Wetterextreme und steigende Meeresspiegel, CO2-Äquivalente und erneuerbare Energien – der Klimawandel bestimmt den öffentlichen Diskurs in allen Lebensbereichen. Es war daher nur eine Frage der Zeit, bis das Thema auch Einzug in die Normenwelt der Managementsysteme nehmen würde. Die für diesen Bereich federführende International Organization for Standardization (ISO) hat schließlich im Februar 2024 ein Amendment („Ergänzung“) veröffentlicht, um Aspekte des Klimawandels erstmals in ihre Regelwerke mit aufzunehmen. Damit unterstützt die ISO Bestrebungen der Vereinten Nationen, die Thematiken Klimawandel und Nachhaltigkeit stärker in den Fokus zu rücken. Diese Bestrebung steht dabei auch im Einklang mit dem NIS2UmsuCG, innerhalb dessen sinngemäß ein Fokus auf den Aufbau einer nachhaltigen und resilienten Wirtschaft gelegt wird.
Neuerungen
Die Neuerungen der IAF/ISO (International Accreditation Forum – IAF) betreffen diverse ISO-Normen, darunter auch die weit verbreiteten Normreihen 9001 (Qualitätsmanagement), 27001 (Informationssicherheitsmanagement) und 14001 (Umweltmanagement). Diverse Normen enthalten entsprechend der vereinheitlichten Normstruktur ein Kapitel 4, in dem es um den Kontext der Organisation geht („Context of the organization“). Genau für diesen Bereich sieht das Amendment nun Ergänzungen vor. Das neue Kapitel 4 der DIN EN ISO/IEC 27001 (der deutschen Übersetzung der ISO) lautet nun beispielsweise so:
„4.1: Die Organisation muss externe und interne Themen bestimmen, die für ihren Zweck relevant sind und sich auf ihre Fähigkeit auswirken, die beabsichtigten Ergebnisse ihres Informationssicherheitsmanagementsystems zu erreichen. […]
Anmerkung: Die Organisation muss prüfen, ob der Klimawandel ein relevanter Aspekt ist.“ (Fettung nicht im Original)
„4.2: Die Organisation muss Folgendes bestimmen:
- a) die interessierten Parteien, die für ihr Informationssicherheitsmanagementsystem relevant sind;
- b) die relevanten Anforderungen dieser interessierten Parteien;
- c) welche dieser Anforderungen durch das Informationssicherheitsmanagementsystem behandelt werden.
ANMERKUNG Die Anforderungen interessierter Parteien können gesetzliche und regulatorische Vorgaben sowie vertragliche Verpflichtungen beinhalten.
Notiz: Relevante interessierte Parteien können Anforderungen im Zusammenhang mit dem Klimawandel haben.“ (Fettung nicht im Original).
Einfluss auf (bestehende) ISO-Zertifikate
In der Stellungnahme der IAF/ISO heißt es sinngemäß, es sei nicht der Zweck des Amendments Gesundheits- oder Sicherheitsaudits unverhältnismäßig in ein Klima-Audit zu verwandeln, gleichwohl sei das Thema Klimawandel wichtig und müsse in zukünftige Überlegungen von Managementsystemen Berücksichtigung finden.
Bestehende Zertifikate bleiben weiterhin bestehen. In zukünftigen Audits findet jedoch eine Prüfung der Ergänzungen für Kapitels 4 statt. Bei Nichtbeachtung kann eine Nichtkonformität entstehen.
