Informationssicherheit

Wesentliche Auswirkungen, Risiken und Chancen und ihr Zusammenspiel mit Strategie und Geschäftsmodell (SBM-3)

Informationssicherheit ist für die NORMA Group ein wesentliches Thema mit hoher Relevanz für die eigene Geschäftstätigkeit. Die identifizierten Risiken betreffen sowohl interne Prozesse als auch die gesamte Wertschöpfungskette und stehen in direktem Zusammenhang mit dem Geschäftsmodell, der Unternehmensstrategie und der Entscheidungsfindung. Dazu zählen insbesondere das Risiko einer unbeabsichtigten Offenlegung vertraulicher Informationen sowie das Risiko von Auftragsverlusten infolge der Nichteinhaltung kundenspezifischer TISAX-Anforderungen. Um diesen Risiken wirksam zu begegnen, setzt die NORMA Group auf ein umfassendes Risikomanagementsystem, klare Compliance-Richtlinien und regelmäßige Schulungen. Dadurch soll sichergestellt werden, dass alle erforderlichen Maßnahmen ergriffen werden, um Risiken frühzeitig zu erkennen, zu bewerten und zu steuern.

Verpflichtungen in Bezug auf Informationssicherheit

Das Unternehmen hat den Anspruch, belastbare und sichere Systeme, Prozesse und Verfahren einzusetzen, um die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen kontinuierlich zu gewährleisten – Informationssicherheit ist daher eine zentrale Grundlage für alle Geschäftsaktivitäten und die operative Sicherheit. Die NORMA Group verfolgt eine aktive Sicherheitskultur, die durch Schulungen und die Einbeziehung der Mitarbeitenden gefördert wird. Darüber hinaus existieren transparente und anwendungsorientierte Vorschriften, Schulungen und ein fortlaufendes Verbesserungs- und Risikomanagement. Zudem ist es möglich, durch eine systematische und nachhaltige, wirksame Stärkung des Informationssicherheitsmanagementsystems die Eintrittswahrscheinlichkeit von Schadensfällen bzw. deren Auswirkungen zu reduzieren und dadurch nicht nur finanzielle Schäden zu mindern, sondern auch Vertrauen bei den Stakeholdern zu schaffen. Die NORMA Group unterhält ein Informationssicherheitsmanagementsystem (ISMS), das sich an den Anforderungen des „Trusted Information Security Assessment Exchange“-(TISAX-)Standards des Verbands der deutschen Automobilindustrie (VDA) sowie an weiteren anerkannten Best Practices und internationalen Standards (z. B. ISO 27001) orientiert. Dieses ISMS zielt darauf ab, die Informationssicherheit durch systematische Planung, Implementierung, Wartung, Überprüfung und kontinuierliche Verbesserung zu gewährleisten.

Struktur und Elemente des ISMS werden durch die Informationssicherheitsrichtlinie definiert, die im Geschäftsjahr 2024 ausgerollt wurde. Diese Richtlinie bildet die Grundlage für die strategische Ausrichtung und die operativen Maßnahmen im Bereich Informationssicherheit. Sie legt die wesentlichen Prinzipien, Ziele und Regeln fest, die die Umsetzung und kontinuierliche Verbesserung des ISMS steuern. Dabei verfolgt die Richtlinie – wie auch das ISMS insgesamt – das Ziel, dass alle relevanten Sicherheitsaspekte in die täglichen Prozesse integriert werden.

Die Richtlinie für Informationssicherheit gilt für die NORMA Group und alle Tochtergesellschaften sowie für sämtliche Mitarbeitenden, einschließlich leitender Angestellter, Führungskräfte, Leiharbeiter und Freiberufler, sowie für relevante externe Parteien wie Partner und Lieferanten. Der Vorstand und das lokale Management tragen die Gesamtverantwortung für die Informationssicherheit und unterstützen die Umsetzung der Richtlinie und der daraus abgeleiteten Maßnahmen.

Ergreifung von Maßnahmen in Bezug auf wesentliche Auswirkungen und Ansätze zum Management wesentlicher Risiken und zur Nutzung wesentlicher Chancen im Zusammenhang mit der Informationssicherheit sowie die Wirksamkeit dieser Maßnahmen und Ansätze

Die NORMA Group hat gezielte Maßnahmen umgesetzt, um ihre Informationssicherheitsziele zu erreichen und die Risiken im Bereich der Informationssicherheit aktiv zu steuern. Es ist zentrale Aufgabe der Informationssicherheit, potenzielle Risiken zu erkennen, zu bewerten und aktiv zu steuern.

