Das Fachmagazin der DQS für Managementsysteme und impulsstarke Audits

Nr. II 2018

ISO 50001:2018Eine Fallstudie zum Umstieg

Mit Beiträgen zu den

aktuellen Revisionen

NEU: Online-DiDJetzt zum Newsletter anmelden ! S.17

Mehr Effizienz und HarmonisierungSeit 2016 wurde an der Revision von ISO 50001 gearbeitet, und dies nicht nur zur Anpassung an die gemeinsame Grundstruk-tur der ISO-Managementsystemnormen (High Level Structure – HLS), sondern auch um Schwachstellen zu beseitigen, die sich in den ersten fünf Jahren in der Praxis nach und nach gezeigt hatten. Während die Umstellung auf die HLS geprägt war von der Einführung gemeinsa-mer Normkapitel, Managementansätze, Text-bausteine und Begriffe, wurden bei den ener-giespezifischen (technischen) Themen z. B. bei der „energetischen Bewertung“ oder der Bildung und Beurteilung von Kennzahlen kon-krete Verbesserungen vorgenommen und die entsprechenden Anforderungen präziser for-muliert. Das grundsätzliche Konzept der Norm ist hingegen erhalten geblieben. Welche Ände-rungen sich aus der HLS ergeben, können Sie auf Seite 3 nachlesen, die wesentlichen ener-giespezifischen Neuerungen, und was diese für ein Unternehmen bedeuten, stellen wir Ihnen in der folgenden Fallstudie vor.

Fallstudie zum Umstieg – was ist wichtig?Wir denken uns ein mittelständisches Unter-nehmen, beispielweise aus der Stahlbran-che. Das Unternehmen liefert Bauteile für die Motorenherstellung, die in der eigenen Gie-

ßerei gefertigt werden. Dort arbeiten ca. 200 Mitarbeiter im Produktionsprozess (Gießerei ca. 35, Teilebearbeitung ca. 165) mit einem Output von ca. 1000 t geschmolzenem Eisen (monatlich) im Bereich der Gießerei sowie einer Anzahl daraus gefertigter Bauteile wie Zahnrä-der, Schwungräder etc. in der Teilebearbeitung im Mehrschichtbetrieb. Welche wesentlichen Änderungen kommen auf ein solches Unterneh-men beim Umstieg auf ISO 50001:2018 zu?

Energetische Bewertung Die energetische Bewertung, die von der neuen Energienorm als „taktischer“ Teil des Energie-planungsprozesses bezeichnet wird (Bild A.2 im Anhang der Norm), ist nun definiert als „Ana-lyse der Energieeffizienz, des Energieeinsat-zes und des Energieverbrauchs (das sind die messbaren Ergebnisse der energiebezogenen Leistung), basierend auf Daten und anderer Information, die zur Identifizierung von SEUs und von Möglichkeiten zur Verbesserung der energiebezogenen Leistung führt“ (Begriffe, 3.5.5). Die englische Abkürzung „SEU“ (signi-ficant energy use) meint auf Deutsch „wesent-licher Energieeinsatz“. SEU steht dabei für die Bereiche, in denen der wesentliche Energie-einsatz stattfindet; gemeint sind z. B. „Anla-gen, Systeme, Prozesse oder Einrichtungen“. Die Forderung nach Betrachtung der SEU ist

Wirksames Energiemanagement ist eine wesentliche Voraussetzung für akti-ven Klimaschutz, Schonung von Ressourcen und spürbare Kosteneinsparun-gen – und zwar längst nicht nur für energieintensiv produzierende Konzerne. Den Rahmen für die Implementierung eines Energiemanagementsystems zur Verbesserung der Energieeffizienz bietet seit dem Jahr 2011 die Ener-giemanagementnorm ISO 50001. Um ihre Anwendbarkeit zu verbessern und eine Anpassung an die gemeinsame ISO-Grundstruktur vorzunehmen, wurde die Norm nun eingehend überarbeitet und am 21. August 2018 – früher als einst erwartet – als ISO 50001:2018 in englischer Sprache neu veröffentlicht; inzwischen ist die Norm auch auf Deutsch erhältlich.

Die Revision aus Sicht der DQS-Auditorin

DQS-Auditorin Sigrun Steiner

Wollte man die Revision von ISO 50001 auf den Punkt bringen, dann etwa so: Die neue Ener-giemanagementnorm punktet mit gemeinsamer Grundstruktur, präziseren Anforderungen und gleichbleibendem Kernkonzept! Sie bringt eine erfrischende Lo-gik besonders in das Herzstück: in die energetische Bewertung und damit zusammenhängen-de Themen wie Kennzahlen, Ver-besserung der Leistung und Da-tenerfassung! Sie ist die Kombi-nation aus konkreteren Anforde-rungen unter dem Freistellen von mehr Freiheitsgraden – insbeson-dere solche, die technisch sinn-haft sind!

energie@dqs.de

Nachhaltiges Wachstum durch bessere Energieeffizienz

2

Nr. II 2014Nr. II 2018

dabei expliziter geworden. So müssen nun für die nach bisherigem Verfahren identifizierten wesentlichen Bereiche (SEU) genau betrach-tet werden. Für jeden SEU muss Folgendes bestimmt werden:�� Personen mit Energierelevanz �� dessen Energieeffizienz (als Kennzahl)�� relevante Variablen

Die Ergebnisse der energetischen Bewertung werden zur Betrachtung von Risiken und Chan-cen herangezogen (Kap. 6.1), gehen in den Energieplanungsprozess ein (Kap. 6.2) und liefern Informationen für den Kontext der Orga-nisation (Kap. 4.1). Wichtig ist, die Bereiche genauer zu beleuchten und Kennzahlen sowie Variablen für diese Bereiche abzubilden. Dies

muss als Teil der energetischen Bewertung zur Nachweisführung dokumentiert werden.

Die Änderung des Ablaufs der energetischen Bewertung besteht im Wesentlichen darin, dass in der alten Normversion zuerst der künftige Energieeinsatz und Energieverbrauch einzuschätzen war und dann erst Möglichkeiten zur Verbesserung der energiebezogenen Leistung identifiziert und priorisiert werden mussten – nun ist es sinnvollerweise umgekehrt, wie aus den Unterpunkten d) bzw. e) von Kapitel 6.3 (energetische Bewertung) hervorgeht. Der Grund leuchtet ein: Es ist tatsächlich sinnvoll, den künftigen Energieeinsatz und Energieverbrauch erst dann abzuschätzen, wenn die identifizierten Verbesserungsmöglichkeiten berücksichtigt werden können.

ISO 50001:2018 Änderungen im Überblick

Die wichtigsten Änderungen in ISO 50001:2018 gegenüber der Vorgängerversion von 2011 im Überblick:

allgemein

�� Einführung der gemeinsamen Grundstruktur (HLS)�� über den ganzen Norm-Text hinweg klarer formulierte Anforderungen�� Neuordnung / Aktualisierung von Kap. 3, Begriffe

Änderungen aus der HLS

�� Betrachtung des Kontextes der Organisation, Kap. 4.1, und der relevanten interessierten Parteien, Kap. 4.2�� Hervorhebung der Rolle der obersten Leitung, Kap. 5.1�� Einführung des risikobasierten Ansatzes, Kap. 6.1�� Einführung „dokumentierte Information“, Kap. 7.5

energiespezifische Änderungen

�� Klarstellung zum „Ausschluss von Energiearten“�� Klarstellung zur „energetischen Bewertung“�� Konzept der Normalisierung von Energieleistungskennzahlen (EnPIs) nebst zugehöriger ener-getischer Ausgangsbasen�� Ergänzungen zum „Plan für die Energiedatensammlung“ und verbundenen Anforderungen�� Klarstellung des Textes zu Energieleistungskennzahlen EnPIs und zu den energetischen Ausgangsbasen EnBs

Änderungen durch gemeinsame GrundstrukturDie grundlegenden inhaltlichen Änderungen durch die Anpassung an die gemeinsame Grundstruk-tur sind bereits aus ISO 9001:2015 (Qualität) und ISO 14001:2015 (Umwelt) bekannt. Neben der ebenfalls grundlegenden Anforderung nach vollumfänglicher Einbindung des Energiemanagement-systems (EnMS) in die Strategie und die Geschäftsprozesse eines Unternehmens stehen weitere zentrale Themen im Vordergrund, wie:

• Kontext der Organisation (Kap. 4.1): Zentrale Anforderung ist die Bestimmung interner und ex-terner Themen, die sich auf die energiebezogene Leistung bzw. das EnMS auswirken könnten. Externe Themen können Zuverlässigkeit der Energieversorgung, Energiekosten, Klimapolitik oder Umweltauswirkungen sein. Interne Themen sind z. B. Unternehmensziele und -strategie, Reife des EnMS, technische Voraussetzungen, Nachhaltigkeitsziele, finanzielle Einschränkungen, etc.

• Bestimmen und Verstehen der Erfordernisse und Erwartungen der interessierten Parteien (Kap. 4.2): Gemeint sind interessierte Parteien mit Relevanz für bzw. Einfluss auf die energiebezoge-ne Leistung und das EnMS.

• Führung und Verpflichtung (Kap. 5.1): Übernahme von Verantwortung für die Verbesserung der energiebezogenen Leistung und des EnMS durch die oberste Leitung. Die Absicht ist u. a. Un-terstützung auf allen Ebenen bei der Einführung von Verbesserungsprojekten und Erhöhung der Akzeptanz und Effektivität des EnMS. Außerdem geht es um die Bereitstellung von Ressour-cen, aber auch um die Verteilung von Rollen und Befugnissen (Kap. 5.3). Neu ist, dass ledig-lich die Bildung eines Energiemanagement-Teams gefordert wird, der Beauftragte des Manage-ments fällt als Anforderung weg. Das Team kann aber nach wie vor aus einer Person bestehen.

• Risikobasierter Ansatz (Kap. 6.1): Hier geht es um das Bestimmen und Betrachten von Risiken und Chancen und um die Planung von Maßnahmen zu deren Behandlung, u. a. mit Blick auf die beabsichtigten Ergebnisse des EnMS. Dabei werden zunächst interne und externe Themen sowie weitere Interessengruppen berücksichtigt. Die Bestimmung von Risiken und Chancen erfolgt anhand der Ergebnisse der energetischen Bewertung und dient als Eingabe in den nachfolgenden Energieplanungsprozess. Ein eigener Prozess für die Bestimmung von Risiken und Chancen ist – wie bei ISO 9001:2015, aber anders als bei ISO 14001:2015 – nicht gefordert.

• Dokumentierte Information (Kap. 7.5): Diese dient u. a. als Nachweis für die Verbesserung der energiebezogenen Leistung. Die Anforderungen sind an die anderen Regelwerke angepasst und konkretisiert worden, z. B. mit Blick auf Gültigkeit, Versionsstand und Erstellungsdatum der Dokumente.

