Knowledge Hub

ISO 27001 Klausel 10.2:Nichtkonformität und korrekturmaßnahmen

Klausel 10.2 der ISO 27001 macht aus Fehlern Verbesserung. Dieser Leitfaden erklärt, was eine Nichtkonformität ist, wie Sie Feststellungen einordnen, Korrektur und Korrekturmaßnahme unterscheiden und CAPA-Einträge mit auditfesten Nachweisen abschließen.

4 Min. Lesezeit
ArticleGlobalGovernance & ComplianceISO 27001

Beim Aufbau und Betrieb eines ISMS treten zwangsläufig Probleme auf. Klausel 10.2 entscheidet darüber, ob Ihre Organisation daraus lernt – oder dieselben Fehler wiederholt.

Ein praxisnaher Leitfaden zur ISO 27001 Klausel 10.2: Was Nichtkonformitäten sind, wie Sie Feststellungen einordnen, Korrekturmaßnahmen formulieren und sie mit Nachweisen abschließen, die ein Auditor akzeptiert.

Was ist ISO 27001 Klausel 10.2?

Klausel 10.2 verlangt, dass Organisationen strukturiert und dokumentiert auf Nichtkonformitäten reagieren: erkennen, was schiefgelaufen ist, verstehen, warum, das Problem beheben und nachweisen, dass es nicht erneut auftritt. Sie steht innerhalb von Klausel 10 (Verbesserung) – ihr Zweck ist also nicht bloß die Reparatur, sondern der Mechanismus, über den Ihr ISMS mit der Zeit besser wird.

Ein leeres Protokoll ist kein Beleg dafür, dass alles rundläuft – es heißt nur, dass nichts erfasst wird. Auditoren wissen das, und es gehört zu den ersten Dingen, die sie prüfen.

Was eine Nichtkonformität wirklich ist

Eine Nichtkonformität liegt vor, wenn eine Anforderung nicht erfüllt wird. Diese Anforderung kann aus zwei Quellen stammen:

  • aus der Norm selbst – eine Klausel der ISO 27001, die Ihr ISMS nicht erfüllt;
  • aus Ihren eigenen dokumentierten Verfahren – ein Prozess, den Sie selbst festgelegt, aber nicht eingehalten haben.

Beides zählt. Schreibt Ihr Verfahren zur Zugriffsüberprüfung vierteljährliche Reviews vor und finden diese erst acht Monate später statt, ist das eine Nichtkonformität – selbst wenn die Norm gar keine Frequenz vorgibt. Sie haben die Messlatte selbst gelegt und sie gerissen.

Ausgelöst wird der CAPA-Prozess (Corrective and Preventive Action) durch Korrekturmaßnahmen, die sich aus Nichtkonformitäten, Beobachtungen und Verbesserungsmöglichkeiten ergeben. Aufgedeckt werden diese durch:

  • interne oder externe Audits,
  • die Messung von KPIs,
  • die Managementbewertung,
  • sonstige Überwachungs- und Überprüfungsaktivitäten.

Schweregrade

  • Major (schwerwiegend) – ein erhebliches Versagen oder das vollständige Fehlen einer Anforderung. Das ISMS gilt in diesem Bereich nicht als wirksam und muss in der Regel innerhalb von drei Monaten behoben werden. Bleibt der Mangel offen, steht die Zertifizierung auf dem Spiel.
  • Minor (geringfügig) – ein Einzelfall oder eine teilweise Lücke. Der Prozess existiert, ist aber abgerutscht oder weist eine kleine Schwäche auf. Frist üblicherweise zwölf Monate, wobei der Auditor den Korrekturmaßnahmenplan genehmigen muss.
  • Beobachtung (Observation) – kein Versagen, sondern eine Schwäche oder ein Risiko, das unbeachtet zu einer Nichtkonformität werden könnte. Kein sofortiges Handeln nötig, aber im Blick zu behalten und zu protokollieren.
  • Verbesserungsmöglichkeit (Opportunity for Improvement, OFI) – ein Vorschlag zur Verbesserung, auch wenn die aktuelle Praxis die Anforderung bereits erfüllt. Keine Korrekturmaßnahme nötig; fließt in die fortlaufende Verbesserung ein.
  • Konformität – die Anforderung ist erfüllt und durch Nachweise belegt.

Korrektur vs. Korrekturmaßnahme

Das ist der am häufigsten verwechselte Punkt in Klausel 10.2 – und dieser Irrtum ist einer der Hauptgründe, warum Auditoren CAPA-Einträge zurückweisen.

Eine Korrektur ohne Korrekturmaßnahme signalisiert dem Auditor, dass Sie das Symptom behandelt, die Ursache aber unangetastet gelassen haben. Beim nächsten Audit greift er es erneut auf – weil dasselbe Problem wiederkehren wird.

Ursachenanalyse (Root Cause Analysis)

Bevor Sie eine Korrekturmaßnahme formulieren, müssen Sie wissen, *warum* die Nichtkonformität entstanden ist – nicht der naheliegende Grund, sondern die eigentliche Ursache.

Das einfachste Werkzeug ist die 5-Warum-Methode (5 Whys): Fragen Sie so lange „Warum?", bis Sie auf etwas stoßen, an dem sich tatsächlich ansetzen lässt.

Beispiel

Feststellung: Vor dem Onboarding von drei neuen Lieferanten wurden keine Sicherheitsbewertungen durchgeführt.

  • Warum? → Das Beschaffungsteam hat sie nicht durchgeführt.
  • Warum? → Es wusste nicht, dass das vor dem Onboarding erforderlich ist.
  • Warum? → Die Lieferantenbewertung war nicht Teil des Beschaffungs-Onboardings.

