The legal compliance register captures all legal, regulatory and contractual requirements relevant to your ISMS. It answers one question: which external obligations does your organisation have — and are you meeting them?
ISO 27001 A.5.31 (Legal, Statutory, Regulatory and Contractual Requirements) requires that relevant requirements are identified, documented and reviewed at planned intervals. Without a maintained legal register, you cannot demonstrate in an audit that you know your regulatory landscape.
What does it contain?
Each row represents one external requirement. The columns:
- ID / Regulation / Article — unique identifier, name of the law or contract and relevant section
- Requirement — summary of the concrete obligation
- Applicability / Obligation Type — which data, systems or processes the requirement applies to and whether it is organisational or technical
- Responsible — accountable person (e.g. DPO, ISO, legal department)
- Evidence / Status / Next Review — reference to proof, current compliance status and next review date
How to use it
Initial population: Start with the obvious regulations (GDPR, national data protection acts, NIS2 if applicable) and then add contractual obligations from customer and supplier agreements. For each entry, define a responsible person and link the evidence.
Ongoing maintenance: When laws change, new contracts are signed or the business expands into new markets, update the register. The responsible person reviews the compliance status and documents any required action.
Audit preparation: Auditors sample entries and check whether the stated evidence actually exists and is current. A complete register with well-maintained evidence references accelerates this process considerably.
| ID | Regelwerk | Artikel / Abschnitt | Anforderung | Anwendbarkeit | Pflichtart | Verantwortlich | Nachweis | Status | Nächste Prüfung |
|---|---|---|---|---|---|---|---|---|---|
| LR-001 | DSGVO (EU 2016/679) | Art. 5 | Grundsätze der Verarbeitung (Rechtmäßigkeit Fairness Transparenz Zweckbindung Datenminimierung Richtigkeit Speicherbegrenzung Integrität Vertraulichkeit Rechenschaftspflicht) | Alle Verarbeitungen personenbezogener Daten | Organisatorisch | DSB | Datenschutzrichtlinie + Verarbeitungsverzeichnis | Konform | 2026-12-31 |
| LR-002 | DSGVO | Art. 6 | Rechtsgrundlage für jede Verarbeitung erforderlich | Alle Verarbeitungen personenbezogener Daten | Organisatorisch | DSB | Rechtsgrundlage im Verarbeitungsverzeichnis dokumentiert | Konform | 2026-12-31 |
| LR-003 | DSGVO | Art. 13-14 | Informationen an betroffene Personen bei Erhebung | Kunden- und Mitarbeiterdaten | Organisatorisch | DSB | Datenschutzerklärung auf Website + HR-Handbuch | Konform | 2026-12-31 |
| LR-004 | DSGVO | Art. 15-22 | Rechte der betroffenen Personen (Auskunft Berichtigung Löschung Einschränkung Datenübertragbarkeit Widerspruch) | Alle personenbezogenen Daten | Organisatorisch | DSB | SAR-Verfahren + Log | Konform | 2026-12-31 |
| LR-005 | DSGVO | Art. 24 25 | Verantwortung des Verantwortlichen + Datenschutz durch Technikgestaltung | Alle Verarbeitungen | Technisch + Organisatorisch | DSB | DSFA-Verfahren + umgesetzte Kontrollen | Konform | 2026-12-31 |
| LR-006 | DSGVO | Art. 28 | Auftragsverarbeitungsverträge (AVV) erforderlich | Alle Auftragsverarbeiter | Vertraglich | DSB | AVV mit allen Auftragsverarbeitern | Konform | 2026-06-30 |
