BG Beter Geregeld ICT
Compliance · 2 min leestijd · 26 Oktober 2025

Ein Vorfallsprotokoll einrichten, dem Auditoren vertrauen

Ein leeres Vorfallsprotokoll ist ein rotes Tuch für Auditoren. Es bedeutet nicht, dass keine Vorfälle aufgetreten sind – sondern dass sie nicht erfasst werden. So richten Sie ein praxistaugliches Protokoll ein.

„Wir hatten im vergangenen Jahr keinerlei Vorfälle" – ein Satz, den Auditoren mit hochgezogener Augenbraue quittieren. Nahezu jede Organisation erlebt Vorfälle – von einer entdeckten Phishing-Mail bis hin zu einem Passwort, das versehentlich in Slack eingefügt wurde. Sie zu protokollieren zeigt, dass Sie das Thema ernst nehmen.

Was ist ein Vorfall?

Jedes Ereignis, das die Vertraulichkeit, Integrität oder Verfügbarkeit von Unternehmensinformationen (potenziell) beeinträchtigt. Vorfälle sind nicht dasselbe wie Datenpannen – viele bleiben klein und werden schnell behoben, doch sie verdienen eine Erfassung.

Was wird je Vorfall festgehalten?

  • Datum + Uhrzeit der Entdeckung
  • Kurze Beschreibung („Phishing-Mail scheinbar vom CEO")
  • Kategorie (Phishing, verlorenes Gerät, Malware, unbeabsichtigte Offenlegung, Datenpanne, Sonstiges)
  • Schweregrad (niedrig/mittel/hoch)
  • Wer hat es gemeldet
  • Wer hat es übernommen
  • Status (offen, in Bearbeitung, geschlossen)
  • Was wurde unternommen
  • Ursache + Lessons Learned (beim Schließen)
  • GDPR-Meldepflicht erforderlich? Ja/Nein + Begründung

Wo wird protokolliert?

Eine Airtable-, Notion-Datenbank oder ein separates Tabellenblatt ist völlig ausreichend – solange es strukturiert ist. Ab 50+ Vorfällen pro Jahr lohnt sich ein dediziertes Tool.

Verknüpfung mit dem Risikoregister

Jeder schwerwiegende Vorfall sollte im Risikoregister nachgezogen werden: Erhöhen Sie die Eintrittswahrscheinlichkeit, aktualisieren Sie die Maßnahme und senken Sie das Restrisiko, nachdem Gegenmaßnahmen ergriffen wurden.

Datenpannen-Meldung (GDPR)

Eine Datenpanne muss innerhalb von 72 Stunden nach Entdeckung bei der zuständigen Aufsichtsbehörde gemeldet werden. Siehe GDPR Datenpannen-Meldung. Ihr Vorfallsprotokoll ist der primäre Nachweis, dass Sie dies fristgerecht getan haben.

Onderwerpen

#governance #iso-27001 #incident-management

Volledige gids: ISO 27001 para pymes sin gastar €50k en consultores

Dit artikel is onderdeel van onze uitgebreide Compliance-gids. Lees de pillar voor het complete plaatje.

Lees de pillar →

Verwant leesmateriaal

Compliance

ISO 27001 für KMU – ohne €50k Beraterkosten

ISO 27001 ist machbar, wenn man die Struktur versteht. Hier der minimale Aufwand, den ein KMU mit 30 Mitarbeitern braucht, um ein Stage-2-Audit zu bestehen – inklusive Kosten und den Bereichen, in denen Berater wirklich Mehrwert liefern.

2 min
Compliance

ISO 27001 Kosten: von der ersten Gap-Analyse bis zum Zertifikat

Realistisches Budgetbild für ein KMU mit 30 Mitarbeitern. Interne Stunden, externes Audit, Beratung (so wenig wie nötig), jährliche Wartung. Kein Marketinggeschwätz.

2 min
Compliance

ISO 27001 oder SOC 2? Welches passt zu Ihrem niederländischen KMU?

ISO 27001 ist europäisch ausgerichtet, SOC 2 amerikanisch. Was fordern Ihre Kunden? Und lassen sich beide kombinieren? Hier der praktische Unterschied für KMU.

2 min
Compliance

NEN 7510 für Gesundheitsunternehmer: Aufbauend auf ISO 27001

Arbeiten Sie im oder mit dem Gesundheitswesen? Dann ist NEN 7510 neben (oder anstelle von) ISO 27001 Realität. Die Überschneidungen sind groß – die Unterschiede liegen bei Patientendaten und spezifischen Annex-Controls.

2 min
Compliance

Das Management-Review: Inhalt und Teilnehmer

Eine der Abschnitt-9-Anforderungen aus ISO 27001. Einmal jährlich, mit der Geschäftsleitung, 2 Stunden. Hier die Agenda, die ein Auditor akzeptiert – und die für Sie als Vorbereitung nutzbar ist.

2 min
Compliance

Der PDCA-Zyklus erklärt für Führungskräfte

Plan-Do-Check-Act klingt bürokratisch. In der Praxis bedeutet es: Schreib auf, was du tust, tue es, prüf ob es funktioniert, passe es an. Hier die kürzeste brauchbare Erklärung.

2 min
← Alle artikelen in "Compliance"