Ursache: eine Lücke in der Prozessverantwortung – die Beschaffung war nie in die Kommunikation der ISMS-Verfahren eingebunden.

Mit dieser Ursache haben Sie etwas Konkretes in der Hand. „Die Beschaffung daran erinnern, Bewertungen durchzuführen" ist eine Korrektur. „Die Lieferantenbewertung fest ins Beschaffungs-Onboarding aufnehmen und einer benannten Person zuweisen" ist eine Korrekturmaßnahme.

Was die Norm verlangt

Tritt eine Nichtkonformität auf, sieht der Ablauf so aus:

  1. Reagieren – sie eindämmen und korrigieren, unmittelbare Folgen bewältigen.
  2. Untersuchen – die Ursache ermitteln und prüfen, ob ähnliche Fälle bestehen oder anderswo auftreten könnten.
  3. Handeln – die erforderliche Korrekturmaßnahme umsetzen.
  4. Überprüfen – bestätigen, dass die Korrekturmaßnahme gewirkt hat.
  5. Aktualisieren – das ISMS bei Bedarf anpassen und die Erkenntnisse in die Managementbewertung einfließen lassen.

Die Korrekturmaßnahme muss zur Nichtkonformität passen. Ein kleiner Verfahrensausrutscher verlangt keine Generalüberholung des ISMS – ein systemisches Versagen einer Control unter Umständen schon.

Was Sie dokumentieren müssen

Zwei Aufzeichnungen sind ausdrücklich vorgeschrieben:

  • die Art der Nichtkonformität und alle ergriffenen Maßnahmen;
  • die Ergebnisse der Korrekturmaßnahme – der Nachweis, dass sie gewirkt hat.

In der Praxis heißt das: ein Protokoll für Nichtkonformitäten und Korrekturmaßnahmen – ein zentrales Register, das jede Feststellung von der Entdeckung bis zum belegten Abschluss verfolgt. Ein Auditor wird hineinschauen wollen. Ist es leer, dünn besetzt oder voller Einträge, die ohne Nachweis als erledigt gelten, sind Feststellungen programmiert.

Was ein vollständiger CAPA-Eintrag enthält:

  • Beschreibung der Nichtkonformität und ihren Schweregrad,
  • die Ursache (das Ergebnis der Ursachenanalyse – nicht das Symptom),
  • die ergriffene Korrektur samt Abschlussdatum,
  • die Korrekturmaßnahme mit benannter Verantwortlicher und Fälligkeitsdatum,
  • den Status: offen / in Bearbeitung / abgeschlossen,
  • den Abschlussnachweis – das, was belegt, dass die Maßnahme erledigt und wirksam ist.

Worauf Auditoren wirklich achten

Drei Punkte kommen in Audits immer wieder zur Sprache.

Zu oberflächliche Ursache

„Menschliches Versagen" ist keine Ursache, sondern ein Symptom. Fragen Sie weiter: Welche Lücke in Prozess, Schulung, Verantwortung oder System hat dieses menschliche Versagen überhaupt möglich gemacht?

Fehlender Abschlussnachweis

Einen CAPA-Eintrag ohne Nachweis als abgeschlossen zu markieren, ist so gut wie gar nicht abgeschlossen. Nachweis heißt etwas Überprüfbares: ein aktualisiertes Verfahren, ein Schulungsbeleg, ein Screenshot eines abgeschlossenen Reviews, ein erneuter Testdurchlauf.

Liegengebliebene Einträge

Korrekturmaßnahmen, die ohne jede Bewegung offen bleiben, zeigen, dass das ISMS nicht aktiv gesteuert wird. Jeder offene Eintrag sollte eine aktuelle verantwortliche Person und ein realistisches Fälligkeitsdatum haben.

Wie Klausel 10.2 auf das ISMS zurückwirkt

Nichtkonformitäten stehen nicht für sich. Sie sind ein verpflichtender Input für die Managementbewertung nach Klausel 9.3 – die Leitung muss über offene Feststellungen, erkennbare Muster und die Wirksamkeit der Korrekturmaßnahmen Bescheid wissen. Und sie wirken auf die Risikobeurteilung nach Klausel 6 zurück: Eine wiederkehrende Nichtkonformität kann auf ein unterschätztes Risiko oder eine Control hindeuten, die nicht wie vorgesehen greift.

Ein gut geführter CAPA-Prozess schließt nicht nur Feststellungen ab – er macht das ISMS besser. Und genau darum geht es in Klausel 10.

Wie es weitergeht

Klausel 10.2 hängt unmittelbar mit Klausel 9 zusammen (internes Audit und Managementbewertung – wo die meisten Nichtkonformitäten überhaupt erst sichtbar werden) und mit Klausel 10.1 (fortlaufende Verbesserung – wo Muster von Feststellungen Veränderungen auf ISMS-Ebene anstoßen).

Den Gesamtüberblick, was jede Klausel von Ihnen verlangt – aufbauen, dokumentieren, nachweisen –, finden Sie in unserem vollständigen Leitfaden „ISO 27001 Klauseln 4–10: Die ersten Schritte beim Aufbau Ihres ISMS".

ISO 27001 · Klausel 10.2

Beheben Ihre Korrekturmaßnahmen Ursachen oder nur Symptome?

Ein leeres Nichtkonformitäts-Log bedeutet nicht, dass Ihr ISMS funktioniert — es bedeutet, dass nichts erfasst wird.

  • Von aktiven Auditoren
  • 50+ zertifizierte Kunden
  • Auditerprobter CAPA-Prozess
Kostenloses Erstgespräch buchen