| LR-007 | DSGVO | Art. 30 | Verzeichnis von Verarbeitungstätigkeiten | Organisation (>250 oder hohes Risiko) | Organisatorisch | DSB | Verarbeitungsverzeichnis | Konform | 2026-12-31 |
| LR-008 | DSGVO | Art. 32 | Sicherheit der Verarbeitung (geeignete technische und organisatorische Maßnahmen) | Alle Verarbeitungen | Technisch + Organisatorisch | ISB | ISMS-Kontrollen + TOM-Dokument | Konform | 2026-12-31 |
| LR-009 | DSGVO | Art. 33 | Meldung an Aufsichtsbehörde innerhalb 72 Stunden | Alle Verarbeitungen | Verfahrensbezogen | DSB | IRP-Abschnitt Breach + Log | Konform | 2026-12-31 |
| LR-010 | DSGVO | Art. 34 | Benachrichtigung der betroffenen Personen (bei hohem Risiko) | Alle Verarbeitungen | Verfahrensbezogen | DSB | IRP + Kommunikationsvorlagen | Konform | 2026-12-31 |
| LR-011 | DSGVO | Art. 35 | Datenschutz-Folgenabschätzung bei hohem Risiko erforderlich | Neue Verarbeitungstätigkeiten | Verfahrensbezogen | DSB | DSFA-Verfahren + abgeschlossene DSFAs | Konform | 2026-12-31 |
| LR-012 | DSGVO | Art. 37-39 | Benennung und Aufgaben des Datenschutzbeauftragten | Organisation | Organisatorisch | Geschäftsleitung | DSB-Bestellung | Konform | 2027-01-31 |
| LR-013 | DSGVO | Art. 44-49 | Übermittlung in Drittländer erfordert Rechtsgrundlage (SCC Angemessenheit BCR) | Jede internationale Übermittlung | Vertraglich | DSB | Transfer Impact Assessments + SCCs | Konform | 2026-12-31 |
| LR-014 | NIS2 (EU 2022/2555) | Art. 20 | Governance: Leitungsorgane müssen Risikomaßnahmen genehmigen und überwachen sowie Schulungen absolvieren | Wesentliche oder wichtige Einrichtung | Organisatorisch | Geschäftsleitung | Schulungsnachweise + genehmigte ISMS-Dokumente | Konform | 2026-12-31 |
| LR-015 | NIS2 | Art. 21(1) | Geeignete und verhältnismäßige technische operative und organisatorische Maßnahmen | Wesentliche oder wichtige Einrichtung | Technisch + Organisatorisch | ISB | ISMS + SoA | Konform | 2026-12-31 |
| LR-016 | NIS2 | Art. 21(2)(a) | Risikoanalyse und Informationssicherheits-Richtlinien | Einrichtung | Organisatorisch | ISB | Risikomanagement-Richtlinie + Informationssicherheitsrichtlinie | Konform | 2026-12-31 |
| LR-017 | NIS2 | Art. 21(2)(b) | Bewältigung von Sicherheitsvorfällen | Einrichtung | Verfahrensbezogen | ISB | Incident Response Plan | Konform | 2026-12-31 |
| LR-018 | NIS2 | Art. 21(2)(c) | Aufrechterhaltung des Betriebs (Backup-Management Wiederherstellung Krisenmanagement) | Einrichtung | Verfahrensbezogen | BCM-Leitung | BCP + DRP + Krisenkommunikation | Konform | 2026-12-31 |
| LR-019 | NIS2 | Art. 21(2)(d) | Sicherheit der Lieferkette einschließlich Lieferanten und Dienstleister | Einrichtung | Organisatorisch | Einkauf | Lieferanten-Sicherheitsrichtlinie + Register | Konform | 2026-12-31 |
| LR-020 | NIS2 | Art. 21(2)(e) | Sicherheit bei Erwerb Entwicklung und Wartung einschließlich Schwachstellen-Handhabung und -Offenlegung | Einrichtung | Technisch | IT-Betriebsleitung | Sichere Entwicklung + Vuln-Mgmt-Verfahren | Konform | 2026-12-31 |
| LR-021 | NIS2 | Art. 21(2)(f) | Richtlinien und Verfahren zur Bewertung der Wirksamkeit von Cybersicherheits-Risikomaßnahmen | Einrichtung | Organisatorisch | ISB | Internes Audit + Management-Review | Konform | 2026-12-31 |
| LR-022 | NIS2 | Art. 21(2)(g) | Grundlegende Cyberhygiene und Cybersicherheits-Schulung | Einrichtung | Organisatorisch | ISB | Awareness-Schulungsnachweise | Konform | 2026-12-31 |
| LR-023 | NIS2 | Art. 21(2)(h) | Richtlinien und Verfahren zum Einsatz von Kryptographie und ggf. Verschlüsselung | Einrichtung | Technisch | ISB | Kryptographie-Richtlinie | Konform | 2026-12-31 |