3DAS FACHMAGAZIN FÜR MANAGEMENTSYSTEME UND IMPULSSTARKE AUDITS

Nr. II 2018

Das Regelwerk: Historie ISO 50001:2018

Die Energiemanagementnorm hat ihre Wurzeln in dem euro-päischen Regelwerk EN 16001 (nicht zu verwechseln übrigens mit der Norm ISO 16001, die sich mit Objekterkennungssys-temen für Erdbaumaschinen

befasst), das im Jahr 2009 er-schien, aber schon 2011 von ISO 50001 abgelöst wurde. Der wesentliche Unterschied zur eu-ropäischen Norm war die Einfüh-rung neuer Begriffe, wie „ener-getische Bewertung“ oder „ener-getische Ausgangsbasis“ (letzte gab es in EN 16001 nicht), aber auch konkretere Anforderungen an ein EnMS. Verzichtet wurde hingegen u. a. auf die sog. Ver-öffentlichungsvorgabe und den externen Benchmark. Als ISO 50001 im Jahr 2011 erschien, war die heute als Standard be-kannte „gemeinsame Grund-struktur“ der ISO-Management-systemnormen (HLS) noch in der Entwicklung, und konnte in der neuen Energiemanagement-norm noch keine Anwendung fin-den. Solche ISO-Normen werden jedoch alle fünf Jahre auf evtl. notwendige Anpassungen über-prüft, was ab 2016 zu der nun abgeschlossenen Revision und der Herausgabe der neuen Ver-sion als ISO 50001:2018 ge-führt hat. Welche Änderungen und Verbesserungen die Revisi-on mit sich gebracht hat und was Sie mit Blick auf den Übergang auf die neue Norm zu beach-ten haben, finden Sie auf diesen Seiten.

Ihre Fragen beantworten wir gerne. Schreiben Sie an energie@dqs.de

Was heißt das für das Unternehmen?Das Unternehmen hat zunächst den gesam-ten Energieverbrauch mit allen Energiear-ten bestimmt (Strom ca. 28 GWh p. a., Gas 2,6 GWh p. a., Fernwärme 2GWh p. a.). Bei der Überlegung, wieviel Energie zu welchen Teilen wo im Unternehmen eingesetzt wird, konnte ermittelt werden, dass auf die elekt-risch betriebene Schmelze mit Induktionsöfen knapp 37 % der Gesamtmenge an Energie, vorwiegend aber Strom (ca. 10 GWh p. a.) ent-fällt. Damit wurde auf der Basis der eigenen Kriterien (hier ab 10 % Anteil am Gesamtver-brauch) der Bereich „Schmelze“ als wesentli-cher Bereich (SEU) ermittelt.

Für den Bereich „Schmelze“ sind nun folgende Punkte zu definieren: Personal mit Einfluss auf den Energieverbrauch und die Effi-zienz der Schmelze (vorzugsweise Entschei-der), eine Energieleistungskennzahl EnPI (z. B. kWh Strom pro geschmolzene Tonne Eisen) und relevante Variablen. Das Unternehmen beleuchtet also den Schmelzbereich und über-legt gemeinsam, welche sich verändernden Einflussfaktoren die Schmelzleistung beein-flussen könnten (z. B. gefahrener Produktmix, also effektiv produzierte Stahlqualitäten, Jah-reszeiten etc.).

Einflussfaktoren – relevante Variablen und statische FaktorenISO 50001:2018 unterscheidet zwischen zwei Arten von Einflussfaktoren. Relevante Varia-blen sind quantifizierbare (erfassbare, mess-bare) Faktoren mit wesentlichem Einfluss auf die energiebezogene Leistung und der Eigen-schaft, sich ändern zu können (variabel zu sein), z. B. Produktionsmengen, Wetter, Innen-temperaturen etc. Auch statische Faktoren beeinflussen wesentlich die energiebezogene Leistung, sind aber, wie der Begriff bereits nahelegt, vergleichsweise unveränderlich und gelten als bereits ermittelt, z. B. Einrichtungs-größen, Portfolio, Ausrüstung, Gebäude etc. (Kap. 3.4.8 / 3.4.9). Die dazugehörigen Anfor-derungen in Kurzform:�� Die relevanten Variablen mit Einfluss auf

die SEU müssen ermittelt werden.�� Wo möglich müssen Daten zu allen

Einflussfaktoren ermittelt werden.�� Relevante Variablen und Einflussfaktoren

müssen bei der Bildung von Kennzahlen berücksichtigt werden.

Julian König DQS-Auditor

�� Für SEU müssen Energieleistungs- kennzahlen (EnPI) gebildet werden (Begriffe, 3.4.4).�� Die EnPI müssen auf Plausibilität und

Abhängigkeit geprüft werden.�� Bei der Bildung von EnPI müssen relevante

Variablen und Einflussfaktoren berücksich-tig und die EnPI ggf. modifiziert werden; dieser Vorgang wird als „Normalisierung“ bezeichnet (Begriffe, 3.4.10).

Was ist mit Blick auf die SEU zu beachten?Es ist wichtig zu differenzieren, dass die vari-ablen Einflüsse im Schwerpunkt bei den SEU und deren Kennzahlen zu berücksichtigen sind (Kap. 6.3 ff). Die statischen Faktoren jedoch können bei einer Änderung zur Anpassung der energetischen Ausgangsbasis (EnB) füh-ren. Wenn beispielsweise ein neues Gebäude errichtet, ein völlig neues Produkt in das Port-folio aufgenommen und gefertigt wird (z. B. Alu-miniumkomponenten) oder eine Fertigungslinie nach dem neuesten Stand der Technik umge-rüstet wird, so firmiert diese Änderung eines statischen Faktors unter Umständen unter einer wesentlichen Änderung im Unternehmen und führt damit zu einer Anpassung der EnB für den entsprechenden Bereich. Dabei ist es weiterhin zulässig, mehrere Ausgangsbasen innerhalb einer Organisation zu bilden.

Wichtige Aufgaben in der Praxis sind besonders die Berücksichtigung der Variablen bei der Kennzahlenbildung und deren Verifi-zierung. Variablen mit wesentlichem Einfluss müssen erfasst und deren Daten weiterverar-beitet werden. Das bedeutet im Hinblick auf die Datenerfassung, dass im Sinne des Ener-giemanagementsystems weitere Betriebsda-ten herangezogen werden müssen, um aussa-gekräftige Ergebnisse zu bekommen.

So könnte es sein, dass die EnPI „Energie-verbrauch in kWh bezogen auf Betriebsstun-den“ für das eine Unternehmen aussagekräftig ist, für ein anderes aber nur unter Berücksich-tigung des Produktmixes und der Auftragslage eine effektive Aussage über die energiebe-zogene Leistung bietet. Die Aussagekraft der Kennzahl und die Abhängigkeit von bestimm-ten Variablen muss bewiesen und dokumen-tiert werden, um die Verbesserung der ener-giebezogenen Leistung nachweisen zu können.

4

Nr. II 2014Nr. II 2018

Verbesserung der energiebezogenen LeistungDer Nachweis über die Verbesserung der energiebezo-genen Leistung muss gemäß Zertifizierungskriterien (ISO 50003) erbracht werden. Eine Auswahl von Möglichkeiten in Anlehnung an ISO 50006 steht hier zur Verfügung, z. B.�� Senken des Gesamtverbrauchs unter

gleichbleibenden Bedingungen�� Verbesserung der Energieeffizienz (Darstellung über

eine verifizierte Kennzahl) im Bezug zum Basisjahr�� der spezifische Verbrauch eines SEU sinkt in Bezug

zum Basisjahr�� Fortschritte bei der Erreichung eines Energieziels�� Verbesserung nachweisbar in einer durchgeführten

Einzelmaßnahme (Darstellung z. B. über Projektkennzahl)�� Trendwertbestimmungen über organisatorische Maß-

nahmen (z. B. Einführung einer koordinierten Instand-haltung, Leckage-Begehungen etc.)�� Innovation (BHKW, BAT etc.)

Besondere Beachtung gilt dabei der rückwirkenden Betrachtung. Findet z. B. ein Audit im Jahr 2019 statt, muss ein Unternehmen bis dahin eine Verbesserung bereits für das Jahr 2018 nachweisen können. Die Anfor-derung nach dem Nachweis fortlaufender Verbesserung steht in Kap. 10.2 und wird als „wiederkehrende Tätig-keit zum Steigern der Leistung“ definiert (3.4.12). Der Anhang (A.4) erläutert, dass der Nachweis der fortlaufen-den Verbesserung der energiebezogenen Leistung nicht alle EnPI-Werte einschließen muss, es reicht also, wenn eine Verbesserung mit Blick auf den gesamten Anwen-dungsbereich vorliegt. Nach Anhang A.10 sollen Verbes-serungen periodisch erfolgen, Häufigkeit, Umfang und Zeitrahmen der Maßnahmen orientieren sich am Kontext, an wirtschaftlichen Faktoren und anderen Umständen.

Nach ISO 50003 ist eine Verbesserung der energiebezo-genen Leistung bei jedem geplanten Audit nachzuweisen, also jährlich. Die Reduzierung des Gesamtverbrauchs ist als Nachweis nur akzeptabel, wenn sich die Rahmenbe-dingungen nicht oder nur unwesentlich geändert haben. Es ist aber möglich, sowohl für das gesamte Unternehmen als auch im Rahmen von Einzelmaßnahmen eine Leis-tungssteigerung als Verbesserung anzubringen. Dies soll verhindern, dass Effizienzmaßnahmen wie das Umrüsten einer Anlage oder die geänderte Steuerung von Kompres-soren gegenüber einer Steigerung der Auftragslage und damit einer Erhöhung des Gesamtverbrauchs innerhalb des Unternehmens verlorengehen. Nach den Erläuterun-gen im Anhang können auch Fortschritte bei der Energie-zielerreichung angeführt werden; was nicht automatisch die Zielerreichung bedingt, sich aber auf längerfristig lau-fende Projekte, Tätigkeiten und Maßnahmen und der bis dato erreichten Verbesserung beziehen kann.

Was bedeutet die Verbesserung konkret?Sobald also die Verbesserung beispielsweise durch die Umrüstung oder durch die Kompressoren-Steuerung quantifizierbar nachgewiesen werden kann (z. B. durch Steigerung der Effizienz / Wirkungsgrade der Kompresso-ren im Verbund), kann dies bei entsprechender Verhältnis-mäßigkeit ebenso als Verbesserung der energiebezogenen Leistung herangezogen werden. Zugleich kommt es bei der Verhältnismäßigkeit darauf an, auch die zuvor bestimmten SEUs im Blick zu behalten.

