Verantwortlichkeiten für Informationssicherheit klar regeln – TISAX®-Kontrolle 1.2.2 im Fokus

Clock
3
min Lesezeit
Calendar icon
10/4/25

Informationssicherheit ist Teamsache. Aber wer trägt die Verantwortung? Genau hier setzt die TISAX®-Kontrolle 1.2.2 an.
Sie prüft, ob Zuständigkeiten rund um das Informationssicherheitsmanagementsystem (ISMS) klar definiert, dokumentiert und umgesetzt sind – intern wie extern.

In diesem Beitrag zeigen wir, was die Anforderungen im Detail bedeuten, welche Rollen relevant sind und worauf Auditor:innen in der Praxis besonders achten.

Warum klare Zuständigkeiten essenziell sind

Ein ISMS kann nur dann funktionieren, wenn Verantwortung nicht ins Leere läuft. In der Realität sehen wir jedoch häufig unklare Rollenzuordnungen, fehlende Vertretungsregelungen oder unzureichend qualifizierte Beauftragte.

Dabei gilt:

  • Informationssicherheit ist Führungssache – und braucht klare Verantwortungsstrukturen, die im Alltag auch gelebt werden.
  • Das betrifft nicht nur IT, sondern auch Datenschutz, Compliance, Einkauf oder Produktion – über alle Ebenen hinweg.

Was TISAX®-Kontrolle 1.2.2 konkret fordert

Die ENX verlangt, dass Unternehmen folgende Punkte klar geregelt und nachweisbar umgesetzt haben:

  • Verantwortlichkeiten sind dokumentiert, zugewiesen und kommuniziert.
  • Beauftragte sind qualifiziert und erhalten ausreichend Ressourcen.
  • Zuständigkeiten sind auch gegenüber Geschäftspartnern nachvollziehbar – z. B. über Organigramme, Rollenbeschreibungen oder Vertragswerke.
  • Funktionstrennung (Separation of Duties): Kritische Rollen wie IT-Betrieb und ISMS-Kontrolle sollten organisatorisch getrennt sein, um Interessenkonflikte zu vermeiden.

Das Ziel: ein ISMS, das nicht auf Papier existiert – sondern von klaren Verantwortlichen getragen und gesteuert wird.

Typische Rollen im ISMS – wer macht was?

In der Praxis bewähren sich klare Rollenzuordnungen, z. B.:

Rolle Aufgabe
ISB (Informationssicherheitsbeauftragter) Operativer Ansprechpartner für das ISMS, Dokumentation & Schulungen
CISO (Chief Information Security Officer) Strategische Leitung der Informationssicherheit
IT-Leitung Technische Umsetzung – aber nicht gleichzeitig ISB
Geschäftsführung Letztverantwortung, Ressourcenbereitstellung
Fachbereiche Umsetzung von Sicherheitsmaßnahmen in Prozessen

📌 Wichtig: Ein ISB sollte nicht derjenige sein, der seine eigenen Systeme prüft – das widerspricht der Funktionstrennung.

Was Auditor:innen sehen wollen

Die Prüfung der Kontrolle 1.2.2 zielt darauf ab, ob die Organisation Verantwortlichkeit auch lebt.
Typische Nachweise sind:

  • Freigegebene Rollendokumente oder Verantwortungsmatrix (z. B. RACI)
  • Organigramm mit ISMS-Zuständigkeiten
  • Benennung & Bestellung des ISB durch Geschäftsführung
  • Nachweise über Qualifikation, Schulung und Ressourcen
  • Hinweise auf Funktionstrennung (z. B. ISB ≠ IT-Leiter)
  • Interne und externe Kommunikationskanäle (z. B. Infoseite im Intranet)

Ein kurzer Satz wie „FrauX ist für IT-Sicherheit zuständig“ reicht nicht aus. Es geht um nachvollziehbare Strukturen, die transparent und belastbar sind.

Häufige Fehler – und wie du sie vermeidest

🚫 Fehlende Trennung von ISB und IT-Leitung – klassische Interessenskollision
🚫 Keine klar dokumentierte Vertretung bei Abwesenheit
🚫 Rollen nur formal benannt – aber nicht operativ befugt
🚫 Kommunikation nur intern – externe Partner bleiben im Dunkeln

Unser Tipp: Prüfe nicht nur, ob Rollen existieren – sondern ob sie gelebt werden.

Fazit: Verantwortlichkeit ist mehr als ein Name auf dem Papier

TISAX®-Kontrolle 1.2.2 prüft, ob dein Unternehmen sicherheitsrelevante Aufgaben klar geregelt hat.
Das betrifft nicht nur Rollen und Organigramme, sondern auch Kompetenz, Kommunikation und Ressourcenzuweisung.

Ein funktionierendes ISMS braucht klare Zuständigkeiten und gelebte Verantwortung – auf allen Ebenen.

Nächste Schritte

🔍 Weitere Kontrollen aus dem Bereich Führung & Steuerung:

FAQ: Verantwortlichkeiten im ISMS richtig regeln

1. Wer darf als Informationssicherheitsbeauftragter (ISB) benannt werden?

Grundsätzlich jede fachlich geeignete Person, die über ausreichendes Know-how verfügt, unabhängig agieren kann und von der Geschäftsführung offiziell beauftragt wurde. Wichtig: Der ISB sollte nicht zugleich für den IT-Betrieb zuständig sein – Stichwort Funktionstrennung.

2. Was versteht man unter „Funktionstrennung“ in TISAX®?

Funktionstrennung bedeutet, dass sicherheitskritische Rollen nicht in Personalunion vergeben werden dürfen. Wer z. B. ein System betreibt, sollte nicht gleichzeitig für dessen Überwachung oder Bewertung im ISMS zuständig sein – um Interessenkonflikte zu vermeiden.

3. Müssen Verantwortlichkeiten schriftlich dokumentiert sein?

Ja, zwingend. Die Zuordnung von Rollen, Aufgaben und Befugnissen muss klar dokumentiert, freigegeben und kommuniziert sein – intern und ggf. auch gegenüber Geschäftspartnern oder externen Auditor:innen.

4. Welche Rollen sind im Kontext von TISAX® besonders relevant?

Neben dem ISB und der IT-Leitung sollten auch Rollen wie CISO, Datenschutzbeauftragter, Risikomanager und Notfallbeauftragter definiert sein – idealerweise mit einem Organigramm und einer Verantwortlichkeitsmatrix.

5. Was prüfen Auditor:innen konkret zur Kontrolle 1.2.2?

Auditor:innen erwarten konkrete Nachweise wie z. B. Benennungsdokumente, Organigramme, RACI-Matrizen, Nachweise zur Qualifikation und Vertretungsregelungen sowie Hinweise zur gelebten Funktionstrennung.

📞 Du brauchst Unterstützung bei der Rollenverteilung oder Auditvorbereitung?

👉 Jetzt unverbindlich Beratung anfragen

Weitere Beiträge

Entdecken Sie weitere spannende Artikel zu Datenschutz, Informationssicherheit und Compliance. Bleiben Sie auf dem neuesten Stand und erfahren Sie, wie Sie Ihr Unternehmen optimal schützen können.

Learn More
View Details