig und wirksam halten. In der Phase „Verifizieren“ geht es schließlich darum, Abstand zu nehmen, die Leistung zu bewerten, aus Erfahrungen zu lernen und sicherzustellen, dass sich das System weiterentwickelt, um neuen Bedrohungen und Herausforderungen zu begegnen.

Aufbauen: Wie ISO/IEC 27001:2022 die GDPR-Compliance von Anfang an unterstützt

  • Den ISMS-Geltungsbereich so definieren, dass die gesamte Verarbeitung personenbezogener Daten einbezogen ist.
  • GDPR und andere Datenschutzgesetze formell als rechtliche Anforderungen identifizieren.
  • Ein Verzeichnis von Verarbeitungstätigkeiten (VVT) als zentrales Asset-Register erstellen und pflegen.
  • Eine Risikobeurteilung durchführen, die Risiken für die Rechte und Freiheiten natürlicher Personen ausdrücklich bewertet.
  • Einen Risikobehandlungsplan erstellen, der ausgewählte Maßnahmen aus Anhang A konkreten GDPR-Artikeln zuordnet.
  • Eine grundlegende Richtlinie zu Datenschutz und Privatsphäre entwerfen und genehmigen.
  • Spezifische Richtlinien für Schlüsselbereiche wie Zugriffskontrolle, Kryptografie und Lieferantenmanagement entwickeln.
  • Die Erklärung zur Anwendbarkeit (SoA) finalisieren und genehmigen, einschließlich Begründung für die Aufnahme aller GDPR-relevanten Maßnahmen.

Betreiben: Laufende GDPR-Compliance aufrechterhalten

  • Regelmäßige Schulungen zur Sensibilisierung für Informationssicherheit und Datenschutz für alle Beschäftigten bereitstellen.
  • Zugriffskontrollen auf Grundlage des Prinzips der minimalen Berechtigung durchsetzen.
  • Systeme auf Schwachstellen überwachen und Patches zeitnah einspielen.
  • Sicherstellen, dass Backups personenbezogener Daten regelmäßig durchgeführt und Wiederherstellungsverfahren getestet werden.
  • System- und Sicherheitsprotokolle auf Anzeichen anomaler Aktivitäten prüfen.
  • Due Diligence für alle neuen Drittanbieter durchführen, die personenbezogene Daten verarbeiten werden.
  • Sicherstellen, dass Auftragsverarbeitungsverträge mit allen relevanten Lieferanten abgeschlossen sind.
  • Bei jeder möglichen Verletzung des Schutzes personenbezogener Daten den Incident-Response-Plan befolgen.

Verifizieren: Ihre Maßnahmen auditieren und verbessern

  • Regelmäßige interne Audits des ISMS gegen ISO 27001- und GDPR-Anforderungen planen und durchführen.
  • Regelmäßige Überprüfungen der Einhaltung von Sicherheitsanforderungen durch Lieferanten durchführen.
  • Ihre Reaktionspläne für Sicherheitsvorfälle und Business-Continuity-Pläne mindestens jährlich testen.
  • Formale Managementbewertungen durchführen, um ISMS-Leistung, Auditergebnisse und Risiken zu besprechen.
  • Die Risikobeurteilung bei wesentlichen Änderungen oder Vorfällen überprüfen und aktualisieren.
  • Kennzahlen zur Wirksamkeit der Maßnahmen erfassen und analysieren (z. B. Patch-Zeiten, Reaktionszeiten bei Vorfällen).
  • Richtlinien und Verfahren auf Grundlage von Audit-Feststellungen und gewonnenen Erkenntnissen aktualisieren.

Häufige Fallstricke

Die Integration von ISO 27001 und GDPR kann anspruchsvoll sein, und mehrere typische Fehler können die Bemühungen eines KMU untergraben. Diese Fallstricke zu kennen, ist der erste Schritt, um sie zu vermeiden. Es handelt sich nicht um theoretische Probleme, sondern um praktische Versäumnisse, die wir in der Praxis beobachten und die zu Audit-Nichtkonformitäten, Sicherheitslücken und regulatorischen Risiken führen. Ihre Behandlung erfordert eine pragmatische und ganzheitliche Sicht auf Compliance: als fortlaufende Geschäftsfunktion, nicht als einmaliges Projekt.