Sigrun SteinerDQS-Auditorin

DAS FACHMAGAZIN FÜR MANAGEMENTSYSTEME UND IMPULSSTARKE AUDITS

Nr. II 2018

5

ISO 50001:2018 – Timeline ISO 50001:2018 ist am 21. August 2018 erschienen. Die Übergangszeit für bestehende Zertifikate beträgt drei Jahre (20. August 2021). Zertifizierungsgesellschaften – so auch die DQS – dürfen nach dem 20. Februar 2020, also 18 Monate nach dem Veröffentlichungsdatum, keine Audits nach der „alten“ Version von 2011 mehr durchführen. Zertifizierte Unternehmen müssen also entsprechend planen. Sie sollten so bald wie möglich mit den Vorbereitungen für den Umstieg beginnen, um ei-nen reibungslosen Übergangsprozess zu gewährleisten.

2016 2017 2018 2019 2020 2021

Beginn der Revision

08.2016 CD

08.2017 ISO/DIS

05.2018 ISO/FDIS

21.08.2018 Veröffentlichung der Norm

20.02.2020 keine Audits nach der alten Norm

20.08.2021 Ende Übergangsfrist

LEITG

EDAN

KEN

Sehr geehrte Leserin, sehr geehrter Leser,2018, eines der arbeitsreichsten, aber auch erfolgreichsten Jahre in unserer Geschichte, geht zu Ende. Der hohe Aufwand war einerseits eine Folge der großen Revisionen der ISO 9001 und der ISO 14001: Viele Unternehmen hatten sich den Umstieg auf die neuen Normen für 2018 vorgenommen und wir mussten diesen gemeinsam bis zum 14. September geschafft haben. Rückblickend können wir mit Stolz sagen: Alle Zertifikate wurden erfolgreich umgestellt! Und dabei freut es mich persönlich ganz besonders, dass wir das mit einer gleichbleibend hohen Qualität reali-siert haben. Ein herzlicher Dank an dieser Stelle an all unsere Kunden für ihr Vertrauen in die DQS, wie auch an unsere Auditoren und Mitarbeiter, die in diesem Jahr mit ihrem unermüdlichen Einsatz oft an die Belastungsgrenze gegangen sind.Gleichzeitig haben wir uns in 2018 auch intern enorm weiterentwickelt: Wir haben den Zertifizierungs-prozess umgestaltet, wir haben weiter an unseren Prozessen gefeilt und wir sind dabei, unsere Kom-munikation neu auszurichten – in Zukunft werden wir Informationen überwiegend online zur Verfügung stellen. Deshalb wird Sie auch unser Kundenmagazin im neuen Jahr in digitaler Form über die neues-ten Entwicklungen und Themen aus der Welt der Managementsysteme informieren. Mehr darüber auf Seite 17 der heutigen Ausgabe.Und 2019? 5G-Mobilfunknetz, Internet of Things und Industrie 4.0, Cyber Security, Telemedizin, DS-GVO … Digitalisierung macht vor keiner Branche Halt, und auch für uns werden Informationssicherheit und Datenschutz die zentralen Themen sein. Des Weiteren wird uns die neue Norm beim Arbeitsschutz (ISO 45001:2018) und die Revision im Energiemanagement (ISO 50001:2018) verstärkt beschäftigen. In diesem Zusammenhang eine gute Nachricht: Immer mehr Unternehmen profitieren von der inzwi-schen vertrauten gemeinsamen Grundstruktur, der sogenannten „High Level Structure“, die die Integ-ration der Managementsysteme effizienter gestaltet.Ich wünsche Ihnen und Ihren Angehörigen frohe Festtage und ein glückliches wie auch erfolgreiches Jahr 2019!

Ihr Markus Bleher Geschäftsführer DQS GmbH

ISO 45001 – Rechtliche Verpflichtungen und andere Anforderungen

8ISO 19011:2018 –

Impulse für modernes Auditieren 10

ISO 27001 – erste Schritte zu

Informationssicherheit12

ISA+ – Informations-Sicherheits-Analyse 14

DS-GVO: Unsicherheiten bei der Umsetzung 16

INHALT HLS: Die lang ersehnte zwangsläufige Notwendigkeit Jetzt sind sie vollzählig: Mit der Veröffentlichung der Energie-managementnorm ISO 50001:2018 Ende August ist nun auch die letzte der „großen“ ISO-Managementnormen mit der gemeinsamen Grundstruktur, der sog. „High Level Structure“ (HLS) ausgestattet worden. Die HLS wurde erstmals im Jahr 2012 eingesetzt und ist das Grundgerüst aller überarbeiteten oder neu herausgegebenen ISO-Managementsystemnormen. Die Entwicklung dieser Struktur gilt seither als Meilenstein für die Normierung von Managementsystemen.

Nr. II 2014Nr. II 2018

6

STAN

DPUN

KT

Als im Jahr 2013 die Informationssicherheitsnorm ISO 27001 erschien, war diese zwar die erste der bedeutenderen ISO-Normen, die auf der HLS basierte. Aber erst mit der großen Revision von ISO 9001 (Qualität) und ISO 14001 (Umwelt) im Jahr 2015 wurde die HLS auch wirklich einem breiteren Anwenderkreis bekannt. Und auch wenn es anfangs einige skeptische Kommentare gab: Nachdem die Umstellungsfrist auf ISO 9001:2015 und ISO 14001:2015 seit etwa einem Vierteljahr abgelaufen ist, kann man sagen: Die gemeinsame Grundstruktur hat sich bewährt, und zwar uneingeschränkt.

Besonders für Unternehmen mit einem integrierten Manage-mentsystem ist diese Neuerung von großem Nutzen. Der kommt allerdings nur dann zum Tragen, wenn die grundlegende und über-greifende Anforderung aller angewendeten Regelwerke erfüllt wird: nämlich die vollumfängliche Integration der jeweiligen Normanforde-rungen in das bestehende Managementsystem und damit in die all-gemeinen Geschäftsprozesse eines Unternehmens.

Die HLS ist dabei nicht einfach nur eine äußere Struktur, die lediglich identische Grundanforderungen, Textbausteine und Begriffe einführt. Es ist vor allem auch der Inhalt dieser Grundanforderungen, der die Integration in das Unternehmen praktisch unausweichlich macht, oder – positiv ausgedrückt – intensiv fördert. Stichwörter sind: Kontext der Organisation, Führung und Verpflichtung, interessierte Parteien, Prozessorientierung und der risikobasierte Ansatz.

Zwar hatten die einschlägigen Managementsystemnormen ISO 9001, ISO 14001, ISO 27001 und ISO 50001 bereits früher gewisse Gemeinsamkeiten in Aufbau und Inhalt vorzuweisen. Aber erst mit der HLS wurde eine Struktur geschaffen, die die Integration von Anforderungen unterschiedlicher Regelwerke bis in die letzten Winkel eines Unternehmens wesentlich erleichtert, wenn nicht überhaupt erst ermöglicht.

Besonders beim Thema Sicherheit und Gesundheit bei der Arbeit (SGA) sollte sich das in naher Zukunft zeigen. Hier dominierte seit vielen Jahren die britische Arbeitsschutznorm BS OHSAS 18001, zuletzt im Jahr 2007 überarbeitet, den internationalen Markt. Aber auch wenn sich der Standard in gewisser Weise an den alten Versionen der gängigen ISO-Managementsystemnormen orientiert, was in der Branche übrigens stets als positives Merkmal hervorgehoben wurde, fristet das Thema SGA in den meisten Unternehmen mit einem SGA-Managementsystem doch ein eher isoliertes Dasein, als dass es zum Nutzen aller Beteilig-ten ausreichend in die Geschäftsprozesse integriert wäre. BS OHSAS 18001 läuft aus und wird von der im Jahr 2018 erstmals erschienenen SGA-Norm ISO 45001 mittelfristig ersetzt werden – die HLS wird der überfälligen Integration und damit auch der Bedeutung von SGA-The-men für ein Unternehmen einen deutlichen Schub verleihen.

Frank GraichenLeiter Auditorenmanagement & Kompetenzfrank.graichen@dqs.de

DAS FACHMAGAZIN FÜR MANAGEMENTSYSTEME UND IMPULSSTARKE AUDITS

Nr. II 2018

7

FACH

MAG

AZIN ISO 45001 – Bestimmung rechtlicher

Verpflichtungen und anderer AnforderungenSGA-Rechtssicherheit: Bewertung der Compliance spürt Lücken aufDie Einhaltung rechtlicher Verpflichtungen ist eine absolute Grundbedingung für seriöses und dauerhaft erfolgreiches Wirtschaften. Dies gilt auch für jede Art von Verpflichtung, die ein Unternehmen jenseits rechtlicher Zwänge eingegangen ist. Die Voraussetzung dafür ist die Identifizierung all dieser Verpflichtungen und eine konsequente Bewertung der Compliance. ISO 45001 konzentriert sich dabei auf Themen, die für Sicherheit und Gesundheit bei der Arbeit (SGA) relevant sind.

ISO 45001 fordert in Kapitel 6.1.3 von einem Unternehmen, Prozesse festzulegen, umzusetzen und aufrechtzuerhalten, und zwar zur�� Bestimmung aller rechtlichen Verpflichtungen

und anderen Anforderungen mit Blick auf Gefährdungen, SGA-Risiken und das SGA-Managementsystem�� Bestimmung ihrer Anwendung im Unternehmen

und des daraus resultierenden Kommunikati-onsbedarfes�� Berücksichtigung bei der Festlegung, Verwirkli-

chung, Aufrechterhaltung und fortlaufenden Ver-besserung des SGA-Managementsystems

Das Kapitel schließt mit der Anforderung nach dokumentierter Information über die rechtlichen Verpflichtungen und anderen Anforderungen. Diese Dokumentation muss aufrechterhalten, aufbewahrt und – um eventuelle Änderungen zu verdeutlichen – aktualisiert werden.

Nur SGA-relevante Verpflichtungen bestimmenIn Kapitel 6.1.3 geht es explizit um die Bestimmung SGA-relevanter Verpflichtungen etc., während in Kapitel 9.1.2 „Bewertung der Compliance“ und an anderen Stellen der Norm (z. B. in 0.3 „Erfolgsfaktoren“) ganz allgemein von „Compliance“ die Rede ist. Auf den ersten Blick also auch hinsichtlich solcher Themen, die nicht SGA-relevant sind – und die gibt es bekanntlich in Hülle und Fülle. Dass sich die Bewertung der Compliance aber tatsächlich nur auf SGA-relevante Verpflichtungen etc. bezieht, geht aus einem knappen (Rück-)Verweis in Kapitel 9.1.2 auf Kapitel 6.1.3 hervor.

Es ist also nicht zu erwarten, dass in einem reinen SGA-Audit auch die Bewertung der Compli-ance mit anderen Verpflichtungen thematisiert wird.