| LR-024 | NIS2 | Art. 21(2)(i) | Personalsicherheit Zugriffskontrolle und Asset-Management | Einrichtung | Organisatorisch | HR + ISB | HR-Security + Zugriffskontrolle + Asset-Mgmt | Konform | 2026-12-31 |
| LR-025 | NIS2 | Art. 21(2)(j) | Einsatz von MFA oder kontinuierlicher Authentifizierung gesicherter Sprach- Video- und Textkommunikation und gesicherter Notfallkommunikation | Einrichtung | Technisch | IT-Betriebsleitung | MFA-Rollout + sichere Kommunikation | Teilweise konform | 2026-06-30 |
| LR-026 | NIS2 | Art. 23 | Frühwarnung (24 h) Vorfallmeldung (72 h) Zwischenbericht Abschlussbericht (1 Monat) | Einrichtung bei erheblichen Vorfällen | Verfahrensbezogen | ISB | IRP-Meldeworkflow | Konform | 2026-12-31 |
| LR-027 | NIS2 | Art. 27 | Registrierung bei zuständiger Behörde | Einrichtung | Organisatorisch | ISB | Registrierungsbestätigung | Konform | 2027-01-31 |
| ID | Regulation | Article / Section | Requirement | Applicability | Obligation Type | Responsible | Evidence | Status | Next Review |
|---|---|---|---|---|---|---|---|---|---|
| LR-001 | GDPR (EU 2016/679) | Art. 5 | Principles of processing (lawfulness fairness transparency purpose limitation data minimisation accuracy storage limitation integrity confidentiality accountability) | All personal data processing | Organisational | DPO | Data Protection Policy + RoPA | Compliant | 2026-12-31 |
| LR-002 | GDPR | Art. 6 | Lawful basis required for each processing activity | All personal data processing | Organisational | DPO | Legal basis documented in RoPA | Compliant | 2026-12-31 |
| LR-003 | GDPR | Art. 13-14 | Information to data subjects at collection | Customer and employee data | Organisational | DPO | Privacy notice on website + HR handbook | Compliant | 2026-12-31 |
| LR-004 | GDPR | Art. 15-22 | Data subject rights (access rectification erasure restriction portability objection) | All personal data | Organisational | DPO | SAR procedure + log | Compliant | 2026-12-31 |
| LR-005 | GDPR | Art. 24 25 | Responsibility of controller + privacy by design | All processing | Technical + Organisational | DPO | DPIA procedure + control implementation | Compliant | 2026-12-31 |
| LR-006 | GDPR | Art. 28 | Processor contracts (DPA) required | All processors | Contractual | DPO | Data processing agreements with all processors | Compliant | 2026-06-30 |
| LR-007 | GDPR | Art. 30 | Records of processing activities | Organisation (>250 or high risk) | Organisational | DPO | RoPA (records of processing) | Compliant | 2026-12-31 |
| LR-008 | GDPR | Art. 32 | Security of processing (appropriate technical and organisational measures) | All processing | Technical + Organisational | ISO | ISMS controls + TOM document | Compliant | 2026-12-31 |
| LR-009 | GDPR | Art. 33 | Breach notification to supervisory authority within 72 hours | All processing | Procedural | DPO | Incident Response Plan breach section + log | Compliant | 2026-12-31 |
| LR-010 | GDPR | Art. 34 | Breach notification to affected data subjects (if high risk) | All processing | Procedural | DPO | IRP + communication templates | Compliant | 2026-12-31 |
| LR-011 | GDPR | Art. 35 | Data protection impact assessment required for high-risk processing | New processing activities | Procedural | DPO | DPIA procedure + completed DPIAs | Compliant | 2026-12-31 |
