Neue Normanforderung - Berücksichtigung von Klimafolgen und -anpassung in Managementsystemen am Beispiel der ISO/IEC 27001

Naturereignisse und Naturkatastrophen wie Waldbrände, Hochwasser und Hagel beeinflussen nicht nur unser privates Leben, sondern haben auch Auswirkungen auf Unternehmen. Das sehen auch die Mitglieder der IAF/ISO so und fordern ab Anfang 2024 die Berücksichtigung von Klimaanpassung und Klimafolgen in nahezu allen Managementsystemen. Dazu wurde das Joint Communique veröffentlicht.

Was bedeutet das für ISO-zertifizierte Unternehmen?

• Klimaziele und Klimafolgen müssen in der Unternehmenspolitik berücksichtigt werden.
• Neue Stakeholder können hinzukommen, zum Beispiel Feuerwehr für Hochwasserschutz.
• Ergänzung des Anforderungskatalogs durch neue Gesetze (Energiewendegesetz) oder Anforderungen aus privatrechtlichen Verträgen (z.B. Kunden fordern klimaneutrale Prozessketten).
• Die Risikobewertung muss um Naturereignisse und -katastrophen wie Hagel, Sturm, Tornado, Überschwemmungen und Waldbrände, die auf Prozesse und Systeme einwirken können, aktualisiert werden.
• Die Managementbewertung muss Klimaziele und Klimafolgen einbeziehen.

Klimarelevante Themen mit Auswirkungen auf die Informationssicherheit

Die Berücksichtigung klimabedingter Veränderungen birgt Chancen und Risiken für Unternehmen. Werden diese berücksichtigt, können sich Unternehmen zukunftssicherer aufstellen.

Mit einer eigenen Energieversorgung können sich Unternehmen gegen Energieengpässe absichern. Sie können an windreichen Standorten auf Windenergie setzen oder an sonnenreichen Standorten eine Photovoltaikanlage errichten und damit die eigene Energieversorgung sicherstellen und die Energiekosten senken. Übertragen auf die Anforderungen der ISO/IEC 27001 bedeutet dies mehr Sicherheit für die Aufrechterhaltung der eigenen Prozesse bei Stromengpässen.

Bauliche Maßnahmen können einerseits den Energieverbrauch des Gebäudes senken und andererseits Schwachstellen im Gebäude beheben. So können beispielsweise große Lüftungsschächte gegen unbefugtes Eindringen gesichert und gleichzeitig abgedichtet und eine Wärmerückgewinnungsanlage eingebaut werden. Ein geplantes Entwässerungssystem kann durch weniger versiegelte Flächen, getrennte Ableitung von Schmutz- und Regenwasser und mehrfache Rückstausicherungen in der Kanalisation das Gebäude vor Wassereinbruch schützen. Besteht die Gefahr von Wassereinbrüchen, sollten Technik- und Serverräume nicht im Keller, sondern in einem höheren Stockwerk untergebracht werden. Diese Maßnahmen wirken sich positiv auf den physischen Gebäudeschutz nach ISO/IEC 27001 aus.

Betreibt ein Unternehmen energieintensive Anlagen, wie etwa ein Rechenzentrum, können Energieverbrauch und -kosten durch die Nutzung von Abwärme gesenkt werden. Die Abwärme kann zur Beheizung der eigenen Gebäude genutzt oder bei hohem Anfall sogar in Nah- und Fernwärmenetze eingespeist werden. Dies wirkt sich positiv auf die Klima- und Finanzbilanz aus.

Im Sinne der Nachhaltigkeit kann die Wiederverwendung von Geräten festgelegt werden. Funktionsfähige, aber ausrangierte Geräte wie Laptops und Smartphones von ausgeschiedenen Mitarbeitern können nach einer Aufarbeitung wieder in den IT-Pool aufgenommen werden. Diese Mehrfachnutzung mobiler Endgeräte ist ressourcenschonend, bringt aber zusätzliche Aufgaben für das ISMS mit sich. Die aufgearbeiteten Geräte müssen dem aktuellen Stand der Technik entsprechen und durch Updates unterstützt werden. Es muss sichergestellt werden, dass bei einem Besitzerwechsel alle Daten und Rechte unwiderruflich gelöscht werden. Daten, die später weiterverwendet werden sollen, müssen separat gespeichert werden. Die Speicherung von Daten verbraucht jedoch Energie, daher sind sinnvolle Löschkonzepte, wie sie die DSGVO und ISO/IEC 27001 fordern, zu etablieren. Das spart Ressourcen und Energie.