Gleichwohl: Mit Blick auf ein integriertes Manage-mentsystem bzw. die von ISO 45001 geforderte Integration aller SGA-Themen in die allgemeinen Geschäftsprozesse ist es ohnehin notwendig, umfassende Compliance sicherzustellen.

Mögliche Beispiele liefert der AnhangBeispiele für SGA-relevante rechtliche Verpflich-tungen und andere Anforderungen finden sich im Anhang von ISO 45001 unter A.6.1.3. Rechtliche Verpflichtungen können u. a. sein: Gesetze und Verordnungen, Richtlinien, behördliche Auflagen, Genehmigungen, Lizenzen, Verwaltungserlasse, Abkommen oder Tarifverträge. Unter anderen Anforderungen ist z. B. Folgendes zu verstehen: Anforderungen eines Unternehmens an sich selbst, Vertragsbedingungen, Regelungen aus Arbeitsver-trägen, Betriebsvereinbarungen, Vereinbarungen mit interessierten Parteien (z. B. mit Gesundheits-behörden), nichtbehördliche bzw. vereinbarte Nor-men, allgemeine Verfahrensregeln, technische Spezifikationen und Selbstverpflichtungen.

Bewertung der ComplianceAlle Compliance-Verpflichtungen müssen regelmä-ßig bewertet werden. Dies erlaubt es der Organi-sation, ihre Compliance-Verpflichtungen zu erfül-len und mögliche rechtliche Schritte oder Klagen ihrer interessierten Parteien zu minimieren. ISO 45001 fordert dazu in Kapitel 9.1.2 die Festlegung, Umsetzung und Aufrechterhaltung von Prozessen zur Bewertung der Compliance der gemäß Kapitel 6.1.3 bestimmten rechtlichen Verpflichtungen und anderen Anforderungen eines Unternehmens. Dazu müssen die Häufigkeit der Compliance-Bewer-tungen und die dafür angewandten Methoden

Sie haben Interesse an weiteren Themen zu

ISO 45001?

Mit unserer sechsteiligen Beitragsreihe verschaffen Sie sich einen wertvollen

Wissensvorsprung. Mehr unter

www.dqs.de/audits/iso-45001

Nr. II 2014Nr. II 2018

8

bestimmt sowie die Compliance bewertet werden. Bei Bedarf sind entsprechende Maßnahmen zu ergreifen. Die zum Compliance-Status gewonnenen Erkenntnisse müssen aufrechterhalten werden und dokumentierte Information über die Ergebnisse der Bewertung muss aufbewahrt werden.

Als Anhaltspunkt für die Häufigkeit bzw. den Zeitpunkt von Compliance-Bewertungen können u. a. folgende Kriterien herangezogen werden: Je wichtiger eine Verpflichtung resp. Anforderung ist, desto häufiger sollte eine Bewertung stattfinden. Ändern sich die Betriebsbedingungen oder rele-vante Verpflichtungen, bedarf es einer erneuten Bewertung. Dies kann auch der Fall sein, wenn eine Abweichung von der SGA-Leistung absehbar oder möglich ist.

Hat ein Unternehmen seine SGA-relevanten rechtlichen Verpflichtungen und anderen Anforde-rungen einmal vollumfänglich bestimmt, bewer-tet und ggf. entsprechende Korrekturmaßnahmen ergriffen, reicht eine turnusmäßige Bewertung zur Aktualisierung des Compliance-Status in der Regel aus. Diese Bewertung kann durch Überwachen, Messen, Analysieren und Überprüfen der Unterneh-mensleistung gegen bestehende Verpflichtungen erfolgen, dies z. B. anhand von Ergebnissen aus internen und externen Audits. Welche Methoden zur Compliance-Bewertung und zum Verständnis über den Compliance-Status angewendet werden, entscheidet jedes Unternehmen für sich.

Was tun bei Nicht-Compliance?Sollte bei der Bewertung eine Nicht-Compliance aufgedeckt werden, bedarf es zur Korrektur geeig-neter Maßnahmen, möglichst unter Anwendung des von ISO 45001 geforderten Prozesses zum Umgang mit Nichtkonformitäten bzw. Korrektur-maßnahmen (Kap. 10.2). Im Einzelfall besteht evtl. Kommunikationsbedarf mit der Stelle, von der die Einhaltung der Verpflichtung verlangt wird, z. B. einer Behörde. Gegebenenfalls bedarf es auch weiterer Vereinbarungen, deren Inhalt sich auf kon-krete Maßnahmen beziehen sollte.

FazitDie Einhaltung rechtlicher Verpflichtungen ist eine zentrale Anforderung von ISO 45001. Die SGA-Norm versteht sich selbst jedoch nicht als „Norm, die den betrieblichen Arbeitsschutz regelt“, wie es in ihrem Vorwort heißt. Sie versteht sich als „Managementsystemnorm, die (ggf. zusammen mit anderen ISO-Managementsystemnormen) in die betriebliche Praxis integriert werden kann“. Die Norm-Autoren verweisen in diesem Zusammen-

hang darauf, dass der betriebliche Arbeitsschutz „in europäischen und nationalen Regelungen, Geset-zen und/oder Verordnungen sowie dem Regelwerk der gesetzlichen Unfallversicherungsträger festge-legt“ ist, und dass ISO 45001 insofern nur eine „ergänzende Rolle“ zukommt. Damit wird sie dem Umstand gerecht, dass die nationalen Arbeits-schutzgesetze im weltweiten Vergleich durchaus von unterschiedlicher Statur sind.

Andreas RitterDQS-Experte arbeitsschutz@dqs.de

Was heißt eigentlich Compliance? Compliance ist ein englisches/französisches Wort mit lateini-schen Wurzeln (complere = auffüllen → erfüllen). Compliance hat heute zwar – je nach Branche oder Fachgebiet – recht un-terschiedliche Bedeutungen, eine gewisse Sinnverwandtschaft bleibt dabei jedoch stets erhalten. In der Medizin z. B. be-deutet Compliance in erster Linie „Kooperation eines Patien-ten mit seinem Arzt“. Eine weitere Bedeutung ist „Dehnbar-keit von Gewebe“ – wenn man so will ein Hinweis darauf, dass es bisweilen einer gewissen Anstrengung und Flexibilität be-darf, „etwas“ tatsächlich vollumfänglich einzuhalten. Womit wir bei der für unser Thema relevanten Bedeutung von Compli-ance wären: „Regeltreue“ oder auch „Regelkonformität“, was im betriebswirtschaftlich-rechtlichen Kontext die allgemein üb-liche Übersetzung des Wortes ins Deutsche ist.

Was versteht die SGA-Norm unter Compliance? ISO 45001 selbst liefert keine Definition für das Wort und übersetzt es zumindest im Anforderungsteil nicht. Allerdings existiert eine Stelle im Anhang der Norm, an der Compliance schließlich doch noch eine deutsche Übersetzung erfährt: Unter A.7.2 „Kompetenz“ wird die Fügung „compliance and noncompli-ance“ ins Deutsche übertragen, und zwar für Normverhältnis-se ungewöhnlich knapp mit „Einhaltung und Nichteinhaltung von Verpflichtungen“. In ganzer Ausführlichkeit sollte Compli-ance aber, um die korrekte Auslegung der Anforderungen der SGA-Norm sicherzustellen, als „Einhaltung rechtlicher Ver-pflichtungen und anderer Anforderungen“ aufgefasst werden. Denn genau darum geht es in den beiden relevanten Kapiteln 6.1.3 und 9.1.2: Bestimmung rechtlicher Verpflichtungen und anderer Anforderungen mit der Bewertung, ob bzw. in wel-chem Maß sie eingehalten werden.

DAS FACHMAGAZIN FÜR MANAGEMENTSYSTEME UND IMPULSSTARKE AUDITS

Nr. II 2018

9

Impulse für modernes AuditierenISO 19011:2018 – Leitfaden zur Auditierung von Managementsystemen erschienenViele „neue“ Managementaspekte, die heute in aller Munde sind, wie Kontext der Organisation, Prozess- orientierung oder risikobasierter Ansatz, haben genau genommen schon einige Jahre auf dem Buckel. Aber erst seit der Revision von ISO 9001 im Jahr 2015 halten sie auch flächendeckend Einzug in Strategie und Alltag von Unternehmen. Das forderte freilich auch, den weltweit maßgeblichen Leitfaden zur Auditierung von Managementsystemen, ISO 19011, dieser Entwicklung anzupassen. Die überarbeitete Version liegt nun seit Oktober dieses Jahres als ISO 19011:2018 in deutscher Sprache vor.

Der neue Leitfaden ist gewachsen: Er hat mehr Seiten (!) als ISO 9001:2015 und enthält jede Menge Experten-Know-how! Was sich bewährt hat, blieb dabei erhal-ten, u. a. und vor allem das auf den PDCA-Zyklus gestützte Auditieren. Das Umfeld der Audits hat sich jedoch geändert. So mussten einerseits die neuen, oben bereits genannten Managementthemen in ISO 19011 berücksichtigt werden, ande-rerseits ist längst auch die Digitalisierung in den Audits angekommen. Stichwörter sind z. B. „Remote-Audits“, also Audits, die aus der Ferne geführt werden, oder „virtuelle Standorte“, was die Nutzung einer Online-Umgebung meint, die das Ausführen von Prozessen unabhängig vom physikalischen Standort des Aus-führenden ermöglicht. Dieser Wandel im Audit-Umfeld hat sich im neuen Leitfaden niedergeschlagen, und zwar in Form vieler lesenswerter Erläuterungen, Ergänzungen und Anpassungen. Der Leitfaden legt wei-terhin den Schwerpunkt auf die Durchfüh-rung interner und Lieferantenaudits. Aber auch für externe Auditoren aus der Zer-tifizierungsbranche ist der neue Leitfaden äußerst nützlich, wenn auch nicht verbind-lich. Er kann für alle Managementsysteme und deren Prozesse, oder auch in Kom-bination mit verschiedenen Normen, z. B. ISO 9001, ISO 14001, ISO 27001 etc., verwendet werden.

Risiken und Chancen auf der SpurDas siebte Auditprinzip lautet: Der „risiko-basierte Ansatz“ ist ein Auditansatz, der Risiken und Chancen berücksichtigt. Er

soll die Auditplanung, Durchführung und Berichterstattung von Audits maßgeb-lich beeinflussen. Die Idee dahinter: die Audits stärker auf die für den Auditauf-traggeber und für die Erreichung der Ziele des Auditprogramms relevanten Themen auszurichten. Dieser Ansatz ist nach den Revisionen der klassischen Management-systemnormen zwar nicht mehr neu; die relevanten (Norm-)Anforderungen müs-sen in der Organisation aber auch audi-tiert werden. Dieser Ansatz gilt auch für den Auditprozess selbst. Ein Risiko kann sein, nicht genügend qualifizierte Audi-toren bereitzustellen, um die Auditziele zu erreichen. Chancen können sich evtl. durch die Auditierung aktueller Themen der Geschäftsführung ergeben, z. B. mit Blick auf die Umsetzung von Umstruktu-rierungen in der Organisation oder auf den Umgang mit der DS-GVO (Datenschutz-Grundverordnung).