| LR-012 | GDPR | Art. 37-39 | Designation and tasks of data protection officer | Organisation | Organisational | Top management | DPO appointment letter | Compliant | 2027-01-31 |
| LR-013 | GDPR | Art. 44-49 | Transfers to third countries require legal basis (SCC adequacy BCR) | Any international transfer | Contractual | DPO | Transfer impact assessments + SCCs | Compliant | 2026-12-31 |
| LR-014 | NIS2 (EU 2022/2555) | Art. 20 | Governance: management bodies must approve and supervise risk measures and take training | Essential or important entity | Organisational | Top management | Management training record + approved ISMS docs | Compliant | 2026-12-31 |
| LR-015 | NIS2 | Art. 21(1) | Appropriate and proportionate technical operational and organisational measures | Essential or important entity | Technical + Organisational | ISO | ISMS + SoA | Compliant | 2026-12-31 |
| LR-016 | NIS2 | Art. 21(2)(a) | Risk analysis and information system security policies | Entity | Organisational | ISO | Risk Management Policy + Information Security Policy | Compliant | 2026-12-31 |
| LR-017 | NIS2 | Art. 21(2)(b) | Incident handling | Entity | Procedural | ISO | Incident Response Plan | Compliant | 2026-12-31 |
| LR-018 | NIS2 | Art. 21(2)(c) | Business continuity (backup management disaster recovery crisis management) | Entity | Procedural | BCM Lead | BCP + DRP + crisis comms | Compliant | 2026-12-31 |
| LR-019 | NIS2 | Art. 21(2)(d) | Supply chain security including supplier and service provider relationships | Entity | Organisational | Procurement | Supplier Security Policy + register | Compliant | 2026-12-31 |
| LR-020 | NIS2 | Art. 21(2)(e) | Security in network and information systems acquisition development and maintenance including vulnerability handling and disclosure | Entity | Technical | IT Operations Lead | Secure Development + Vuln Mgmt procedure | Compliant | 2026-12-31 |
| LR-021 | NIS2 | Art. 21(2)(f) | Policies and procedures to assess effectiveness of cybersecurity risk measures | Entity | Organisational | ISO | Internal audit + management review | Compliant | 2026-12-31 |
| LR-022 | NIS2 | Art. 21(2)(g) | Basic cyber hygiene practices and cybersecurity training | Entity | Organisational | ISO | Awareness training records | Compliant | 2026-12-31 |
| LR-023 | NIS2 | Art. 21(2)(h) | Policies and procedures on use of cryptography and where appropriate encryption | Entity | Technical | ISO | Cryptography Policy | Compliant | 2026-12-31 |
| LR-024 | NIS2 | Art. 21(2)(i) | Human resources security access control policies and asset management | Entity | Organisational | HR + ISO | HR Security + Access Control + Asset Mgmt | Compliant | 2026-12-31 |
| LR-025 | NIS2 | Art. 21(2)(j) | Use of MFA or continuous auth solutions secured voice/video/text communications and secured emergency communications | Entity | Technical | IT Operations Lead | MFA rollout + secure comms | Partially compliant | 2026-06-30 |
| LR-026 | NIS2 | Art. 23 | Early warning (24h) incident notification (72h) intermediate report final report (1 month) | Entity on significant incidents | Procedural | ISO | IRP notification workflow | Compliant | 2026-12-31 |
| LR-027 | NIS2 | Art. 27 | Registration with competent authority | Entity | Organisational | ISO | Registration confirmation | Compliant | 2027-01-31 |
Sources
- ISO/IEC 27001:2022 A.5.31 — Legal, Statutory, Regulatory and Contractual Requirements
- GDPR (EU 2016/679) — General Data Protection Regulation
- NIS2 Directive (EU 2022/2555) — Network and Information Security