Wenn sich Unternehmen mit dem Thema Nachhaltigkeit auseinandersetzen, stellen sie schnell fest, dass sich im Bereich der Geschäftsreisen leicht Einsparungen erzielen lassen. Das Reisen und Arbeiten in öffentlichen Verkehrsmitteln, beispielsweise in der Bahn, erfordert jedoch eine Richtlinie für mobiles Arbeiten. Hier sollte die Verwendung von Sichtschutzfolien auf mobilen Endgeräten geregelt und das Bewusstsein für das „Mithören“ von Gesprächen geschärft werden. Wird Car-Sharing oder ein betrieblicher Fahrzeugpool genutzt, sind ebenfalls Regelungen für das ISMS zu treffen. Im Fahrzeug eingebaute Geräte wie Navigationssysteme oder Freisprecheinrichtungen können personenbezogene Daten speichern und auch nachfolgenden Nutzern des Fahrzeugs zur Verfügung stehen. Es muss daher sichergestellt werden, dass jeder Mitarbeiter alle relevanten Informationen, die das Fahrzeug gespeichert hat, wieder löschen kann beziehungsweise dass das Fahrzeug diese Informationen gar nicht erst erhält, indem beispielsweise jedem Nutzer ein mobiles Navigationsgerät zur Verfügung gestellt wird.

Klimabedingte Katastrophen wirken sich auch auf die Verfügbarkeit von Ressourcen wie Rohstoffe, Produkte und Personal aus. Lieferengpässe können durch überflutete Transportwege, Waldbrände oder Niedrigwasser unpassierbar werden. Aus den gleichen Gründen kann es zu Lieferverzögerungen im eigenen Unternehmen kommen, die Projekt- und Unternehmensziele gefährden. Daher sollte eine geographische Streuung der Lieferanten und die Verfügbarkeit verschiedener Transportwege geprüft werden. Gleichzeitig sollten die Transportwege so kurz wie möglich gehalten werden, denn je länger ein Weg ist, desto höher ist das Risiko, dass mehrere Naturereignisse gleichzeitig auftreten. Auch Menschen können von Naturkatastrophen betroffen sein. So können zum Beispiel bei Überschwemmungen Zufahrtsstraßen oder Bahnlinien blockiert sein, so dass Mitarbeitende nicht zur Arbeit kommen können. Darüber hinaus können Mitarbeiterinnen und Mitarbeiter, die im Katastrophenfall ehrenamtlich tätig sind, für mehrere Tage ausfallen. Aus diesem Grund sollten die Mitarbeitenden ihre Vorgesetzten informieren, wenn sie im Katastrophenfall ehrenamtlich tätig sind, um gegebenenfalls eine Doppelbesetzung zu ermöglichen.

Was erwartet uns?

Unternehmen mit einem oder mehreren Managementsystemen müssen Klimaschutz und Klimaanpassung für jedes System einzeln betrachten, da jedes Managementsystem einen anderen Fokus auf die neuen Aspekte hat. Auch Unternehmen, die nach ISO 14000 oder EMAS zertifiziert sind, müssen die neuen Aspekte in ihren Managementsystemen umsetzen. Werden die Aspekte Klimaanpassung und Klimafolgen nicht in den Managementsystemen umgesetzt, kann dies zu einer wesentlichen Abweichung und damit zum Entzug oder zur Aussetzung des Zertifikats führen.

adesso unterstützt bei der Umsetzung der neuen Anforderungen mit viel Erfahrung und branchenübergreifendem Wissen.

Ihr möchtet gern mehr über spannende Themen aus der adesso-Welt erfahren? Dann werft auch einen Blick in unsere bisher erschienenen Blog-Beiträge.