Zum Inhalt springen
SecTepe Mit Sicherheit gut aufgestellt!
EN
Compliance

Framework Change Management: Norm-Updates automatisch erkennen und reassessen

SecTepe Redaktion
|
|
5 Min. Lesezeit

Frameworks bleiben nicht stehen. ISO 27002 ist 2022 von 114 auf 93 Controls neu strukturiert worden, BSI IT-Grundschutz bekommt jährliche Edition-Updates, NIS-2-Umsetzungs-Hinweise werden alle paar Monate verschärft. Wer das per BSI-Newsletter, ISO-Mailings und Tool-spezifischer Update-Doku trackt, übersieht garantiert eine relevante Änderung.

Was Framework Change Management technisch leistet

  • Quellen-Polling: die Plattform pollt offizielle Quellen (BSI-Webseite, ISO-Update-Feeds, EU-Amtsblatt für NIS-2-Anhänge) und erkennt neue Versionen automatisch.
  • Diff-Berechnung: ein strukturierter Diff zwischen alter und neuer Version zeigt geänderte/gelöschte/neue Anforderungen – nicht nur „neue Version verfügbar".
  • Impact-Analyse: für jede geänderte Anforderung wird gezeigt, welche eigenen Controls, Policies, Maßnahmen davon betroffen sind.
  • Reassessment-Workflow: automatische Erstellung von Aufgaben für die zuständigen Owner: „Bitte Control X gegen neue Anforderung Y nachjustieren".
  • Audit-Log: wann welcher User welchen Change zur Kenntnis genommen hat – wichtig für die Auditor-Frage „seit wann wisst ihr von der Änderung?".

Beispiel: ISO 27002:2022 → hypothetisches 2025-Update

Angenommen, ISO 27002 würde 2025 ein Themen-Cluster „Quantum-Resilience" als neuen Control-Block einführen. Die Plattform würde:

  1. Den neuen Control identifizieren und in die Mapping-Matrix einfügen.
  2. Cross-Mappings zu BSI-Bausteinen (CON.X) und NIS-2-Artikeln aktualisieren – soweit der entsprechende Standard ebenfalls reagiert hat.
  3. Allen Tenants, die ISO 27001 als aktiven Scope haben, eine „Impact: 1 neuer Control"-Notification schicken.
  4. In der SoA-Ansicht den neuen Control mit Status „neu, ungeprüft" einblenden – und einen Owner zuweisen.

Warum manuelle Verfolgung in der Praxis scheitert

In einer typischen Mittelstand-IT mit einem 0,5-FTE-Compliance-Verantwortlichen werden Norm-Updates aus drei Gründen verpasst: (1) die offiziellen Newsletter sind langweilig zu lesen, (2) die Änderung wirkt erstmal abstrakt („Anforderung in Kapitel X.Y wurde umformuliert"), (3) der Compliance-Verantwortliche ist mit dem laufenden Audit ausgelastet. Die Folge: das nächste Audit deckt die Lücke auf – mit Stress-Aufwand statt geplanter Anpassung.

Auditor-Argument: „kontinuierliche Verbesserung" konkret nachweisen

ISO 27001 und NIS-2 verlangen beide eine kontinuierliche Verbesserung des ISMS. Audit-Log-Einträge à la „Norm-Update X erkannt am 2026-03-15, Reassessment durch Y am 2026-04-02 abgeschlossen, Maßnahmenplan durch Z genehmigt am 2026-04-05" sind genau der Beweis, der im Zertifizierungs-Audit als „best evidence" zählt.

Fazit

Framework Change Management ist kein Glamour-Feature, aber das, was im Audit zwischen „funktionierendes ISMS" und „Findings" entscheidet. Wer Norm-Updates manuell trackt, hat 2026 keinen Wettbewerbsvorteil mehr – die Erwartung ist, dass die Plattform das übernimmt und das Team sich auf inhaltliche Anpassungen konzentriert.

Alle Artikel ansehen Mehr aus dieser Kategorie