TISAX®: Meldepflicht bei Änderungen
- Marc Borgers
- 19. Juni 2024
- 3 Min. Lesezeit
Aktualisiert: 4. Juli 2024
Heute möchte ich ein wichtiges Thema ansprechen, das oft übersehen wird: Die vertragliche vorgeschriebene Meldepflicht für TISAX®-Teilnehmer, Änderungen in betrieblichen oder technischen Gegebenheiten bei der ENX anzuzeigen.
Stellen Sie sich vor, Sie sind TISAX®-Teilnehmer und haben erfolgreich das Assessment bestanden. Alles läuft reibungslos, doch dann steht eine Veränderung an. Vielleicht möchten Sie Geld einsparen, an einen neuen Standort umziehen oder eine Umstrukturierung im Unternehmen vornehmen. Genau hier kommt die Meldepflicht ins Spiel:
"Der Teilnehmer benachrichtigt ENX über alle Änderungen seiner betrieblichen oder technischen Gegebenheiten oder jede andere Änderung, die (negativen) Einfluss auf die Umstände, die Grundlage eines (erfolgreichen) Assessments sind/waren, haben könnten. [...]"
Quelle: Punkt 8 im Kapitel VI. in "TISAX Allgemeine Teilnahmebedingungen"; Version 3.0.2; https://portal.enx.com/de-de/TISAX/downloads/ (Linkdatum 19.06.2024)Beispiele:
Umzug oder Verlagerung des Standortes
Angenommen, Ihr Unternehmen plant an einen neuen Standort umzuziehen. Diese Änderung könnte nicht nur erhebliche Auswirkungen auf Ihre bisherigen Betriebsabläufe haben. Neue Standorte bedeuten auch immer neue Gegebenheiten und Infrastrukturen. Hier ist es wichtig, die ENX frühzeitig über diese Änderungen zu informieren. Denn ein solcher Umzug beeinflusst automatisch die Grundlage des vorherigen erfolgreichen Assessments.
Handelsregister nicht vergessen! Wenn das Unternehmen umzieht, z.B. in ein Nachbargebäude mit anderer Hausnummer, könnte sich aus dem Handelsgesetzbuch (z.B. § 29 HGB; § 31 HGB), der Handelsregisterverordnung (z.B. § 10 HRV) oder dem Gesetz betreffend die Gesellschaften mit beschränkter Haftung (z.B. § 13 GmbHG) eine Pflicht zur Aktualisierung des Handelsregistereintrags ergeben.
Verzicht auf technische oder organisatorische Maßnahmen
Ein weiteres Beispiel ist der Verzicht bzw. die Abschaffung von technischen oder organisatorischen Maßnahmen, die die Grundlage des vorherigen erfolgreichen Assessments gewesen sind. Dazu gehören unteranderem:
Entzug der notwendigen Ressourcen: Wenn Sie die notwendigen Ressourcen wie Zeit, Geld, Personal oder Wissen für die Aufrechterhaltung Informationssicherheit entziehen, kann dies die Wirksamkeit der Sicherheitsmaßnahmen und somit das Sicherheitsniveau erheblich beeinträchtigen.
Verzicht auf regelmäßige Überprüfungen: Wenn Sie nach dem Assessment auf die regelmäßige Überprüfung der Wirksamkeit von Sicherheitsmaßnahmen verzichten, könnte dies organisatorische und technische Schwachstellen unentdeckt lassen und somit einen negativen Einfluss auf die Umstände haben, die ursprünglich die Grundlage des erfolgreichen Assessments gewesen sind.
Abschaffung der Maßnahmen zur Begrenzung von Auswirkungen von Ausnahmesituationen: Solche Maßnahmen sind essenziell, um im Notfall schnell und effektiv reagieren zu können. Auch hier wird die Grundlage in der Regel negativ beeinflusst.
Verzicht auf Geheimhaltungsvereinbarungen: Wenn Sie bei der Weitergabe von schutzbedürftigen Informationen auf Geheimhaltungsvereinbarungen verzichten, riskieren Sie einen unkontrollierten Informationsfluss.
Abschaffung von Maßnahmen zur Erfassung und Bewertung von technischen Schwachstellen: Ohne diese Maßnahmen könnten Schwachstellen unerkannt bleiben, was die Sicherheit Ihrer IT-Infrastruktur und somit auch die Sicherheit der Informationen mit hohem und sehr hohem Schutzbedarf gefährdet.
Entfernung von Maßnahmen zum Schutz von Neuentwicklungen: Maßnahmen, die einen unberechtigten Einblick auf Neuentwicklungen mit hohem oder sehr hohem Schutzbedarf verhindern, sind von großer Bedeutung. Die Demontage kann einen negativen Einfluss auf die Umstände haben, die ursprünglich die Grundlage des erfolgreichen Assessments gewesen sind.
Umstrukturierung im Unternehmen
Nicht nur technische Änderungen sind relevant. Auch organisatorische Veränderungen können meldepflichtig sein. Angenommen, Ihr Unternehmen plant eine größere Umstrukturierung, bei der Abteilungen zusammengelegt oder neu organisiert werden. Solche Änderungen können einen Einfluss auf die Zuständigkeiten und Prozesse haben, die in Ihrem letzten Assessment bewertet wurden.
Warum die Meldepflicht keine bloße Formalität ist
Es ist wichtig zu verstehen, dass diese Meldepflicht nicht nur eine Formalität ist. Wenn Änderungen vorgenommen werden, die unter den eingangs zitierten Punkt 8 der allgemeinen Teilnahmebedingungen im Kapitel VI. (Version 3.0.2) fallen, muss die ENX die Möglichkeit haben, diese Änderungen zu bewerten und gegebenenfalls ein neues Assessment anzuordnen. Jede Änderung sollte daher gut dokumentiert und rechtzeitig an die ENX weitergegeben werden, um sicherzustellen, dass Ihr Unternehmen stets auf dem neuesten Stand der Anforderungen bleibt. So vermeiden Sie mögliche Komplikationen und stellen sicher, dass Ihre Betriebsabläufe reibungslos und sicher weiterlaufen können.