Governance

 

Unternehmenspolitik

 

G1-4 Bestätigte Korruptions- oder Bestechungsfälle

[G1-4-24a] Die NORMA Group tritt gegen Korruption und Bestechung ein und berichtet transparent über bestätigte Vorfälle. Im Geschäftsjahr 2024 gab es keine Verurteilungen und keine Geldstrafen aufgrund von Verstößen gegen Korruptions- und Bestechungsvorschriften. Die Erhebung dieser Kennzahlen erfolgt durch die Rechtsabteilung, die Informationen von den Finanzvorständen der einzelnen Gesellschaften einholt. Diese berichten über Geldstrafen und Verurteilungen der einzelnen Gesellschaften, die dann gruppenweit konsolidiert werden. Die Geldstrafen werden dem Berichtsjahr zugeordnet, in dem die Entscheidungen rechtskräftig wurden. Eine Einschränkung besteht darin, dass meldende Personen Geldstrafen nicht vollständig offenlegen könnten. Die erhobenen Daten werden intern innerhalb der NORMA Group verarbeitet und unterliegen keiner zusätzlichen Prüfung durch externe Stellen, die über die gesetzlichen Anforderungen hinausgeht. [G1-4-24b] Zur Prävention hat die NORMA Group eine Richtlinie zur Bekämpfung von Bestechung und Korruption eingeführt, die detaillierte Verfahren und Standards enthält, wie sie in Kapitel G1 – UNTERNEHMENSFÜHRUNG beschrieben sind.

 

G1-1 Verpflichtungen in Bezug auf Unternehmenspolitik und Unternehmenskultur

[G1-1-9] Die Unternehmenskultur der NORMA Group basiert auf der Unternehmensvision und -mission und wird durch die Unternehmenswerte (Core Values) näher definiert. Durch die Einbindung der Unternehmenswerte in Schulungen für Mitarbeitende und Vorgesetzte – sowie deren Einbettung in die Personalprozesse – bilden sie die Leitgedanken für die Weiterentwicklung der Unternehmenskultur.

Die Vision der NORMA Group basiert auf engagierter Zusammenarbeit und exzellenten globalen Leistungen, die nachhaltige Lösungen schaffen. Das Unternehmen fördert Teamarbeit, schätzt Vielfalt und setzt auf transparente Kommunikation, um vertrauensvolle Beziehungen aufzubauen. Im Fokus stehen Effizienz, kontinuierliche Verbesserung, Nachhaltigkeit und Ressourcenschonung, unterstützt durch Digitalisierung und Automatisierung bei Einhaltung globaler Qualitätsstandards.

Die Mission der NORMA Group ist es, als verlässlicher Partner die Kundenerwartungen mit effizienten Lösungen zu übertreffen und langfristige Beziehungen aufzubauen. Nachhaltiges Wachstum soll durch Innovation und höchste Qualitätsstandards vorangetrieben werden, um die Herausforderungen der Kunden zu lösen.

Die Mission, Vision und die Unternehmenswerte sollen die Bindung von Mitarbeitenden an das Unternehmen fördern, aber auch die Wahrnehmung und Attraktivität der NORMA Group als Arbeitgeber steigern.

[G1-1-10a] Dieses Werteverständnis der NORMA Group bildet die Grundlage für geschäftspolitische Entscheidungen und Maßnahmen. Insbesondere durch die globale Ausrichtung des Unternehmens sind die weltweite Implementierung und Einhaltung von Verhaltensregeln von wesentlicher Bedeutung. Durch Compliance-Rahmenwerke werden Regeln klar und transparent festgelegt. Die zentralen Richtlinien der NORMA Group umfassen:

• den Verhaltenskodex (Code of Conduct)

• die „Whistleblower Protection“-Richtlinie

• das Hinweisgebersystem (Whistleblower-System)

• die Antikorruptions-Richtlinie sowie

• den Verhaltenskodex für Lieferanten (Supplier Code of Conduct).

Die Richtlinien stehen im Zusammenhang mit den als wesentlich identifizierten positiven Auswirkungen und Chancen. Die NORMA Group hat eine positive Auswirkung auf die Unternehmenskultur durch Schulungen und einen soliden rechtlichen Compliance-Rahmen, der das Recruiting und die Bindung von Mitarbeitenden sowie das Unternehmensimage verbessert.

Auch im Bereich Korruption und Bestechung wurden durch die Einhaltung von Richtlinien positive Auswirkungen erzielt. Es wurden keine wesentlichen Risiken identifiziert. Diese Richtlinien werden regelmäßig überprüft und aktualisiert, um den relevanten Anforderungen gerecht zu werden.

Der Vorstand der NORMA Group trägt die Verantwortung für ein effektives Compliance-Management-System. Die gruppenweiten Compliance-Aktivitäten werden vom Director Integrity der NORMA Group koordiniert. Dieser berichtet an den Vice President Integrity und im Bedarfsfall direkt an den Vorstandsvorsitzenden. Neben der zentralen Compliance-Abteilung auf Gruppenebene existieren auch auf regionaler Ebene in den Regionen EMEA, Amerika und Asien-Pazifik sowie in allen operativ tätigen Einzelgesellschaften Local Compliance Delegates. Die Local Compliance Delegates berichten an die jeweils zuständigen Regional Compliance Delegates, die wiederum an die zentrale Compliance-Abteilung der NORMA Group berichten.