Auditprogramm steuernDas Kapitel „Auditprogramm“ wurde neu strukturiert. Bemerkenswert ist hier die Fokussierung der Norm auf das, worauf es letztlich ankommt: Audits dienen nicht nur zur Konformitätsbestätigung, sondern vor allem auch zur Weiterentwicklung der Organisation und ihrer Prozesse. Bereits beim Auditprogramm liegt der Bezug stär-ker auf der strategischen Ausrichtung der Organisation – auf ihrem Kontext, ihren Zielen und den identifizierten Risi-ken und Chancen. Die Anwendung eines Prozessansatzes ist eine Voraussetzung für alle Managementsystemnormen. Es müssen also alle relevanten Prozesse und ihre Interaktionen auditiert werden. Dies sollten besonders die Auftraggeber der Audits wissen (z. B. die oberste Leitung), um klare Aufträge zu vergeben. Eine angemessene Planung soll u. a. Komplexi-tät, Standorte (ggf. mit Besonderheiten),

Nr. II 2014Nr. II 2018

10

(alternative) Auditmethoden z.B. vor Ort, virtuell, aus der Ferne,

Audit-Workshop

AUDIT-INPUT

�� Strategie�� Ziele�� Interessierte

Parteien�� Risiken und

Chancen�� Komplexität und

Standorte

Ziele für das Auditprogramm und die einzelnen Audits

als „roter Faden“

Risiko- und prozessorientiertes Auditieren

(Gesamt-)Kompetenz und Fähigkeiten der Auditoren

Audits nach ISO 19011:2018

Audit-Risiken und -Chancen u. a. Effizienz, Wirksamkeit von

Audits, Digitalisierung

Objektive Nachweise und fachmännisches Urteil

AUDIT-OUTPUT

�� Objektive u. zielorien- tierte Feststellungen�� Impulse für wirksame

Maßnahmen�� Verbesserung

von Audits

Ausgliederungen sowie Anforderungen an Informationssicherheit und Vertraulichkeit berücksichtigen. In der Praxis ist es heute bereits üblich, die Planung für das Audit-programm flexibler zu gestalten und nicht unbedingt fix, z. B. über 3 Jahre. Dabei sollten Prozesse mit höheren Risiken bzw. niedrigerem Leistungsniveau ausgewählt und aktuelle Unternehmensthemen mit Audits begleitet werden.

Einzelnes Audit durchführenDer risikobasierte Ansatz sollte die Pla-nung, Durchführung und Berichterstat-tung von Audits maßgeblich beeinflussen, besonders mit Blick auf die Effizienz der Audittätigkeiten, die Erreichung der Audit-ziele und die Bewertung von Feststellun-gen in Bezug auf Risiken und Chancen. Auditziele sind in der Norm nichts Neues. Sie werden aber in der Praxis vielfach nicht ausreichend genutzt, obwohl sie neben den Auditkriterien den „roten Faden“ für das Audit vorgeben. Auditziele sollten fokussiert sein auf�� den Reifegrad des

Managementsystems, der Prozesse und weitere Auditkriterien,�� die Wirksamkeit des

Managementsystems und dessen beabsichtigte Ergebnisse, z. B. mit Bezug auf die Prozessziele, �� die Ermittlung von Chancen zur

möglichen Verbesserung, z. B. mit Blick auf Effizienz und Digitalisierung,�� die Eignung, Angemessenheit und

Fähigkeit des Managementsystems in Bezug auf den (sich wandelnden) Kontext und die strategische Ausrichtung (z. B. Anwendung von Methoden) der Organisation.

Neue Wege mit Remote-Audits Mit ISO 19011:2018 ist auch die Digitali-sierung in den Audits angekommen. Dies betrifft zum einen das Audit selbst, in dem immer häufiger ein Tablet oder Notebook zum Einsatz kommt. Diese Geräte müssen jedoch gut daraufhin geprüft werden, ob

sie für den Auditablauf effizient sind, z. B. was Schrift- und Spracherkennung, Fotos oder Videos (dies mit Einwilligung) anbe-langt. Zum anderen existieren inzwischen immer mehr virtuelle Standorte. Beispiele dafür sind Homeoffice-Arbeitsplätze oder Online-Shops etc. Diese Standorte kön-nen aus der Ferne („remote“) auditiert werden. Remote-Audits werden aber auch bei physischen Standorten immer häufiger angewendet. So lassen sich große Ent-fernungen durch Videokonferenzen etc. einfach überbrücken – was Zeit und Geld spart. Wichtig dabei ist jedoch, auch die möglichen Schnittstellen der physischen Standorte zu berücksichtigen. Die Anwen-dung von Remote-Audits muss immer sorgfältig abgewogen werden, da nicht jede Situation über die Distanz angemes-sen beurteilt werden kann. Oft sind es die kleinen Dinge, das Umfeld eines Arbeits-platzes oder einzelne Arbeitsschritte in der Produktion, die für eine angemessene Bewertung notwendig sind.

Lesenswerter AnhangIm Anhang der Norm gibt es 18 „Mini-Leitfäden“ mit Erläuterungen zum Vorge-hen im Audit. Die Hälfte davon ist neu und daher zum Lesen empfohlen, z. B. �� Prozessansatz des Auditierens �� Auditieren von Führung und

Verpflichtung �� Auditieren von Risiken und Chancen�� Lebenszyklus�� Fachmännisches Urteil�� Leistungsbezogene Ergebnisse�� Auditieren von Compliance innerhalb

eines Managementsystems

Auditoren-KompetenzDie Empfehlungen zur Ermittlung der Kom-petenz von Auditoren wurden erweitert. So gilt es, die Beurteilung der Kompetenz der am Auditprozess Beteiligten sicherzu-stellen, z. B. mit Blick auf ausreichende (Gesamt-)Kompetenz im Auditteam oder

die Begleitung von Sachverständigen etc. Diese Kompetenz zielt auch auf Fähigkei-ten, wie den Einsatz von Auditmethoden, das Verständnis und die Anwendung des prozess- und risikoorientierten Ansatzes im Audit bzw. auf Art und Grad von Risi-ken und Chancen, also nicht nur auf rei-nes Wissen und Fertigkeiten. Gefragt ist auch Kommunikationskompetenz, z. B. das wirksame Zusammenarbeiten, Selbst-sicherheit, souveränes Verhalten bei Mei-nungsverschiedenheiten oder sicherer Umgang mit Informations- und Kommuni-kations-Technik. Auditteamleiter müssen zudem delegieren können, also Auditauf-gaben nach spezifischer Kompetenz der einzelnen Auditoren zuweisen, sie müs-sen das Management auditieren können, d. h. Besprechung strategischer Themen unter Einbezug von Risiken und Chancen mit der obersten Leitung, und sie müssen führen können, also die Mitglieder des Auditteams, inkl. Auditoren in Ausbildung, leiten und lenken – kurzum: Sie müssen Vorbild sein.

Fazit Der neue Leitfaden wurde systematisch verbessert. Das Ergebnis ist keine grund-legend neue, aber fundiert weiterentwi-ckelte, an die aktuellen Managementsys-temnormen angepasste Version. Durch den strategischen Bezug sollten klare Auditziele formuliert werden, um so den Auditnutzen weiter zu steigern. Feststel-lungen beziehen sich nicht nur auf Kon-formität, sondern auch auf Verbesse-rungspotenziale und bewährte Praktiken. In der Praxis ist dies nicht immer selbst-verständlich. Nutzen Sie den überarbeite-ten Leitfaden deshalb als Impulsgeber für Ihren Auditprozess, für Methoden und die erforderliche Auditkompetenz.

Christian ZiebeDQS-Auditoriso19011@dqs.de

DAS FACHMAGAZIN FÜR MANAGEMENTSYSTEME UND IMPULSSTARKE AUDITS

Nr. II 2018

11

Erster Schritt zu InformationssicherheitInformationssicherheitsrisiken im Blick: mit einem wirksamen Update des risikobasierten Ansatzes In einer Zeit, als Werte noch eher gegenständlich waren, wurde großer Aufwand betrieben, um sie „auch ja“ zu erhalten. Davon zeugt nicht zuletzt die sprichwörtliche Vorsicht beim Umgang mit Porzellankisten. Heute sind Werte zwar weniger zerbrechlich, dafür umso angreifbarer. Im Zeitalter der Digitalisierung sind es vor allem wertvolle Informationen, die es zu bewahren respektive zu schützen gilt – für Unternehmen ist Informationssicherheit damit ein Muss. Ein unbedingtes Muss, wenn man bedenkt, dass laut Bitkom-Studie 2018* sieben von zehn deutschen Industrieunternehmen in den vergangenen zwei Jahren Opfer von Datendiebstahl, Industriespionage oder Sabotage geworden sind.

Das Thema „Informationssicherheit“ ist nichts Neues. Die Gefahren, die der umfangreichen Informationslandschaft in Unternehmen drohen, sind lange bekannt. Allein: Die Sicherheit von Unternehmens-informationen wird noch immer vernach-lässigt. Beim Umgang mit Informationen fehlt es vielerorts an der nötigen Vorsicht und Voraussicht, und auch das Bewusst-sein über die Folgen von Datenklau & Co. ist längst nicht überall ausreichend entwi-ckelt. Mancherorts wird auch der Aufwand gescheut, den Unternehmen für einen effektiven Schutz ihrer Informationen betreiben müssten. Dabei muss dieser Aufwand gar nicht so groß sein.

Die Botschaft lautet: Viele Unterneh-men müssen gar nicht – quasi auf einen Schlag – die große Keule ausfahren, um vollumfängliche Informationssicherheit herzustellen, wie es z. B. für kritische Inf-rastrukturen inzwischen gefordert wird. Organisationen können auch Schritt für Schritt vorgehen. Das heißt: Die Ein-führung eines Informationssicherheits-Managementsystems (ISMS) gemäß ISO 27001 sollte zwar das Fernziel sein. Der Anfang kann aber, zumindest in Unterneh-men, die über ein Qualitätsmanagement-system nach ISO 9001 verfügen, auch ein Update des seit der Revision von 2015 geforderten risikobasierten Ansatzes sein – aber bereits mit Blick auf entsprechende Anforderungen von ISO 27001.

