Die DSGVO verlangt Datenschutz-Folgenabschätzungen, das IT-Sicherheitsgesetz Meldepflichten, der Kundenvertrag ein ISO-27001-Zertifikat, und der Branchenverband fordert PCI-DSS-Compliance. A.5.31 fordert, dass die Organisation alle relevanten rechtlichen, behördlichen, regulatorischen und vertraglichen Anforderungen an die Informationssicherheit identifiziert, dokumentiert und einhält.
Was verlangt die Norm?
- Anforderungen identifizieren. Alle relevanten Gesetze, Verordnungen, behördlichen Vorgaben und vertraglichen Pflichten werden systematisch erfasst.
- Dokumentation pflegen. Die Anforderungen werden in einem Register dokumentiert und regelmäßig aktualisiert.
- Umsetzung sicherstellen. Für jede Anforderung wird dokumentiert, wie die Organisation sie erfüllt.
- Kryptografie-Regeln beachten. Länderspezifische Vorschriften zur Nutzung von Kryptografie werden berücksichtigt.
In der Praxis
Rechtsregister strukturiert aufbauen. Pro Eintrag: Rechtsquelle, relevanter Artikel/Paragraph, Anforderung (in eigenen Worten), betroffene Bereiche, Umsetzungsstatus, verantwortliche Person, nächster Review-Termin. Das Register ist gleichzeitig Steuerungsinstrument und Audit-Nachweis.
Vertragliche Anforderungen systematisch erfassen. Prüfe bei jedem neuen Kundenvertrag: Enthält er IS-Anforderungen? Meldepflichten? Zertifizierungspflichten? Audit-Rechte? Erfasse diese Anforderungen im Rechtsregister und verknüpfe sie mit den verantwortlichen Kontrollmaßnahmen.
Änderungsmonitoring einrichten. Abonniere relevante Quellen: Bundesgesetzblatt, BSI-Veröffentlichungen, Datenschutzbehörden-Newsletter, Branchenverband-Updates. Bei relevanten Änderungen: Auswirkung bewerten, Register aktualisieren, Maßnahmen ableiten.
Compliance-Status regelmäßig berichten. Quartalsweise Zusammenfassung für die Geschäftsführung: Welche neuen Anforderungen sind hinzugekommen? Wo gibt es Handlungsbedarf? Welche Anforderungen sind aktuell nicht vollständig erfüllt?
Typische Audit-Nachweise
Auditoren erwarten bei A.5.31 typischerweise diese Nachweise:
- Rechtsregister — vollständige Übersicht aller relevanten Anforderungen (→ Rechtsregister im Starter Kit)
- Compliance-Status — Umsetzungsstatus pro Anforderung
- Vertragsprüfungen — Nachweis der systematischen Erfassung vertraglicher IS-Anforderungen
- Review-Protokolle — Nachweis der regelmäßigen Aktualisierung des Registers
- Management-Berichte — Nachweis der Berichterstattung an die Geschäftsführung
KPI
% der anwendbaren rechtlichen und regulatorischen Anforderungen, die erfasst und nachverfolgt werden
Gemessen am Rechtsregister. Ziel: 100%. Jede identifizierte Anforderung muss einen Umsetzungsstatus haben. Anforderungen ohne Status oder mit Status „unbekannt” senken den Wert.
Ergänzende KPIs:
- Anteil der Anforderungen mit Status „vollständig erfüllt”
- Anzahl der offenen Compliance-Lücken
- Aktualität des Rechtsregisters (letztes Review-Datum)
BSI IT-Grundschutz
A.5.31 mappt direkt auf den BSI-Baustein zur Einhaltung von Anforderungen:
- ORP.5 (Einhaltung rechtlicher Rahmenbedingungen) — verlangt die systematische Identifizierung, Dokumentation und Einhaltung aller relevanten rechtlichen und vertraglichen Anforderungen an die Informationssicherheit.
Verwandte Kontrollen
A.5.31 bildet den Compliance-Rahmen:
- A.5.32 — Geistige Eigentumsrechte: Spezifische rechtliche Anforderung zum Schutz geistigen Eigentums.
- A.5.34 — Datenschutz und Schutz von PII: Datenschutzrechtliche Anforderungen als Teilmenge von A.5.31.
- A.5.36 — Einhaltung von Richtlinien: Prüfung der Einhaltung interner Regeln, die aus A.5.31 abgeleitet sind.
Quellen
- ISO/IEC 27001:2022 Annex A, Control A.5.31 — Rechtliche und vertragliche Anforderungen
- ISO/IEC 27002:2022 Abschnitt 5.31 — Umsetzungshinweise
- BSI IT-Grundschutz, ORP.5 — Einhaltung rechtlicher Rahmenbedingungen