Jedes Mitglied der Compliance-Organisation der NORMA Group steht für Fragen und Anliegen rund um das Thema Compliance zur Verfügung. Der Bereich Compliance arbeitet eng mit der unternehmenseigenen Rechtsabteilung zusammen, um neue oder geänderte rechtliche Anforderungen kontinuierlich in die Compliance-Risiko-Analysen und das Compliance-Programm zu integrieren. Darüber hinaus erfolgt die Abstimmung mit Internal Audit, um aktuelle Entwicklungen zu berücksichtigen. Mit der Gründung des „Compliance Committees“ wurde ein Gremium formal etabliert, in dem die aktuellen Compliance-Sachverhalte besprochen und erforderliche Maßnahmen abgestimmt werden. Ständige Mitglieder des Compliance Committees sind Vertreter von Compliance, Legal sowie Internal Audit & Risk Management. Das Compliance Committee tagt in der Regel mindestens quartalsweise sowie im Bedarfsfall auch ad hoc. Mit dem „Human Rights Committee“ wurde zudem ein Format etabliert, in dem gezielt potenzielle Verstöße gegen Menschenrechte besprochen werden. Neben den Mitgliedern des Compliance Committees zählen Vertreter von Human Resources sowie Corporate Responsibility zu den ständigen Mitgliedern des Human Rights Committees. Das Human Rights Committee tagt in der Regel halbjährlich sowie bei Bedarf ad hoc.

Die Wirksamkeit der vom Vorstand eingerichteten Compliance-Organisation wird vom Aufsichtsrat der NORMA Group überwacht, der bei Bedarf zu compliancerelevanten Sachverhalten informiert wird.

[G1-1-10g] Um die Wirksamkeit des Compliance-Management-Systems der NORMA Group zu gewährleisten, müssen alle Beschäftigten mit den relevanten gesetzlichen Anforderungen sowie den internen Compliance-Richtlinien vertraut sein. Ziel ist es, dass alle Beschäftigten der NORMA Group die geltenden Compliance-Regeln sowie die Ansprechpersonen und Meldewege kennen. Die Grundlage dafür bilden die Compliance-Schulungen der NORMA Group, die hauptsächlich in Form von Online-Trainings und anlassbezogen auch als Präsenztrainings durchgeführt werden. Die zu absolvierenden Trainings werden den Beschäftigten je nach Tätigkeits- und Verantwortungsprofil zugewiesen. In diesen Schulungen erhalten die Beschäftigten konkrete Hilfestellungen dazu, welches Verhalten den Compliance-Richtlinien entspricht. Anschließend haben sie die Möglichkeit, ihr Wissen anhand praktischer Fragestellungen und Fallbeispiele anzuwenden und zu testen. Zu den grundlegenden Schulungen, die als Basistrainings von allen Beschäftigten der NORMA Group mit PC-Arbeitsplatz absolviert werden müssen, zählen die Online-Trainings „Code of Conduct & Compliance Basics“ sowie „Anti-Korruption“. Je nach Tätigkeitsbereich sind auch spezifische Fokustrainings, wie „Kartell- und Wettbewerbsrecht“, erforderlich. Durch „Refresher Trainings“ wird das Wissen der Beschäftigten kontinuierlich aktualisiert und vertieft. So wurde im Geschäftsjahr 2024 das Training „Speak Up!“ mit wichtigen Informationen rund um das Thema „Whistleblowing“ ausgerollt. Für nicht kaufmännische Beschäftigte, insbesondere im Fertigungsbereich, die in der Regel über keinen PC-Arbeitsplatz verfügen, werden zum Beispiel adressatengerechte „Compliance Safety Cards“ oder Poster bereitgestellt, die in allen relevanten Sprachen verfügbar sind und die wichtigsten Compliance-Themen anschaulich vermitteln. Der Schulungsbedarf wird bei Bedarf überprüft, während ein internes Reporting-System den Fortschritt und Status der Compliance-Trainings dokumentiert. Die Kommunikation Compliance-relevanter Themen erfolgt zusätzlich über verschiedene Kommunikationskanäle, wie Poster, Broschüren, „Compliance Safety Cards“ mit kompakter Zusammenfassung wesentlicher Compliance-Themen, E-Mails und Intranet-Artikel.

[MDR-P-65] Verhaltenskodex (Code of Conduct)

Der Verhaltenskodex (auch Code of Conduct genannt) der NORMA Group ist ein Dokument, das die ethischen und rechtlichen Standards zusammenfasst, die von den Mitarbeitenden und Führungskräften im Umgang miteinander, wie auch mit Dritten erwartet werden. Er stellt einen Leitfaden für das Verhalten und die Entscheidungsfindung im beruflichen Umfeld dar und trägt dazu bei, ein positives, respektvolles und gesetzestreues Arbeitsumfeld zu fördern. Die NORMA Group erwartet von ihren Mitarbeitenden, dass ihr Verhalten jederzeit mit den Unternehmenswerten und dem Bekenntnis zu ethischem Handeln übereinstimmt. Darüber hinaus wird von ihnen erwartet, die Geschäfte der NORMA Group jederzeit in Übereinstimmung mit den geltenden nationalen, regionalen, lokalen und ausländischen Gesetzen sowie den internen Richtlinien der NORMA Group zu führen. Der Verhaltenskodex behandelt u.a. Themen wie persönliche Integrität, Unternehmensintegrität, Menschenrechte sowie den Umgang mit den Vermögenswerten der NORMA Group. Bei Verdacht auf Verstöße gegen den Verhaltenskodex können sich die Mitarbeitenden der NORMA Group an Human Resources, das Management oder die Compliance-Organisation wenden. Zusätzlich stehen ihnen Meldekanäle zur Verfügung, über die sie - auch anonym - Hinweise geben können.