Welchen Einfluss hat dies auf meine Organisation
Zertifizierte Organisationen und solche, die eine entsprechende Zertifizierung anstreben, werden sich zukünftig also mit der Frage auseinandersetzen müssen, ob und inwieweit sich der Klimawandel auf sie bzw. das Managementsystem auswirkt. Aspekte, die durch das Amendment innerhalb der ISO/IEC 27001 beeinflusst werden könnten, könnten beispielsweise folgende sein:
Marktanforderungen
In vielen Bereichen steigt die Nachfrage nach nachhaltigen, umweltfreundlichen und klimaneutralen Produkten und Dienstleistungen. Insbesondere gibt es zahlreiche Startups im nachhaltigen Segment, sogenannte Social Entrepreneurs. Dadurch verschieben sich das Geschäftsfeld und die Wettbewerbssituation auf dem jeweiligen Markt massiv hin zu nachhaltigen Produkten. Das führt zwangsläufig zu der Frage, inwieweit Kunden als Stakeholder Einfluss auf Managementsysteme ausüben und ob eine Anpassung des Leistungsumfangs erforderlich ist. Zum Beispiel können Marktteilnehmer, die großen Wert auf die Nachhaltigkeit ihrer Leistungen legen, einen Wettbewerbsvorteil erlangen und Unternehmen, denen dieser Aspekt weniger wichtig ist, zurückfallen.
Mitarbeiter
Denkbar ist auch, dass Organisationen ihre Angestellten auf die Auswirkungen des Klimawandels vorbereiten müssen. Mitarbeitende sollten hinsichtlich des Umweltbewusstseins geschult und sensibilisiert werden. Ergänzend dazu können für konkrete Unwetterereignisse Notfallpläne erarbeitet und mit den Mitarbeitenden getestet werden. Dabei könnte ebenfalls geprüft werden, inwiefern nachhaltigere Arbeitsweisen und Innovationen gefördert werden können. Auch kann aufgrund von Marktanforderungen (s.o.) ein angepasstes Produkt- und Dienstleistungsangebot für die Unternehmung relevant werden, woraus sich wiederum Anforderungen an Mitarbeitende stellen, die innerhalb der Kompetenzfeststellung (Personalsicherheit) geprüft werden müssen.
Dienstleistersteuerung
Unternehmen sollten ihre Dienstleisterstrategie insbesondere Ihre Lieferantenauswahl überdenken und vermehrt bei Managementsystemen im produzierenden Sektor mögliche Störungen und Risiken innerhalb der Lieferkette durch den Klimawandel berücksichtigen. Sinnvolle Maßnahmen könnten unter anderem die Diversifizierung von Lieferanten, die Implementierung von Resilienz-Maßnahmen in der Lieferkette und die Integration von Umweltkriterien für die Dienstleisterbewertung umfassen. Die Blockade im Suezkanal, die einen Großteil der Wirtschaft lähmte, verdeutlichte anschaulich die Gefahren, welche durch die einseitige Abhängigkeit von einzelnen Regionen als auch einzelnen Lieferanten ausgeht. Neben weiteren Störungen in der Lieferkette, sollte mindestens auch die Möglichkeit von Extremwetterereignissen berücksichtigt werden. Dürren, Starkregen und Stürme können Lieferanten zeitweise oder auch längerfristig ausfallen lassen, was wiederum zu Ressourcenknappheit und längeren Lieferzeiten führen kann. Der Ausfall von Dienstleistern stellt somit eine reale Gefährdung dar und sollte im Zuge der Dienstleisterbewertung und Risikoanalyse entsprechend berücksichtig werden.
Energiebedarf
Durch die Umstellung auf erneuerbare Energien und den Verzicht auf fossile Brennstoffe können sich zukünftig steigende Energiepreise für Energieträger wie Öl, Gas und Kohle auf die Rentabilität von Dienstleistungen auswirken. Folglich sollten die Umrüstungskosten auf neue Prozessmethoden und Technologien geprüft werden. Fairerweise handelt es sich bei diesen Investitionen nur um einen mittelbaren Aspekt des Klimawandels. Durch den massiven Ausbau erneuerbarer Energien kann es jedoch zu Netzüberlastungen und damit verbundenen Stromausfällen kommen, die bei der Betrachtung von Maßnahmen und insbesondere innerhalb der Risikoanalyse berücksichtigt werden sollten. Entsprechende Maßnahmen zur Reduktion dieses Risikos könnten unter anderem Pufferspeicher oder NEA-Systeme sein. Sofern die Stromversorgung für den Anwendungsbereich des Managementsystems notwendig ist, sollten die umgesetzten Maßnahmen auch durch Testfälle und Notfallpläne abgesichert werden.