Die folgenden Maßnahmen werden im Bereich Informationssicherheit umgesetzt: Der Prozess zur Auditierung nach dem TISAX-Standard des Verbands der Automobilindustrie (VDA) umfasst die sorgfältige Vorbereitung und Umsetzung notwendiger Schritte. Im Rahmen des Managementsystems für Informationssicherheit werden Bedrohungen und Risiken detailliert analysiert und Maßnahmen zur Minderung oder Beseitigung ergriffen. Eine kontinuierliche Beobachtung bzw. Überprüfung der Informationssicherheit berücksichtigt dabei unter anderem IT-Infrastruktur, Prozesse, Technologien und Strukturen. Die jeweiligen Aktivitäten erfolgen unter anderem in Abstimmung zwischen NORMA Group Information Security und NORMA Group IT. Dieser Ansatz verfolgt das Ziel, effektiv vor Sicherheitsverletzungen zu schützen und die Integrität der Unternehmenswerte zu sichern. Ergänzend werden Verhaltensregeln und strukturelle Verbesserungen umgesetzt, um Risiken wie Cyberangriffe oder Naturkatastrophen zu mitigieren.

Der Group Information Security Officer hat die Verantwortung, den Status der Informationssicherheit und die implementierten Maßnahmen kontinuierlich zu überwachen, um den Schutz der Vertraulichkeit, Integrität und Verfügbarkeit zu gewährleisten.

Ziele im Zusammenhang mit der Bewältigung wesentlicher negativer Auswirkungen, der Förderung positiver Auswirkungen und dem Umgang mit wesentlichen Risiken und Chancen

Die NORMA Group hat eine klare Ambition für die Informationssicherheit definiert, die im Management-System für Informationssicherheit verankert sind. Der Group Information Security Officer stellt die Richtlinien relevanten Mitarbeitenden und externen Partnern zum Beispiel über das Intranet, die Website oder per E-Mail zur Verfügung.

Um die Standards des Informationssicherheitsmanagementsystems nachweislich und überprüfbar an relevanten Standorten der NORMA Group einzuführen, erbringen die als relevant definierten Einheiten einen Nachweis entsprechend dem TISAX-Standard und lassen eine externe Auditierung vornehmen. Hinsichtlich des Zertifizierungsbedarfs und -umfangs ist eine enge Abstimmung mit den Kunden vorzunehmen.

Darüber hinaus ist es die Ambition, dass 100 % der kaufmännischen Mitarbeitenden in den als relevant definierten Einheiten das E-Learning „Information Security Basics“ jährlich erfolgreich abschließen. Die NORMA Group überwacht und misst den Fortschritt bei der Erreichung der Ziele.

Kennzahlen in Bezug auf Informationssicherheit

Absolvierungsquote des Trainings „Information Security“ pro Jahr und Mitarbeiter unter Berücksichtigung der TISAX-zertifizierten Standorte

Um den Fortschritt der definierten Ziele im Bereich Informationssicherheit zu messen, nutzt die NORMA Group eine unternehmensspezifische Metrik. Diese Metrik erfasst das Verhältnis der abgeschlossenen E-Learnings zur Informationssicherheit im Verhältnis zur Gesamtzahl der Trainingseinschreibungen, die aufgrund der definierten Einschreibungskriterien erfolgt sind. Die Absolvierung des E-Learnings ist für alle kaufmännischen Mitarbeitenden verpflichtend, die in einer im Scope der TISAX-Zertifizierung befindlichen Gesellschaft beschäftigt sind.

Im Berichtsjahr 2025 wurden in den TISAX-relevanten Einheiten keine dezidierten Trainings zur Informationssicherheit angeboten. Die im Jahr 2025 verzeichneten Abschlüsse von mehr als 200 Informationssicherheitstrainings resultieren aus der Trainingskampagne 2024, für die die Einschreibung erst im vierten Quartal 2024 erfolgte und deren Trainings überwiegend im ersten Quartal 2025 durchgeführt wurden. Sie sind damit gemäß der relevanten Definition der Trainingskennzahl dem Jahr 2024 zurechenbar und wurden im Bericht des Vorjahres entsprechend erfasst. Die neue Trainingskampagne zur Informationssicherheit befindet sich zum Zeitpunkt der Berichterstellung in der Finalisierungsphase; der Roll-out ist für das erste Quartal 2026 vorgesehen.