[MDR-P-65] Hinweisgebersystem (Whistleblower-System)

 

[G1-1-10ci] Die NORMA Group ermutigt ihre Beschäftigten, Verstöße gegen Vorschriften und interne Richtlinien anzuzeigen – gegebenenfalls auch über Hierarchieebenen hinweg. Den Mitarbeitenden stehen dafür unterschiedliche Meldekanäle, unter anderem ein elektronisches Hinweisgebersystem („Whistleblower-System“), zur Verfügung. Mit diesem Whistleblower-System können unternehmensinterne und unternehmensexterne Hinweisgeber der Compliance-Organisation der NORMA Group Verdachtsfälle melden und dabei auf Wunsch ihre Anonymität wahren. Ergänzend bietet die NORMA Group andere geeignete Meldekanäle an, wie etwa die persönliche Meldung an NORMA Group Compliance. Neben dem zentralen internen, elektronischen oder persönlichen Hinweisgeberkanal bietet die NORMA Group an allen Standorten, an denen lokale Gesetze dies vorgeben, ergänzende bzw. alternative Meldekanäle an. Darüber hinaus kann jedes Mitglied der Compliance-Organisation der NORMA Group zu allen Fragen und Themen in Bezug auf Compliance kontaktiert werden.

Sowohl die Eignung als auch die Angemessenheit des Meldesystems werden durch NORMA Group Compliance regelmäßig überprüft – etwa bezüglich der Erfordernisse der „Richtlinie (EU) 2019/1937 des Europäischen Parlamentes und des Rates vom 23. Oktober 2019 zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden“ (sog. „Hinweisgeberschutzrichtlinie“) sowie der entsprechenden Umsetzungsgesetze der Mitgliedsländer. Bei Bedarf wird das System angepasst. Mit Blick auf die teilweise in Widerspruch zur EU-Richtlinie stehende Umsetzung in Landesgesetze durch einzelne EU-Mitgliedsländer, in denen auch die NORMA Group Meldekanäle betreibt, verfolgt die NORMA Group die weiteren Entwicklungen aufmerksam. Bei Bedarf werden erforderliche Anpassungen vorgenommen.

[G1-1-10e] Die Compliance-Organisation geht Hinweisen auf Compliance-Verstöße nach. Die Verfahren und Schutzmaßnahmen für Hinweisgeber sind in der Richtlinie „Whistleblower Protection“ detailliert beschrieben. Sie ist sowohl im Intranet als auch auf der Website der NORMA Group öffentlich zugänglich und richtet sich an interne wie auch externe potenzielle Hinweisgeber.

[G1-1-11][G1-1-10cii] Mit der Whistleblower-Protection-Richtlinie verpflichtet sich die NORMA Group, Hinweisgeber, die in gutem Glauben handeln, vor Benachteiligung, Entlassung, Degradierung und anderen Formen von Vergeltungsmaßnahmen zu schützen; in diesem Zusammenhang soll sichergestellt werden, dass Whistleblower weder arbeits-, disziplinar-, straf- noch zivilrechtlichen Sanktionen ausgesetzt sind und dass sie vor Nachteilen aufgrund ihrer Meldung geschützt werden. Jegliche Form der Benachteiligung von Whistleblowern wird nicht toleriert, und die NORMA Group ergreift erforderliche Maßnahmen, um die Sicherheit und den Schutz von Whistleblowern zu gewährleisten. Diskriminierendes Verhalten gegenüber Whistleblowern ist strikt untersagt und wird durch disziplinarische Maßnahmen verfolgt.

Die Eignung und Angemessenheit des Meldesystems werden anlassbezogen überprüft, insbesondere im Hinblick auf die Erfordernisse der „Richtlinie (EU) 2019/1937 des Europäischen Parlamentes und des Rates vom 23. Oktober 2019 zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden“ (sog. „Hinweisgeberschutzrichtlinie“) sowie die entsprechenden Umsetzungsgesetze der Mitgliedsländer. Bei Bedarf werden notwendige Anpassungen vorgenommen, um sicherzustellen, dass alle Anforderungen stets erfüllt werden.