Mit ISO 9001 hin zu Informationssicherheit Zunächst muss festgehalten werden, dass ISO 9001 zwar normübergreifend einen risikobasierten Ansatz fordert, die Umsetzung dieser Anforderung aber weit-gehend dem Unternehmen überlässt. So ist beispielsweise kein eigener Prozess für die Risikobetrachtung gefordert, was mit Blick auf Informationssicherheit aber frag-los zu wenig ist. Dennoch kann die Risi-kobetrachtung für die Belange des Quali-tätsmanagementsystems auf das Thema Informationssicherheit erweitert werden. Dazu schauen wir uns an, welche Anforde-rungen ISO 27001 an die Ermittlung und den Umgang mit Informationssicherheits-risiken stellt. Die meisten Aspekte können von Anwendern der ISO 9001-Norm mit vertretbarem Aufwand umgesetzt wer-den – als erster Schritt auf dem Weg zu vollumfänglicher Informationssicherheit, wohlgemerkt.

Risiken und ChancenISO 27001 behandelt die dafür relevanten Themen (genau wie ISO 9001) in Kapi-tel 6.1 „Maßnahmen zum Umgang mit Risiken und Chancen“. Im Kern geht es darum, drei wesentliche Aspekte sicher-zustellen: das Erzielen der von der Orga-nisation beabsichtigten Ergebnisse, das Verhindern bzw. Verringern unerwünsch-ter Auswirkungen und das Erreichen

fortlaufender Verbesserung. Mit Bezug auf Informationssicherheit sind dies u. a. folgende Stichwörter: Verlust der Vertrau-lichkeit, Integrität und Verfügbarkeit der Information. Die Norm stellt dazu in Kapi-tel 6.1.1 folgende Anforderungen:�� Bestimmen von Risiken und Chancen�� Planen von Maßnahmen zum Umgang

mit den ermittelten Risiken und Chancen�� Planen zur Integration und Umsetzung

von Maßnahmen in die Prozesse der Organisation

In den nächsten beiden Kapiteln wird jeweils die Festlegung und Anwendung eines Prozesses gefordert:

Kap. 6.1.2 fordert das Festlegen und Anwenden eines Prozesses zur Beurtei-lung des Informationssicherheitsrisikos: Dieser Prozess muss Kriterien für das Informationssicherheitsrisiko festlegen

„Mit ihren Weltmarktführern ist die deutsche Industrie besonders interessant für

Kriminelle. Wer nicht in IT-Sicherheit investiert, handelt fahrlässig und

gefährdet sein Unternehmen.“ Achim Berg, Bitkom-Präsident, Berlin 2018

* Studienbericht 2018: Spionage, Sabotage und Datendiebstahl – Wirtschaftsschutz in der Industrie, www.bitkom.org

Nr. II 2014Nr. II 2018

12

und aufrechterhalten, darunter die Kri-terien für die Risikoakzeptanz (a.1) und für die Durchführung von Informations-sicherheitsrisikobeurteilungen (a.2). Der Prozess muss sicherstellen, dass „wie-derholte Informationssicherheitsrisiko-beurteilungen zu konsistenten, gültigen und vergleichbaren Ergebnissen führen“, wie es in der Norm heißt (b.1). Folgende Unterpunkte könnten mit Blick auf einen ersten Schritt zentral sein: �� Identifizierung der

Informationssicherheitsrisiken �� Analyse der

Informationssicherheitsrisiken �� Bewertung der

Informationssicherheitsrisiken

Kap. 6.1.3 verlangt das Festlegen und Anwenden eines Prozesses zur Behand-lung des Informationssicherheitsrisikos. Mithilfe dieses Prozesses soll Folgendes erreicht werden:�� Auswahl angemessener Optionen für

die Behandlung des Informationssi-cherheitsrisikos, und zwar hinsichtlich der Ergebnisse der Risikobeurteilung �� Festlegung aller Maßnahmen, die zur

Umsetzung der gewählten Optionen für die Behandlung des Informations-sicherheitsrisikos notwendig sind �� Vergleich der festgelegten Maßnah-

men mit den in Anhang A der Norm genannten Maßnahmen �� Erstellung einer Erklärung zur Anwend-

barkeit mit Blick auf die Gründe für die (Nicht-)Einbeziehung von Maßnahmen aus Anhang A (d). �� Formulierung eines Planes für die

Behandlung des Informationssicher-heitsrisikos �� Einholen der Genehmigung und

Akzeptanz dieses Plans bei den Risi-koeigentümern

Der Anhang A von ISO 27001 hat aus-drücklich normativen Charakter. Er kann als Checkliste verstanden werden, die Maßnahmenziele und Maßnahmen ent-hält. Ein Unternehmen kann anhand dieser Liste sicherstellen, dass es keine wichtigen Maßnahmen zur Behandlung des Informationssicherheitsrisikos über-sehen hat. Anspruch auf Vollständigkeit wird dabei jedoch nicht erhoben.

ISO 27001 fordert zwar zwei getrennte Prozesse für die Beurteilung und für die Behandlung des Informationssicherheits-risikos. Diese Prozesse könnten für den „ersten Schritt“ jedoch in einem Prozess zusammengefasst werden, der die Risiko-betrachtung des Qualitätsmanagement-systems eines Unternehmens entlang der genannten Anforderungen gezielt um den Aspekt der Informationssicherheit erwei-tert. Wie tiefgreifend ein solcher Prozess die einzelnen Anforderungen letztlich behandelt, hängt unmittelbar von der Komplexität der Informationslandschaft des Unternehmens ab.

So oder so: Es ist auf jeden Fall ratsam, die Wirksamkeit eines solchen Prozesses in einem externen Voraudit überprüfen zu lassen, z. B. im Zuge eines ohnehin geplanten Audits gemäß ISO 9001.

Die Vorteile auf einen Blick�� Ein Prozess, der die Informationssi-

cherheitsrisiken grundlegend betrach-tet, kann als erster, wichtiger Schritt hin zu einem umfänglichen ISMS, z. B. gemäß ISO 27001 dienen.�� Mit der Implementierung eines sol-

chen Prozesses stärkt ein Unterneh-men das Bewusstsein für Informati-onssicherheit auf allen Ebenen.�� Ein Unternehmen hat mit der gezielten

Betrachtung von Informationssicher-heitsrisiken die Möglichkeit, Hand-lungsbedarf aufzudecken und ent-sprechende Maßnahmen zu ergreifen (orientiert an Anhang A).�� Die um Informationssicherheit erwei-

terte Risikobetrachtung stärkt den risi-kobasierten Ansatz des Unternehmens insgesamt.�� Sowohl der finanzielle als auch der

personelle Aufwand für die Implemen-tierung und die Wirksamkeitsprüfung des Prozesses ist überschaubar.

Gert KrügerLeiter Competence Center Informationen.Daten.Sicherheit.informationssicherheit@dqs.de

DAS FACHMAGAZIN FÜR MANAGEMENTSYSTEME UND IMPULSSTARKE AUDITS

Nr. II 2018

13

ISA+Informations-Sicherheits-AnalyseBedarf an Informationssicherheit wird weithin unterschätztLaut einer Forsa-Umfrage vom April 2018 unter deutschen Mittelständlern (KMU) zum Thema Informations-sicherheit glauben rund 75 % der Antwortenden, dass das Risiko von Cyber-Attacken für den Mittelstand hierzulande sehr hoch ist. Dass sie selbst Opfer von Angriffen werden könnten, hält jedoch nur ein Drittel für wahrscheinlich. Angesichts dieser Diskrepanz drängt sich die Frage auf, ob der eigene Bedarf an Informati-onssicherheit von Unternehmen immer richtig eingeschätzt wird. Mit ISA+ kann dieser Bedarf ermittelt und die erfolgreiche Umsetzung von Handlungsempfehlungen von der DQS mit einem Zertifikat bestätigt werden.

Die ISA+Informations-Sicherheits-Analyse (kurz: ISA+) wurde vom Bayerischen IT-Sicherheitscluster e. V. entwickelt, einem Zusammenschluss von Unternehmen, Hochschulen, Forschungs- und Weiterbil-dungseinrichtungen und Juristen, deren gemeinsames Interesse der Informations-sicherheit gilt. Das Verfahren sieht vor, zunächst den Informationssicherheitsbe-darf eines Unternehmens anhand eines speziellen Fragenkatalogs zu ermitteln. Ein akkreditierter Berater gleicht dabei die zu jeder Frage gegebenen Handlungs-empfehlungen mit den Antworten des Unternehmens ab, und zwar anhand von Reifegraden in vier Stufen. Daraus ergibt sich der aktuelle Ist-Zustand und Grad der Informationssicherheit mit Stärken und Schwächen. Auf dieser Basis zeigt der Berater anschließend notwendige Maßnahmen auf. Als Nachweis für die Wirksamkeit des Prozesses kann sich das Unternehmen von der DQS, dem Zertifizierungspartner des Bayerischen IT-Sicherheitsclusters, nach ISA+ zertifizie-ren lassen. Der Fragenkatalog umfasst 50 Fragen, unterteilt in

�� allgemeine Themen: Unternehmens-größe, Anzahl der Mitarbeiter etc.�� Organisation: Richtlinien, Anweisungen,

Schulung, Verantwortlichkeit etc.�� Technik: vorhandene IT-Systeme,

Datensicherung, Notfallvorsorge etc.�� Recht: Compliance, Leistungen Dritter

etc.

Zielgruppe KMUDas vor allem für KMU gedachte Verfah-ren erleichtert den Einstieg in die Informa-tionssicherheit durch eine übersichtliche und leicht verständliche Herangehens-weise, die teilnehmenden Unternehmen keine tiefgreifenden Kenntnisse zur Infor-mationstechnik abverlangt. Eine ganze Reihe von KMU hat sich bereits für ISA+ entschieden, darunter auch der Zweck-verband der Abfallwirtschaft Kempten (ZAK).

Das Unternehmen wurde jüngst von der DQS an zwei Tagen auditiert. Am ers-ten Tag nahm DQS-Auditor Johann Grün-auer zunächst eine Akteneinsicht vor, mit der bereits 33 Fragen des Katalogs abge-deckt wurden. Am zweiten Tag folgte eine Begehung der drei Standorte mit Inter-views (14 Fragen) und Beobachtungen (3 Fragen).

Auf ISA+ lässt sich aufbauenMit dem ersten Schritt zu ISA+ schafft ein Unternehmen auf jeden Fall ein gutes Schutz-Niveau. Und: Es kann sich ent-scheiden, wie es sich für die Zukunft auf-stellen möchte, ob es bei ISA+ bleibt oder ob eine Weiterentwicklung sinnvoll ist. Dafür gibt es mehrere Optionen: entwe-der die Einführung des Regelwerks ISIS12, das ebenfalls vom Bayerischen IT-Sicher-heitscluster für KMU entwickelt wurde, eine Implementierung des BSI IT-Grund-schutzes oder aber der direkte Einstieg in die Welt der ISO-Normen mit Einführung und Zertifizierung eines Informationssi-cherheits-Managementsystems (ISMS) nach ISO 27001. Welcher Weg auch beschritten wird: Das stufenweise Vorge-hen berücksichtigt alle bereits umgesetz-ten Maßnahmen und erlaubt es, exakt auf dem bereits Erreichten aufzusetzen.