Compliance Anforderungen
Unternehmen müssen sich auf verschärfte Umweltvorschriften und -standards vorbereiten, die als Reaktion auf den Klimawandel eingeführt werden. Bereits in der Einleitung wurde auf das NIS2UmsuCG hingewiesen. Die Berichterstattungen und Dokumentation werden folglich in den nächsten Jahren voraussichtlich intensiviert. Eine erweiterte Berichterstattung zu Umwelt und Nachhaltigkeit sowie Emissionskontrollen können die Folge sein.
Versicherungsaufwand
Der Klimawandel kann außerdem die Risikobewertung von Versicherern ändern und steigende Policen zur Folge haben. Zusätzlich kann eine angepasste Risikobewertung notwendig werden, da klimawandelbedingte Gefährdungen durch Versicherungen perspektivisch möglicherweise nicht versichert werden.
Investoren und Aktionär Anforderungen
Investitionsentscheidungen sind typischerweise maßgeblich davon abhängig, wie zukunftssicher Unternehmen aufgestellt sind. Dabei können bei der Bewertung durch Investoren auch die Entwicklung von nachhaltigen Investitionsstrategien und die Integration von Umweltkriterien in klimabezogene Projekte fallen.
Welche Normen sind betroffen?
Betroffen sind entsprechend der ursprünglichen Meldung die in diesem Dokument genannten ISO-Gruppen.
Fazit
Die Auswirkungen des Amendments betreffen nahezu alle zertifizierten Managementsysteme und es ist schwer vorstellbar, dass Organisationen und ganze Branchen von den Folgen des Klimawandels nicht beeinflusst werden. Die Organisationen müssen sich daher intensiver mit Fragen auseinandersetzen, wie der Klimawandel ihre Märkte, Lieferketten, Mitarbeitende und Energiebedarfe beeinflusst. Die Integration von Nachhaltigkeitskriterien in Geschäftsstrategien, die Anpassung von Richtlinien, Vorgaben durch die nationale und EU-weite Vorgaben und die Vorbereitung auf mögliche Versicherungs- und Compliance-Anforderungen sind nur einige der Herausforderungen, vor denen Organisationen stehen.
Für Organisationen bedeutet dies eine verstärkte Sensibilisierung für Umweltfragen und die Notwendigkeit, sich proaktiv auf die Auswirkungen des Klimawandels vorzubereiten. Es eröffnet aber auch Chancen, sich durch nachhaltige Praktiken und Produkte im Markt zu differenzieren und die Resilienz gegenüber klimabedingten Risiken zu stärken.
Fraglich ist derzeit noch, ob eine Betrachtung in Kapitel 4 der Normen endet. Bezogen auf das Thema Informationssicherheit, können diverse weitere Normaspekte einbezogen werden. Es ist durchaus denkbar das Thema innerhalb des Risikomanagements verstärkt anzugehen. Dabei kann der Fokus auf Gefährdungen mit Bezug zu klimabedingten Risiken hergestellt werden. Auch die Einstufung von Lieferanten sollte in Anbetracht der Reichweite möglicher Risiken durchdacht werden, wobei auch die Aspekte der Geschäftsfortführung im Notfall (Business Continuity Management) in diesem Zusammenhang adressiert werden können. Außerdem könnte die Einführung passender Key Performance Indikatotren (KPI), die Messbarkeit von klimabedingten Einflüssen sowie die Wirksamkeit der umgesetzten Maßnahmen unterstützen.
Insgesamt bringt das Amendment Organisationen dazu, den Klimawandel als integrales Element ihres Managementsystems zu betrachten und entsprechende Maßnahmen zu ergreifen, um langfristige Nachhaltigkeit und Wettbewerbsfähigkeit sicherzustellen.