Angesichts der teilweise abweichenden Umsetzung der Richtlinie in den nationalen Gesetzen einzelner Mitgliedsländer, in denen die NORMA Group ebenfalls Meldesysteme betreibt, verfolgt das Unternehmen die Entwicklungen aufmerksam. Bei Bedarf werden erforderliche Anpassungen vorgenommen, um die Rechtskonformität und den Schutz der Whistleblower zu gewährleisten. [G1-1-10d]

[MDR-P-65] Verhaltenskodex für Lieferanten (Supplier Code of Conduct)

Die NORMA Group ist bestrebt, ihre Verantwortung entlang der gesamten Wertschöpfungskette wahrzunehmen, und erwartet daher von ihren Lieferanten, dass sie in Übereinstimmung mit dem Supplier Code of Conduct handeln. Dies bedeutet, dass Lieferanten ihre Geschäfte unter strikter Einhaltung der Gesetze und ethischer Grundsätze führen müssen. Darüber hinaus sollen sie die Menschenrechte wahren und die geltenden Standards in den Bereichen Arbeitssicherheit sowie Umweltschutz einhalten. Weitere Einzelheiten befinden sich im Kapitel S2 – ARBEITSKRÄFTE IN DER VORGELAGERTEN WERTSCHÖPFUNGSKETTE.

[MDR-P-65] Antikorruptions-Richtlinie

Die NORMA Group misst der Einhaltung ihrer Verpflichtungen zur Korruptionsbekämpfung gemäß den geltenden gesetzlichen Vorschriften höchste Bedeutung bei. Korruption fördert Armut, Hunger, Krankheit und Kriminalität und hemmt die wirtschaftliche und soziale Entwicklung, indem sie Gesellschaften und Individuen daran hindert, ihr volles Potenzial zu entfalten. Darüber hinaus stellt sie ein Hindernis für Rechtsstaatlichkeit und faire Marktpraktiken dar, die die NORMA Group und andere verantwortungsbewusste Unternehmen zur unentbehrlichen Grundlage ihres Handelns machen.

Die NORMA Group hat daher die Antikorruptions-Richtlinie als Sub-Richtlinie des Code of Conduct und damit elementaren Bestandteil des Compliance-Management-Systems etabliert. Das Ziel der Richtlinie ist es, korruptes Verhalten zu verhindern und klare Verhaltensregeln zu etablieren. Sie soll das Vertrauen in die Integrität der Organisation stärken und rechtliche Risiken durch korrupte Praktiken vermeiden. Die Richtlinie dazu vermittelt grundlegendes Wissen über Korruption, Korruptionsrisiken und risikobehaftete Transaktionen sowie die Maßnahmen der NORMA Group zur Reduktion von Korruptionsrisiken. Diese Richtlinie gilt konzernweit. Sie enthält verbindliche Anforderungen hinsichtlich der Gewährung und Annahme von Vorteilen im Rahmen von Geschäftsbeziehungen mit Dritten (d. h. Personen, die nicht bei der NORMA Group beschäftigt sind). Die Richtlinie definiert ausdrücklich verbotene Verhaltensweisen und legt fest, welche Vorteile einer verpflichtenden Vorabprüfung unterliegen und damit genehmigungspflichtig sind.

Mitarbeitende der NORMA Group sowie externe Dritte können jedes tatsächliche oder vermeintliche Fehlverhalten in Bezug auf die NORMA Group anonym über das Whistleblower-System melden. Eine Meldung darf nicht zu Nachteilen für die meldende Person führen. Hinweisen auf Compliance-Verstöße geht die Compliance-Organisation der NORMA Group nach. [G1-1-10b] Derzeit kann die NORMA Group keine Aussage dazu treffen, ob die Antikorruptions-Richtlinie vollständig mit dem Übereinkommen der Vereinten Nationen gegen Korruption übereinstimmt. Ein dezidierter Abgleich soll im kommenden Geschäftsjahr erfolgen. Die NORMA Group hat keinen Plan zur Überarbeitung der Richtlinie entwickelt. [G1-1-10h] Zu den Funktionen innerhalb der NORMA Group, die in Bezug auf Korruption und Bestechung am meisten gefährdet sind, gehören kaufmännische Mitarbeitende.

 

G1-3 Verhinderung und Aufdeckung von Korruption und Bestechung

[G1-3-18a] Die NORMA Group hat Verfahren implementiert, um Vorfälle von Korruption und Bestechung zu verhindern, aufzudecken und angemessen zu behandeln. Diese Verfahren beinhalten eine Antikorruptions-Richtlinie, die klare Vorgaben und Verhaltensweisen definiert. Ergänzt wird diese durch ein Pflichttraining für alle kaufmännischen Mitarbeitenden. Darüber hinaus können Verstöße über die definierten Meldekanäle – auch anonym – an NORMA Group Compliance übermittelt werden. Ausführliche Informationen hierzu sind im Kapitel G1 – UNTERNEHMENSFÜHRUNG enthalten.

[G1-3-18b] Verdachtsfälle werden von NORMA Group Compliance bearbeitet, die über das weitere Vorgehen einzelfallbasiert – und ggf. unter Einbindung des Compliance Committees – entscheidet. Sofern sinnvoll und erforderlich, kann die konkrete Untersuchung von Verdachtsfällen von NORMA Group Compliance an Internal Audit oder an externe Dritte übertragen werden.

[G1-3-18c] Hinweise auf Compliance-Verstöße werden entsprechend den in der Compliance Committee Charta definierten Kriterien im Bedarfsfall im Compliance Committee erörtert und über die weitere Vorgehensweise entschieden. Die definierten Berichtswege sind – unabhängig von der konkreten Durchführung einer Untersuchung – definiert und fixiert. So erfolgt die Berichterstattung ausschließlich durch NORMA Group Compliance an das ressortverantwortliche Vorstandsmitglied.

