Climate action changes: Neue ISO/IEC 27001:2022 AMD1 im Anflug
Nach der Veröffentlichung der deutschen DIN EN ISO/IEC 27001:2024 zu Beginn des Jahres, setzt die ISO/IEC 27001:2022 bereits im Februar zu einer ersten Aktualisierung an und die Norm soll die erste Korrektur erhalten: das Amendment 1: „Climate action changes“.
Aktualisierung der ISO/IEC 27001:2022 – Amendment 1: “Climate action changes”
Nach der Veröffentlichung der deutschen DIN EN ISO/IEC 27001:2024 zu Beginn des Jahres, setzt die ISO/IEC 27001:2022 bereits im Februar zu einer ersten Aktualisierung an und die Norm soll die erste Korrektur erhalten: das Amendment 1: „Climate action changes“.
Diese bereits Mitte 2023 beschlossenen Änderungen im Annex SL, dem Standard, dem alle ISO-Managementsystem-Normen folgen, werden nun schrittweise in alle ISO-Managementsystem-Normen integriert. Inhaltlich sollen voraussichtlich nur zwei Ergänzungen (eigene Übersetzung) in Kapitel 4 aufgenommen werden:
- Kap. 4.1: „Die Organisation muss feststellen, ob der Klimawandel ein relevantes Thema ist.“ und
- Kap. 4.2: „Hinweis: Relevante interessierte Parteien können Anforderungen im Zusammenhang mit dem Klimawandel haben.“
Das Thema Klimawandel und die damit verbundenen extremen Wetterereignisse sind bei weitem nicht neu und werden unter anderem gemäß dem Global Risk Report des World Economic Forum als Top-Bedrohungen für die nächsten 2 bis 10 Jahre betrachtet. Daher ist es nur konsequent, dass die ISO dieses Thema auch in ihre Managementsystem-Normen integriert.
Aber was bedeutet das jetzt konkret für unser ISO 27001-konformes ISMS?
Die Anforderung ist eigentlich einfach: Die Organisation muss feststellen, ob der Klimawandel ein relevantes Thema für ihr Geschäftsmodell ist und das Potenzial hat, die Informationssicherheit im Unternehmen zu beeinträchtigen. In diesem Zusammenhang werden typischerweise bereits heute Umweltbedrohungen wie Feuer und Überflutungen in Risikoanalysen berücksichtigt. Allerdings bietet sich hier die Möglichkeit, noch tiefer einzusteigen:
- Dürren oder Hitzeperioden könnten die Verfügbarkeit beeinträchtigen, wenn IT Systeme oder Anlagen nicht ausreichend gekühlt werden können.
- Klimatische Extremsituationen könnten sich auf (globale) Lieferketten oder kritische Dienstleister auswirken, insbesondere wenn diese von bestimmten Rohstoffen abhängig sind.
- Compliance könnte gefährdet sein, wenn neue Klimagesetze Vorschriften für Schadstoffemissionen oder Einschränkungen des Energieverbrauchs vorschreiben oder der Einsatz neuer Technologien erforderlich wird.
Mit der Integration dieser neuen Sätze in die ISO/IEC 27001 rückt die Frage des Klimawandels noch einmal verstärkt in den Fokus, und es lohnt sich durchaus, darüber noch einmal eingehender nachzudenken. Zusätzlich bietet dies der ISO die Möglichkeit, die Norm erneut zu verkaufen. Autor: Autor Stefan Ransom, Partner bei TTS Security;
Der Orginalbeitrag erschien erstmals auf dem Blog von TTS Security.