Richtlinie zu Governance-Rollen und Verantwortlichkeiten – KMU

Die Richtlinie zu Governance-Rollen und Verantwortlichkeiten (P02S) bietet einen schlanken Ansatz zur Zuweisung, Dokumentation und Aufsicht von Verantwortlichkeiten der Informationssicherheit in einem kleinen oder mittelständischen Unternehmen (KMU). Speziell für Umgebungen entwickelt, in denen ein General Manager oder Unternehmenseigentümer Sicherheitsaufgaben direkt überwacht – häufig ohne dediziertes IT- oder Security Operations Center (SOC)-Team –, stellt diese KMU-Richtlinie sicher, dass Organisationen mit weltweit anerkannten Normen konform bleiben, einschließlich ISO/IEC 27001:2022, ISO/IEC 27002:2022 und DSGVO. Zweck der Richtlinie ist es, festzulegen, wie Governance-Verantwortlichkeiten für Informationssicherheit in der gesamten Organisation zugewiesen, übertragen und gesteuert werden. Ziel ist es, Rechenschaftspflicht auf jeder operativen Ebene sicherzustellen und die operative Wirksamkeit zu unterstützen – durch transparente Identifizierung der Verantwortlichen für sicherheitsrelevante Funktionen wie Richtlinienmanagement, Genehmigungs-Workflows für Zugriff und Änderungen, Bewältigung von Sicherheitsvorfällen sowie Überwachung. Die Richtlinie berücksichtigt die typischen Ressourcenbeschränkungen in KMU und ermöglicht eine schlanke Rollenzuweisung, wobei der General Manager häufig mehrere zentrale Aufsichtspflichten übernimmt. Wenn ein benannter Schulungskoordinator vorhanden ist (entweder ein Mitarbeiter oder ein vertrauenswürdiger Berater), werden dessen Aufgaben, Befugnisse und Berichtslinien klar abgegrenzt. Für viele KMU bleibt der General Manager für alle Ergebnisse verantwortlich, auch wenn Verantwortlichkeiten übertragen oder an externe Drittdienstleister vergeben werden. Im Hinblick auf den ISMS-Geltungsbereich gilt die Richtlinie breit für alle Personen, die Organisationsdaten verarbeiten oder auf Systeme zugreifen: Unternehmenseigentümer, Mitarbeitende, Auftragnehmer sowie externe Drittdienstleister oder Berater. Die Abdeckung umfasst alle relevanten Systeme, Umgebungen und Dienste (Büro-IT, Cloud, physische Aufzeichnungen, Remote-Geräte) und stellt sicher, dass sowohl interne als auch ausgelagerte Sicherheitsaktivitäten gesteuert werden. Für die KMU-Praxis sind Delegationsanforderungen einfach, aber sicher umzusetzen: schriftliche Dokumentation von Zuweisungen, Beschränkungen zur Vermeidung unbefugter Selbstgenehmigung sowie die Aufrechterhaltung der Managementaufsicht. Zur Unterstützung von Compliance und Auditbereitschaft verlangt die Richtlinie, dass alle Sicherheitsrollen und -aufgaben erfasst, routinemäßig überprüft und den Rolleninhabern kommuniziert werden. Ein einfaches Rollen- und Verantwortlichkeitenregister, das vom General Manager gepflegt wird, bildet das Rückgrat dieser Dokumentation. Jährliche Berechtigungsüberprüfungen von Zugriffen und Zuweisungen, Compliance-Checklisten und regelmäßige erneute Unterweisungen der Mitarbeitenden stellen sicher, dass die Organisation auch in dynamischen oder ressourcenbegrenzten Kontexten sicher und auditbereit bleibt. Die Richtlinie betont, dass Ausnahmen formal zu begründen, zu dokumentieren, zeitlich zu begrenzen und regelmäßig neu zu bewerten sind. Anbieter sind vertraglich verpflichtet, die Richtlinie einzuhalten; bei Nichtkonformität gelten Durchsetzungs- und Eskalationsverfahren. Richtlinienaktualisierungen – ob durch regulatorische Änderungen oder operative Informationssicherheitsvorfälle ausgelöst – müssen zeitnah über definierte Kommunikationskanäle an alle Interessenträger kommuniziert werden. Als KMU-spezifisches Dokument (gekennzeichnet durch „S“ in der Dokumentnummer und Verweise auf die Rolle des General Managers anstelle von CISO oder IT-Direktor) ist es auf Organisationen ohne Vollzeit-IT- oder Sicherheitsmanager zugeschnitten, verlangt jedoch eine Strenge, die der von Großunternehmen entspricht. Die P02S-Richtlinie bietet damit Sicherheit und Compliance für KMU, die anspruchsvolle Normen mit schlanken Teams und klaren, pragmatischen Prozessen erfüllen müssen.