Neben einem definierten Regelreporting sind auch die Kriterien für ein etwaiges Ad-hoc-Reporting an das ressortverantwortliche Vorstandsmitglied definiert. Über die Erfordernis eines Ad-hoc-Reportings aufgrund der potenziellen Überschreitung definierter Wesentlichkeitsgrenzen wird im Compliance Committee entschieden.

[G1-3-20] Die NORMA Group stellt sicher, dass ihre Richtlinien für alle relevanten Parteien zugänglich und verständlich sind: Mitarbeitende können die Compliance-Richtlinien jederzeit im Intranet einsehen. Der Code of Conduct ist als Anhang zu den Arbeitsverträgen beigefügt und wird in den Compliance-Trainings behandelt. Die Richtlinien sind in bis zu elf Sprachen verfügbar, um die globale Verständlichkeit zu gewährleisten.

Für interessierte Stakeholder sind die Compliance-Richtlinien auf der NORMA-Website transparent einsehbar.

Lieferanten erhalten den „Supplier Code of Conduct“ im Rahmen des Onboardings und bei Aktualisierungen, um sicherzustellen, dass sie die Standards der NORMA Group verstehen und einhalten.

[G1-3-21a] Das Trainings-Curriculum der NORMA Group deckt auch die Themen „Korruption und Bestechung“ ab. So werden grundlegende Korruptionsthemen bereits im E-Learning zum Code of Conduct behandelt. Im Training „Anti-Korruption“ werden die Inhalte konkretisiert und vertieft. Die Trainingsinhalte sind dabei eng abgestimmt auf die zugrunde liegenden Richtlinien „Code of Conduct“ und „Anti-Korruption“. Alle kaufmännischen Mitarbeitenden sind verpflichtet, die beiden Trainings zu absolvieren. Bedarfsgerecht werden zusätzliche Schulungen und Updates angeboten, um das Wissen aktuell zu halten. Zudem steht im Intranet die Broschüre „Gifts & Invitations“ mit wichtigen Hinweisen zum Umgang mit Geschenken, Einladungen und sonstigen Vorteilen zur Verfügung.

[G1-3-21b] Diese Schulungsprogramme sind so konzipiert, dass sie 100 % der Mitarbeitenden der von NORMA Group Compliance als mit Blick auf Korruption risikobehaftet eingestuften Funktionen abdecken. Im Geschäftsjahr 2024 wurden 96 % der entsprechenden Trainings abgeschlossen. Als risikobehaftete Funktionen wurden bei NORMA Mitarbeitende der Mitarbeiterklasse „salaried“ eingestuft. [G1-3-21c] Die Schulungen sind für alle Mitarbeitenden der Mitarbeiterklasse „salaried“, einschließlich Führungskräften und Vorstandsmitgliedern, verpflichtend. Ergänzend dazu erhalten Mitglieder der Compliance-Organisation ein spezielles Onboarding-Training, das ebenfalls Anti-Korruptionsinhalte behandelt.

 

Informationssicherheit

 

Absolvierungsquote des Trainings „Information Security“ pro Jahr und Mitarbeiter unter Berücksichtigung der TISAX-zertifizierten Standorte

[MDR-M-75][MDR-M-76][MDR-M-77] Um den Fortschritt der definierten Ziele im Bereich Informationssicherheit zu messen, nutzt die NORMA Group eine unternehmensspezifische Metrik. Diese Metrik erfasst das Verhältnis der abgeschlossenen E-Learnings zur Informationssicherheit im Verhältnis zur Gesamtzahl der erfolgten Einschreibungen. Die Absolvierung des E-Learnings ist für alle kaufmännischen Mitarbeitenden verpflichtend, die in einer im Scope der TISAX-Zertifizierung befindlichen Gesellschaft beschäftigt sind. Im Geschäftsjahr 2024 wurden 88 % der entsprechenden Trainings abgeschlossen.

 

Verpflichtungen in Bezug auf Informationssicherheit

[MDR-P-65] Das Unternehmen setzt auf belastbare und sichere Systeme, Prozesse und Verfahren, um die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen kontinuierlich zu gewährleisten – Informationssicherheit ist daher eine zentrale Grundlage für alle Geschäftsaktivitäten und die operative Sicherheit. Die NORMA Group verfolgt eine aktive Sicherheitskultur, die durch Schulungen und die Einbeziehung der Mitarbeitenden gefördert wird. Dabei ist sich das Unternehmen seiner positiven und negativen Auswirkungen ebenso wie der sich bietenden Chancen bewusst. Durch regionalspezifische unterschiedliche Umsetzung von Regelungen und Datenschutz hat die NORMA Group negative Auswirkungen auf die Sicherheit und den Schutz der Informationen von Mitarbeitenden und Kunden. Positiv hingegen sind transparente und anwendungsorientierte Vorschriften, Schulungen und ein fortlaufendes Verbesserungs- und Risikomanagement. Zudem besteht die Chance, durch eine systematische und nachhaltige, wirksame Stärkung des Informationssicherheitsmanagementsystems die Eintrittswahrscheinlichkeit von Schadensfällen bzw. deren Auswirkungen zu reduzieren und dadurch nicht nur finanzielle Schäden zu mindern sondern auch Vertrauen bei den Stakeholdern zu schaffen. Die NORMA Group unterhält ein Informationssicherheitsmanagementsystem (ISMS), das sich an den Anforderungen des „Trusted Information Security Assessment Exchange“ (TISAX)-Standards des Verbands der deutschen Automobilindustrie (VDA) sowie an weiteren anerkannten Best Practices und internationalen Standards (z. B. ISO 27001) orientiert. Dieses ISMS zielt darauf ab, die Informationssicherheit durch systematische Planung, Implementierung, Wartung, Überprüfung und kontinuierliche Verbesserung zu gewährleisten.