  • Zwei getrennte Projekte betreiben: Der häufigste Fehler besteht darin, die ISO 27001-Implementierung und die GDPR-Compliance als getrennte Arbeitsstränge zu behandeln. Dies führt zu doppeltem Aufwand, widersprüchlicher Dokumentation und einem Compliance-Programm, das doppelt so teuer und halb so wirksam ist.
  • Datenschutz durch Technikgestaltung „vergessen“: Viele Organisationen bauen zuerst ihre Systeme und Prozesse und versuchen anschließend, Datenschutzmaßnahmen aufzusetzen. GDPR und ISO 27001 verlangen beide, dass Sicherheit von Anfang an berücksichtigt wird. Nachträglich aufgesetzter Datenschutz ist immer schwieriger und weniger wirksam.
  • Das „Shelfware“-ISMS: Die Zertifizierung ist der Anfang, nicht das Ende. Manche Unternehmen erstellen einen perfekten Dokumentensatz für den Auditor und lassen ihn danach verstauben. Ein ISMS, das nicht aktiv genutzt, überwacht und verbessert wird, bietet keinen tatsächlichen Schutz und wird beim ersten Überwachungsaudit scheitern.
  • Cloud- und Lieferantenrisiken ignorieren: Davon auszugehen, dass Ihr Cloud-Anbieter automatisch GDPR-konform ist, ist ein gefährlicher Fehler. Sie bleiben als Verantwortlicher verantwortlich. Unterlassene Due Diligence, ein fehlender Auftragsverarbeitungsvertrag und mangelnde Überwachung Ihrer Lieferanten stellen einen direkten Verstoß gegen Article 28 GDPR dar.
  • Die Erklärung zur Anwendbarkeit als Wunschliste behandeln: Die SoA muss die Realität abbilden. Anzugeben, dass eine Maßnahme umgesetzt ist, obwohl sie nicht oder nur teilweise umgesetzt wurde, ist eine wesentliche Nichtkonformität. Das Dokument muss Ihr Maßnahmenumfeld korrekt darstellen und durch Nachweise untermauert sein.

Nächste Schritte

Bereit, ein ISMS aufzubauen, das die GDPR-Compliance systematisch unterstützt? Unsere Toolkits stellen die Richtlinien, Verfahren und Leitlinien bereit, die Sie benötigen, um dies effizient umzusetzen.

Referenzen

  1. Der Zenith Blueprint ist Clarysecs umfassender Implementierungsleitfaden für den Aufbau eines ISO/IEC 27001:2022-konformen ISMS. ↩︎

  2. Die Bibliothek Zenith Controls ist ein detailliertes Kompendium, das jede Maßnahme aus ISO/IEC 27001:2022 Anhang A Anforderungen aus GDPR, NIS2, DORA und anderen wichtigen Rahmenwerken zuordnet. ↩︎

  3. Die Richtlinie zu Datenschutz und Privatsphäre ist eine Dokumentvorlage, die den übergreifenden Ansatz einer Organisation für den Umgang mit personenbezogenen Daten in Übereinstimmung mit GDPR und anderen Datenschutzgesetzen festlegt. ↩︎

  4. Die Richtlinie zu kryptografischen Maßnahmen enthält konkrete, umsetzbare Regeln für den Einsatz von Verschlüsselung zum Schutz sensibler und personenbezogener Daten und unterstützt Article 32 GDPR. ↩︎

About the Author

Igor Petreski

Igor Petreski

Compliance Systems Architect, Clarysec LLC

Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council

Share this article

Related Articles

Einstieg in ISO 27001:2022: Ein praxisnaher Leitfaden

Einstieg in ISO 27001:2022: Ein praxisnaher Leitfaden

Einführung

ISO 27001 ist die internationale Norm für Informationssicherheits-Managementsysteme (ISMS). Dieser umfassende Leitfaden führt Sie durch die wesentlichen Schritte zur Einführung von ISO 27001 in Ihrer Organisation – von der initialen Planung bis zur Zertifizierung.

Was ist ISO 27001?

ISO 27001 bietet einen systematischen Ansatz für den Umgang mit sensiblen Unternehmensinformationen und stellt sicher, dass diese angemessen geschützt werden. Die Norm berücksichtigt Menschen, Prozesse und IT-Systeme durch die Anwendung eines risikobasierten Managementansatzes.