Informationssicherheits-Managementsystem

z. B. Informationssicherheits-Managementsysteme für

die Automobilindustrie

Informationssicherheit in 12 Schritten

Informations-Sicherheits-Analyse © DQS GmbH

Schritt für Schritt zur Informationssicherheit angepasste Lösungen für alle Unter-

nehmensgrößen und Branchen stufenweiser Aufbau bis zur reifen

Informationssicherheit

Nr. II 2014Nr. II 2018

14

ISIS12: Informationssicherheit für den MittelstandKlar strukturierte Implementierung – drei Phasen, zwölf Schritte Es trifft nicht nur weltumspannende Konzerne: Auch und gerade der Mittelstand mit seinen zahlrei-chen Innovationen und Patenten, ist von Cyber-Attacken bedroht – und das täglich. Ein vollumfäng-liches Informationssicherheits-Managementsystem (ISMS) nach ISO/IEC 27001 zu implementieren, ist für nicht wenige dieser KMU jedoch oft zu komplex. Für den Einstieg genügt es aber durchaus, sich zunächst auf die wesentlichen Grundlagen von Informationssicherheit zu konzentrieren und damit meist schon den tatsächlichen Bedarf zu treffen. Genau das liefert das Regelwerk ISIS12, und zwar für jede Branche und Unternehmensgröße.

ISIS12 wurde vom Netzwerk für Informationssicherheit im Mit-telstand (NIM) entwickelt; seine Einführung vollzieht sich in 12 Schritten, die vergleichsweise einfach nacheinander abgear-beitet werden können. Begleitet wird die Einführung durch das „Handbuch zur effizienten Gestaltung von Informationssicherheit im Mittelstand“ und einem praktischen Softwaretool der Univer-sität Regensburg. Das Regelwerk ist so gestaltet, dass es auch als Vorstufe zu einer späteren Zertifizierung nach ISO/IEC 27001 oder BSI IT-Grundschutz genutzt werden kann.

Die zwölf Schritte sind übersichtlich und gut nachvollziehbar in drei Phasen unterteilt:

Phase 1: Initialisierungsphase Schritt 1: Erstellen einer LeitlinieSchritt 2: Sensibilisierung der Mitarbeiter

Phase 2: Festlegung der Aufbau- und Ablauforganisation Schritt 3: Aufbau eines Informationssicherheitsteam Schritt 4: Festlegung der IT-DokumentationsstrukturSchritt 5: Einführung eines IT-Servicemanagement-Prozesses Phase 3: Entwicklung und Umsetzung ISIS-KonzeptSchritt 6: Identifizierung kritischer ApplikationenSchritt 7: Analyse der IT-Struktur Schritt 8: Entwicklung von SicherheitsmaßnahmenSchritt 9: Vergleich Ist-Soll Schritt 10: Planung der Umsetzung Schritt 11: UmsetzungSchritt 12: Revision

Der Nutzen des Verfahrens liegt auf der Hand: Die schrittweise Implementierung eines ISMS nach ISIS12 ist mit vergleichsweise geringem Aufwand möglich, bietet sich an als Vorstufe zur Zertifizierung nach BSI-Grundschutz, TISAX bzw. ISO 27001 und trifft die Bedürfnisse besonders von KMU. Das Verfahren kann von zugelassenen ISIS12-Dienstleistern begleitet werden, wird aber gleichzeitig durch ein automatisiertes Soft-waretool und ein Handbuch unterstützt. Nach Abschluss des Verfahrens sollte eine Zertifizierung durch die DQS erfolgen.

Zertifizierung nach ISIS12Wenn Sie ISIS12 erfolgreich in Ihrem Unternehmen eingeführt haben und der Schritt 12 (Revision) abgeschlossen ist, können Sie sich die Umsetzung durch eine Zertifizierung nach ISIS12 von uns als Exklusivpartner des Bayerischen IT-Sicherheitsclus-ters bescheinigen lassen. Das Zertifikat hat eine Gültigkeit von drei Jahren. In diesen drei Jahren finden zwei Überwachungs-audits statt. Im dritten Jahr kann das Zertifikat, nach einem erneuten Rezertifizierungsaudit, wieder erteilt werden.

André SäckelProduktmanagerinformationssicherheit@dqs.de

DAS FACHMAGAZIN FÜR MANAGEMENTSYSTEME UND IMPULSSTARKE AUDITS

Nr. II 2018

15

DS-GVO: Unsicherheiten bei der Umsetzung in die PraxisSeit dem 25. Mai 2018 wird die bereits zwei Jahre zuvor in Kraft getretene Datenschutzgrundverordnung (DS-GVO) angewendet. Aber die Unsicherheit, wie sich ihre korrekte Umsetzung im Unternehmensalltag gestalten soll, ist nach wie vor allgegenwärtig; die Angst vor Abmahnungen tut ihr Übriges. Die meisten Unklarheiten beruhen auf Informationsmangel – mit der DQS sind Sie jedoch auf der sicheren Seite!

In vielen Unternehmen ist der Umgang mit personenbezogenen Daten ein alltäglicher Vorgang, der oft bereits seit Jahren nach immer demselben Procedere und kaum veränderten gesetzli-chen Regeln abgelaufen ist, angepasst allenfalls an die jeweils neueste Technik. Die DS-GVO hat diese Gewohnheiten gründlich durcheinandergewirbelt, und nun stellt sich die Frage, wie damit umzugehen ist.

Nur die Verordnung lesen, reicht nicht immerEiniges in der DS-GVO ist auch für den Laien verständlich, wie die Regeln für die Einwilligungen zur Verarbeitung personen-bezogener Daten, formuliert in Artikel 6 DS-GVO. Weniger klar ist z. B. Folgendes: Ein Anbieter hat auf seiner Webseite weder ein Kontaktformular noch setzt er Cookies: Besteht auch dann eine Informationspflicht über die Erhebung personenbezogener Daten? Die Antwort des hessischen Datenschutzbeauftragten ist eindeutig, sie lautet ja! Denn nach Artikel 13 DS-GVO müs-sen Besucher auch in diesem Fall informiert werden, da die Pro-vider einer Webseite in der Regel „Logfiles“ führen, in denen die Zugriffe auf die Seite protokolliert werden. Dabei werden auch die IP-Adressen der Besucher erhoben und gespeichert – hätten Sie’s gewusst?

Mit der DQS schrittweise zur Datenschutzkonformität gemäß DS-GVOMit gebündeltem Know-how begleiten wir Sie auf Ihrem Weg, Datenschutz-Compliance zu erreichen und Nachweispflichten erfüllen zu können. Unser Webinar für Geschäftsführer über die grundlegenden Anforderungen der DS-GVO ermöglicht Ihnen einen kompakten Einstieg in das Thema. In unseren Workshops zeigen wir Ihnen, wie Sie die Anforderungen in Ihrer Organisation umsetzen können. Und mit der erfolgreichen Durchführung eines Datenschutzaudits haben Sie eine gute Grundlage für eine spä-tere Zertifizierung gemäß DAkkS-Akkreditierung.

Matthias MühlhauseDQS-Auditordatenschutz@dqs.de

1. Was sind personenbezogene Daten?

Alle Informationen, die sich auf eine identifizierbare natürliche Person beziehen, z. B. Namen, Geburtsdaten, Geschlecht, Kontakt- und Bankdaten; auch IP-Adressen, weil Provider gerichtlich veran-lasst werden können, eine Person zu benennen, die diese IP-Ad-resse benutzt hat, Antworten von Personen bei einer schriftlichen Prüfung (Aussage über die Kenntnisse des Prüflings) oder Einkaufs-gewohnheiten (Rückschlüsse auf Vorlieben und Lebenssituationen).

2. Wann dürfen personenbezogene Daten verarbeitet werden?

Es bedarf eines konkreten Zwecks, eines klar abgegrenzten Grunds, weshalb Daten verarbeitet werden sollen/müssen, und einen den Zweck legitimierenden Erlaubnistatbestand. Denn es gilt der Grund-satz des Verbots mit Erlaubnisvorbehalt (Artikel 6 DS-GVO).

3. Drohen straf- oder ordnungsrechtliche Konsequenzen, wenn die Datenschutzorganisation noch unvollständig ist?

Verstöße gegen die DS-GVO und das BDSG sind Ordnungswidrig-keiten. Um eine datenschutzrechtliche Straftat zu begehen, muss man Daten unberechtigt gewerblich oder mit Gewinnerzielungsab-sicht verarbeiten.

Weitere FAQs finden Sie auf unserer Webseite unter www.dqs.de – Audits – Datenschutz

Workshop

Webinar

Datenschutz-

audit

ZertifizierungDie Schritte zur

Datenschutz-Konformität gemäß DS-GVO

Ermittlung des Umsetzungsgrades der DS-GVO anhand der DQS-Prüfkriterien

Konformität zur DS-GVO (gemäß DAkkS-Akkreditierung)

Umsetzung der Anforderungen in der eigenen Organisation

Verpflichtung der Geschäftsführung © DQS GmbH

Nr. II 2014Nr. II 2018

16

Jetzt zum Newsletter anmelden:www.dqs.de/medien/Newsletter

Sie haben Fragen? Dann schreiben Sie uns an ilona.korall@dqs.de

DAS FACHMAGAZIN FÜR MANAGEMENTSYSTEME UND IMPULSSTARKE AUDITS

Nr. II 2018

17

Liebe Leserinnen und Leser,Mit Ausgabe Nr. 83 halten Sie die letzte gedruckte Ausgabe der „DQS im Dialog“ in Ihren Händen. Über die Jahre hinweg haben wir das Erscheinungsbild unseres Kundenmagazins immer wieder modernisiert und uns neuen Lesegewohnheiten gestellt. Nach 23 Jahren Kundenpflege, Information und Dialog mit Ihnen wird es nun Zeit für eine weitere Modernisierung:

Wir stellen in 2019 auf ein Onlinemagazin um.Freuen Sie sich auf:

� gewohnt aktuelle Themen aus der Welt der Managementsysteme

� Analysen, Trends, Fachbeiträge

� neue Formate wie Videobeiträge, Podcasts sowie schnellere Erscheinungszyklen

Bleiben Sie uns auch in Zukunft als Leser treu, indem Sie sich gleich zu unserem Newsletter anmelden. Denn nur so können wir Sie in Zukunft aktiv über neue Beiträge informieren und die „DiD“ in Ihr elektronisches Postfach zustellen.