Struktur und Elemente des ISMS werden durch die Informationssicherheitsrichtlinie definiert, die 2024 vom Chief Executive Officer (CEO) verabschiedet wurde. Diese Richtlinie bildet die Grundlage für die strategische Ausrichtung und die operativen Maßnahmen im Bereich Informationssicherheit. Sie legt die wesentlichen Prinzipien, Ziele und Regeln fest, die die Umsetzung und kontinuierliche Verbesserung des ISMS steuern. Dabei verfolgt die Richtlinie – wie auch das ISMS insgesamt – das Ziel, dass alle relevanten Sicherheitsaspekte in die täglichen Prozesse integriert werden. Die NORMA Group konnte in diesem Zusammenhang keine wesentlichen Risiken feststellen.

Die Richtlinie für Informationssicherheit gilt für die NORMA Group und alle Tochtergesellschaften sowie für sämtliche Mitarbeitenden, einschließlich leitender Angestellter, Führungskräfte, Leiharbeiter und Freiberufler, sowie für relevante externe Parteien wie Partner und Lieferanten. Der Vorstand und das lokale Management tragen die Gesamtverantwortung für die Informationssicherheit und unterstützen die Umsetzung der Richtlinie und der daraus abgeleiteten Maßnahmen.

 

Ziele im Zusammenhang mit der Bewältigung wesentlicher negativer Auswirkungen, der Förderung positiver Auswirkungen und dem Umgang mit wesentlichen Risiken und Chancen

[MDR-T-79][MDR-T-80] Die NORMA Group hat klare Ziele für die Informationssicherheit definiert, die im Management-System für Informationssicherheit verankert sind. Der Group Information Security Officer stellt die Richtlinien relevanten Mitarbeitenden und externen Partnern zum Beispiel über das Intranet, die Website oder per E-Mail zur Verfügung.

Um die Standards des Informationssicherheitsmanagementsystems nachweislich und überprüfbar an relevanten Standorten der NORMA Group einzuführen, erbringen die als relevant definierten Einheiten einen Nachweis entsprechend dem „TISAX“-Standard und lassen eine externe Auditierung vornehmen. Hinsichtlich des Zertifizierungsbedarfs und -umfangs erfolgt eine enge Abstimmung mit den Kunden.

Darüber hinaus ist es das Ziel, dass 100 % der kaufmännischen Mitarbeitenden in den als relevant definierten Einheiten das E-Learning „Information Security Basics“ jährlich erfolgreich abschließen. Die NORMA Group überwacht und misst den Fortschritt bei der Erreichung der Ziele.

 

Ergreifung von Maßnahmen in Bezug auf wesentliche Auswirkungen und Ansätze zum Management wesentlicher Risiken und zur Nutzung wesentlicher Chancen im Zusammenhang mit der Informationssicherheit sowie die Wirksamkeit dieser Maßnahmen und Ansätze

[MDR-A-68][MDR-A-69] Die NORMA Group hat gezielte Maßnahmen umgesetzt, um ihre Informationssicherheitsziele zu erreichen und sowohl die Risiken als auch die Chancen im Bereich der Informationssicherheit aktiv zu steuern. Zwar wurden im Bereich der Informationssicherheit keine wesentlichen Risiken gemäß der Wesentlichkeitsdefinition festgestellt, dennoch bleibt es eine zentrale Aufgabe der Informationssicherheit, potenzielle Risiken zu erkennen, zu bewerten und aktiv zu steuern. Im Rahmen der Konzeptionierung des Themas Informationssicherheit wurden Risiken nach den damals festgelegten Bewertungskriterien identifiziert. Die bereits laufenden und umgesetzten Maßnahmen könnten dazu geführt haben, dass in der Wesentlichkeitsanalyse 2023 keine wesentlichen Risiken mehr identifiziert wurden. Die folgenden Maßnahmen werden im Bereich Informationssicherheit umgesetzt: Der Prozess zur Auditierung nach dem TISAX-Standard des Verbands der Automobilindustrie (VDA) umfasst die sorgfältige Vorbereitung und Umsetzung notwendiger Schritte. Im Rahmen des Managementsystems für Informationssicherheit werden Bedrohungen und Risiken detailliert analysiert und Maßnahmen zur Minderung oder Beseitigung ergriffen. Eine kontinuierliche Beobachtung bzw. Überprüfung der Informationssicherheit berücksichtigt dabei unter anderem IT-Infrastruktur, Prozesse, Technologien und Strukturen. Die jeweiligen Aktivitäten erfolgen unter anderem in Abstimmung zwischen NORMA Group Information Security und NORMA Group IT. Dieser Ansatz verfolgt das Ziel, effektiv vor Sicherheitsverletzungen zu schützen und die Integrität der Unternehmenswerte zu sichern. Ergänzend werden Verhaltensregeln und strukturelle Verbesserungen umgesetzt, um Risiken wie Cyberangriffe oder Naturkatastrophen zu mitigieren.

Der Group Information Security Officer überwacht kontinuierlich den Status der Informationssicherheit und die implementierten Maßnahmen, um den Schutz der Vertraulichkeit, Integrität und Verfügbarkeit zu gewährleisten.

 

Produktqualität

 

Kennzahlen zum Thema Produktqualität

[MDR-M-75][MDR-M-76][MDR-M-77]

Um den Fortschritt der definierten Ziele zu messen, verwendet die NORMA Group zwei Metriken: die Anzahl der bestätigten fehlerhaften Teile pro Jahr (Erhebung für die Produktionsstandorte) und die Anzahl der akzeptierten monatlichen Kundenbeschwerden (Erhebung für die Produktionsstandorte und Distributionsstandorte).

 

Anzahl der fehlerhaften Teile pro eine Million produzierten Teilen (ppm: parts per million)

Die erste Metrik misst die Anzahl bestätigter fehlerhafter Teile pro eine Million gelieferten Teile. Die Metrik wird berechnet, indem die Anzahl der bestätigten fehlerhaften Teile durch die Gesamtzahl der gelieferten Teile geteilt und mit einer Million multipliziert wird. Im Geschäftsjahr 2024 lag der Parts-per-Million-Wert der NORMA Group bei 3,2. Die NORMA Group hat demnach den Zielwert von weniger als 4,5 fehlerhafter Teile pro einer Million Teile im Geschäftsjahr 2024 erreicht. Diese Kennzahl wird kontinuierlich erfasst und monatlich an den Vorstand berichtet. Auf Werksebene erfolgen gleichzeitig Ursachenanalysen und die Einleitung von Gegenmaßnahmen. Als in der Automobilbranche etablierter Key Performance Indicator wird der Parts-per-Million-Wert zur Messung der Qualitätsleistung herangezogen. Zudem wird die Qualitätskennzahl jährlich durch einen akkreditierten International-Automotive-Task-Force-Registrator auditiert und verifiziert und demnach extern validiert.

 

Anzahl der Kundenreklamationen

Die zweite Kennzahl betrifft die Kundenbeschwerden. Diese Beschwerden sind in der Automobilindustrie eine wichtige Kennzahl zur Messung der Qualitätsleistung und erfassen die Beschwerden pro Monat und Geschäftseinheit. Die Kundenbeschwerden werden am Entstehungspunkt erfasst. Wenn die Ursache der Beschwerde auf den Herstellungsprozess zurückzuführen ist, wird sie am Produktionsstandort gezählt; bei Problemen aufgrund von Versand, Verpackung oder Logistikfehlern erfolgt die Erfassung im Distributionszentrum. Der Kunde meldet die Beschwerde an die liefernde Geschäftseinheit der NORMA Group. Das Berechnungsverfahren für diese Kennzahl basiert auf der Anzahl der akzeptierten Beschwerden, die im Kalendermonat gemeldet werden, geteilt durch die Anzahl der Produktions- und Distributionsstandorte. Um eine Doppelzählung zu vermeiden, wird eine Beschwerde ausschließlich bei dem verursachenden Standort gezählt. Die Kundenbeschwerden unterliegen keiner Limitation und werden jährlich im Rahmen der Audits der International Automotive Task Force überprüft und validiert und somit extern validiert. Im Geschäftsjahr 2024 lag die Anzahl der akzeptierten Kundenbeschwerden der NORMA Group bei 2,8. Die NORMA Group hat den Zielwert von durchschnittlich 5,0 Kundenbeschwerdemeldungen erreicht.

 

Verpflichtungen zum Thema Produktqualität

[MDR-P-65] In den Geschäftsbereichen der NORMA Group hat die Qualität der Produkte oberste Priorität. Da die Produkte als Verbindungselemente verschiedener Einzelteile funktionskritisch für die direkten Kunden sein können, kann schon eine einzige Störung die Funktion und Sicherheit der gesamten Anwendung beeinträchtigen. Deshalb setzt die NORMA Group mit ihren Marken auf höchste Zuverlässigkeit, um das Vertrauen der Kunden in ihre Produkte und Dienstleistungen zu bewahren und weiter zu stärken. Die Qualität der Produkte und die Erfüllung von Kundenanforderungen sind dabei eng miteinander verknüpft.

Im Geschäftsjahr 2020 haben der Chief Operating Officer sowie der Vice President für Qualität, Umwelt, Gesundheit und Sicherheit eine gruppenweite Qualitätsrichtlinie verabschiedet, die für das gesamte Unternehmen gilt. Diese unterstreicht das Management-Verständnis der NORMA Group und deren Verpflichtung zu folgendem Grundsatz: Die NORMA Group verfolgt eine Null-Fehler-Denkweise, das heißt, dass die NORMA Group anstrebt, in Produktions- und Geschäftsprozessen keine Fehler zu machen. Stetige Verbesserungen werden durch das NORMA Business System unterstützt, das kontinuierlich die Weiterentwicklung aller Prozesse fördert. Die Einhaltung relevanter Normen und gesetzlicher Anforderungen ist ein weiterer wichtiger Grundsatz der Qualitätsrichtlinie. Entscheidungen werden auf allen Unternehmensebenen datengestützt getroffen, indem die beiden Schlüsselkennzahlen „Anzahl der fehlerhaften Teile“ und „Anzahl der Kundenreklamationen“ überwacht und als Basis für Entscheidungen genutzt werden. Zudem werden geringfügige Investitionen in Technologien getätigt, um die Prozessfähigkeit zu gewährleisten.