Ihr gewohntes Kundenmagazin wird digital!

KRITIS: B3S für mehr IT-Sicherheit im FernwärmenetzFernwärmenetze mit mehr als 250.000 angeschlossenen Haushalten zählen laut BSI-Kritisverordnung (BSI-KritisV) zu den so genannten Kritischen Infrastrukturen (KRITIS) und müssen als solche alle zwei Jahre dem BSI (Bundesamt für Sicherheit in der Informationstechnik) einen Nachweis über angemessene Vorkehrungen zur Informationssicher-heit erbringen. Als Hilfestellung für betroffene Unternehmen haben die Branchenverbände BDEW und AGFW in einer gemeinsamen Arbeitsgruppe einen branchenspezifischen Sicherheitsstandard (B3S) erarbeitet. Ende September 2018 wurde der neu entwickelte Standard durch das BSI offiziell anerkannt.

Der neue B3S für die Verteilung von Fernwärme (B3S VvFw) enthält Handlungsempfehlungen zur Risikoanalyse sowie eine Übersicht über konkrete Sicherheitsmaßnahmen, um den identifizierten Risiken begegnen zu können. Durch seine Anwendung können betroffene Kritis-Betreiber einen gesetzeskonformen Nachweis erbringen. Das Dokument kann zur Erhöhung des IT-Sicherheitsniveaus aber auch von anderen Unternehmen aus der Branche umgesetzt werden.

Die DQS ist anerkannte Prüfstelle und kann alle gefor-derten Kompetenzen für eine BSI-konforme Prüfung gem. § 8a (3) BSIG zur Verfügung stellen:�� spezielle Prüfverfahrenskompetenz �� Auditkompetenz�� IT-Sicherheitskompetenz �� Branchenkompetenz

Die KRITIS-Prüfung basiert auf der BSI-Orientierungshilfe zu Nachweisen gemäß § 8a (3) BSIG und erfolgt im Rahmen eines zweistufigen Verfahrens.

Sie haben Fragen? informationssicherheit@dqs.de

TISAX: DQS darf Prüfdienst- leistungen durchführenTISAX (Trusted Information Security Assessment Exchange) ist ein Informationssicherheits-Standard, der vom VDA speziell für Zulieferer und Dienstleister in der automobilen Lieferkette ent-wickelt wurde. Die Basis für ein TISAX-Assessment ist der VDA-ISA-Prüfkatalog, der seinerseits auf den Anforderungen von ISO 27001 beruht, diese aber um branchenbezogene Themen wie Prototypenschutz und Auftrags-verarbeitung erweitert. Damit ist ein Prüfpaket entstanden, das den aktuellen Herausforderun-gen unserer Zeit an den siche-ren Umgang mit Informationen und Daten Rechnung trägt. Ein großer Vorteil: Die Prüfergeb-nisse sind drei Jahre gültig und werden von allen Teilnehmern im TISAX-Netzwerk gegenseitig anerkannt. Zeit- und kosten-intensive Mehrfachprüfungen werden vermieden. Die DQS ist zugelassener Prüfdienstleister, bei ENX gelistet und darf welt-weit TISAX-Assessments durch-führen.

tisax@dqs.de

DQS-Wandkalender 2019Sie möchten unseren Wandkalender 2019 gra-tis erhalten? Dann melden Sie sich einfach für unseren Newsletter an.

www.dqs.de/medien/newsletter-kalender-2019

Auf Deutsch erschienen: DIN ISO 31000:2018 – Risikomanagement – Leitlinien

Seit Oktober 2018 ist die Risikomanagementnorm ISO 31000:2018 beim Beuth Ver-lag auch in deutscher Sprache erhältlich. Das Regelwerk ent-hält Leitlinien zum Behandeln von Risiken und kann von allen Unternehmen unabhängig von seiner Branche oder Größe für jede Art von Risiko verwendet werden. Das Original-Doku-ment ist bereits seit Februar 2018 in englischer Sprache verfügbar. Es hat die bereits vor neun Jahren erschienene englischsprachige Ausgabe der Risikomanagementnorm ISO 31000:2009-11 ersetzt.

www.beuth.de

Sie haben Fragen? risiko@dqs.de

Immer up to date …

18

Nr. II 2014Nr. II 2018

NEWS

HerausgeberDQS GmbH Deutsche Gesellschaft zur Zertifizierung von ManagementsystemenAugust-Schanz-Straße 21 60433 Frankfurt am MainTel. +49 69 95427-0 Fax +49 69 95427-111

VerantwortlichMatthias Vogel und Ilona Korall, DQS GmbH Tel. +49 69 95427-125 ilona.korall@dqs.de

Redaktion & Layout: kompri, Triefenstein

Druck: johnen-druck, Bernkastel-Kues

Member of:

Kundenzeitschrift der DQS GmbH, Deutsche Gesellschaft zur Zertifizierung von Managementsystemen und ihrer verbundenen Unternehmen. Auflage 10.000 Ex., gedruckt auf umweltfreundlich hergestelltem Papier. Nachdruck von Beiträgen, auch auszugsweise, nach Rücksprache mit der Redaktion und bei Angabe der Quelle gern gestattet.IM

PRES

SUM

DQS-WORKSHOPSIntegrierte Managementsysteme: Der AufbauIntegrierte Managementsysteme helfen Ihnen, Ressourcen zu bündeln und Synergien zu nut-zen. Im Workshop erarbeiten Sie praxisnahe Beispiele, wie Sie aufbauend auf der neuen Grundstruktur von ISO 9001 und ISO 14001 weitere Managementsysteme integrieren.

31. Januar 2019 in Frankfurt am Main

Integrierte Managementsysteme: Das AuditierenDas Auditieren von integrierten Management-systemen stellt eine besondere Herausforderung dar. Gemeinsam entwickeln wir Lösungen, wie Sie mithilfe spezieller Methoden die Auditpha-sen Planung, Durchführung und Nachbereitung erfolgreich umsetzen können.

1. Februar 2019 in Frankfurt am Main

Dokumentation im Managementsystem So viel wie nötig, so wenig wie möglich: Steigen Sie tiefer in die Thematik der Dokumentation Ihres Managementsystems ein. Welche Anforde-rungen stellen Managementsystemnormen und was ist in der Praxis angemessen?

1. Februar 2019 in Frankfurt am Main

Win-win für interne AuditorenKompetenz steigern, Auditqualität verbessernDer Leitfaden zur Auditierung von Management-systemen bietet eine Fundgrube an Weiterent-wicklungsmöglichkeiten für interne Auditoren. Nehmen Sie aus diesem Workshop neue Techni-ken für Ihre internen Audits mit.

4.–5. Februar 2019 in Frankfurt am Main

WEBINARDigitalisierung im Gesundheitswesen – Fluch oder Segen?KRITIS-Sektor Gesundheit: Anforderungen und Chancen1. März 2018, 10:00 Uhr

Mit dem Aufbruch in die Digitalisierung wird für einige Organisationen im Gesundheits-wesen das IT-Sicherheitsgesetz zur Pflicht. Betreiber einer Kritischen Infrastruktur (KRITIS) müssen bis Ende Juni 2019 den Nachweis erbringen, dass ihre IT in ausrei-chendem Masse geschützt ist (§ 8a BSIG). Zudem wird eine Senkung der Schwellen-werte in der Branche erwartet, so dass auch Organisationen betroffen sein werden, die es Stand heute aufgrund ihrer Größe noch nicht sind. Eine komplexe Herausfor-derung. Um möglichen Stolpersteinen aus dem Weg zu gehen, sollten Sie so früh wie möglich und ohne Zeitdruck in die Umset-zung starten – ein erster Schritt ist unser kostenfreies Webinar.

Anmeldung unter www.dqs-webinare.de

DQS C

AMPU

S

ISO 45001:2018 Der sichere Übergang auf die neue NormLernen Sie die neue ISO 45001 und die Unterschiede zur BS OHSAS 18001 kennen und nehmen Sie Impulse für den Arbeits- und Gesundheitsschutz in Ihrem Unternehmen mit.

8. Februar 2019 in Frankfurt am Main

ISO 14001 – Grundlagen zum Aufbau eines UmweltmanagementsystemsIn diesem Workshop lernen Sie die Struktur und den Nutzen sowie die wichtigsten Inhalte von ISO 14001 kennen. Damit erhalten Sie das Basiswis-sen, um in Ihrem Unternehmen ein Umweltma-nagementsystem aufzubauen.

11. Februar 2019 in Frankfurt am Main

DS-GVO – Praxiswissen und dessen Umsetzung im UnternehmenErfahren Sie in unserem zweitägigen Workshop, wie Sie die grundlegenden Anforderungen der DS-GVO mittels wirksamer Prozesse und Maß-nahmen in Ihrem Unternehmen umsetzen, um Datenschutz-Compliance erreichen und wesentli-che Nachweispflichten erfüllen zu können.

18.–19. Februar 2019 in Frankfurt am Main

IATF 16949 – Best-Practice-Austausch zur Automotive-NormIn diesem Workshop tauschen Sie Erfahrungen aus der Umsetzung der Normanforderungen rund um die neue IATF 16949:2016 sowie erste Praxis-beispiele zur nachhaltigen Aufrechterhaltung der Anforderungen in einem Managementsystem aus.

20. Februar 2019 in Frankfurt am Main

Jahresprogramm 2019 erschienen! Einfach ein Exemplar anfordern:

campus@dqs.de

DQS CAMPUS – neue Termine 2019 So werden Sie zum Experten!2019 erwartet Sie wieder eine spannende Themenvielfalt rund um die Revisionen ISO 45001, ISO 50001 und ISO 19011, um klassische Regelwerke und Branchen-lösungen. Vertiefen Sie Ihr Wissen und seien Sie dabei. Weitere Informationen und Anmeldung unter www.dqs-veranstaltungen.de

DAS FACHMAGAZIN FÜR MANAGEMENTSYSTEME UND IMPULSSTARKE AUDITS

Nr. II 2018

19

Mehr Informationen ab Januar 2019. Dürfen wir Sie benachrichtigen? Schreiben Sie an christine.kohnert@dqs.de

Erleben, was Kundenbeziehung erfolgreich macht.

Customer Experience Tag 2019Kooperationsveranstaltung von 2HMforum, DGQ und DQS6. Juni 2019 in Mainz

Exzellente Kundenbeziehung und wie sie sich erreichen lässt: Erleben Sie kompakt an einem halben Tag, wie Sie exzellenten Service weiter ausbauen können. Treffen Sie Entscheider aus der deutschen Wirtschaft und disku-tieren Sie mit. Neben spannenden Impulsvorträgen und Workshops bleibt genügend Raum, das Gehörte im Gespräch zu vertiefen.

Lassen Sie sich überraschen – wir freuen uns auf Sie!Ihre DQS GmbH