Die Qualitätsrichtlinie ist für alle interessierten Stakeholder öffentlich zugänglich und verdeutlicht die positiven Auswirkungen und Chancen für die NORMA Group. Die Handlungen des Unternehmens wirken sich durch hohe Qualitäts- und Sicherheitsstandards positiv auf die Produktqualität aus. Diese Qualität bietet finanzielle Chancen zur Umsatz- und Rentabilitätssteigerung. Es wurden keine wesentlichen Risiken im Zusammenhang mit der Produktqualität identifiziert.

 

Ziele im Zusammenhang mit der Bewältigung wesentlicher negativer Auswirkungen, der Förderung positiver Auswirkungen und dem Umgang mit wesentlichen Risiken und Chancen

[MDR-T-79][MDR-T-80] Um die Qualität ihrer Produkte sicherzustellen, hat sich die NORMA Group zwei klare und messbare Ziele für das Geschäftsjahr 2024 gesetzt. Hinsichtlich des Produktoutputs ist das Ziel eine Anzahl fehlerhafter Teile von weniger als 4,5 pro Million Teile. Die Messung erfolgt in „parts per million“ (PPM), also pro Million Teile. Hinsichtlich des Kundenfeedbacks ist das Ziel, dass die Anzahl der Kundenbeschwerdemeldungen einen Durchschnitt von 5,0 pro Monat und Geschäftseinheit nicht überschreitet. Beide Zielwerte werden jährlich validiert und definiert sowie auf monatlicher Basis nachverfolgt und an den COO während des Operational(OPS)-Reviews berichtet. Die Ziele wurden vom Vorstand der NORMA Group für das Geschäftsjahr 2024 beschlossen.

Für das Geschäftsjahr 2025 wurden ebenfalls Ziele formuliert. Das Ziel für die Anzahl fehlerhafter Teile liegt bei weniger als 4,3 pro Million Teile. Das Ziel bezüglich des Kundenfeedbacks soll im Geschäftsjahr 2025 im Durchschnitt unter 4,8 pro Monat und Geschäftseinheit liegen.

 

Ergreifung von Maßnahmen in Bezug auf wesentliche Auswirkungen und Ansätze zum Management wesentlicher Risiken und zur Nutzung wesentlicher Chancen im Zusammenhang mit der Produktqualität sowie die Wirksamkeit dieser Maßnahmen und Ansätze

[MDR-A-68][MDR-A-69] Um die gesetzten Ziele im Bereich der Produktqualität zu erreichen und die positiven Auswirkungen sowie Chancen auch zukünftig sicherzustellen, hat die NORMA Group im Geschäftsjahr 2024 mehrere gezielte Maßnahmen umgesetzt.

Eine der Maßnahmen, die in Bezug auf die Produktqualität umgesetzt wurde, ist die Implementierung von QASQ-it in den NORMA-Produktionsstätten. Diese Plattform besteht aus mehreren Modulen, die es der NORMA Group ermöglichen, den Prozessfähigkeitsindex (Cpk) der Prozesse, die Rechtzeitigkeit der Einreichung des Produktionsteilgenehmigungsverfahrens (PPAP) an die Kunden sowie die Bearbeitung von Reklamationen zu verfolgen. Auf diese Weise wird die NORMA Group ihre Agilität gegenüber Kunden weiter verbessern und die Kundenzufriedenheit weiter steigern. Diese Einführung wird die nächsten zwei bis drei Jahre in Anspruch nehmen, und ein spezielles Team wird sich darauf konzentrieren.

 

HGB, Global Reporting Initiative (GRI) und UN Global Compact

Die berichteten Informationen innerhalb der nichtfinanziellen Erklärung in Verbindung mit weiteren Informationen aus dem Geschäftsbericht wurden gemäß § 289d HGB unter teilweiser Zugrundelegung des ersten Satzes der European Sustainability Reporting Standards (ESRS) als Rahmenwerk erstellt. Daraus ergibt sich auch eine Orientierung an den GRI-Standards innerhalb des nichtfinanziellen Berichts. Der GRI-Inhaltsindex ist auf der Website der NORMA Group zu finden. WWW.NORMAGROUP.COM^8a) Diese Angabe mit Fußnote a) ist eine weitergehende Information, die nicht Bestandteil der nichtfinanziellen Konzernerklärung ist.

Dieser Bericht dient zudem als Fortschrittserklärung für die Umsetzung der zehn Prinzipien des UN Global Compact. Die Verweise auf die Global-Compact-Prinzipien wurden in den GRI-Inhaltsindex integriert.

^8a) Diese weiterführende Information beinhaltet den GRI Content Index für das Geschäftsjahr 2024.