Compliance-Angebote von SAP
Verordnung über die digitale operationale Resilienz im Finanzsektor (DORA)
SAP wurde von den Europäischen Aufsichtsbehörden (European Supervisory Authorities, ESA) offiziell als kritischer IKT-Drittanbieter (Critical ICT Third-Party Service Provider, CTPP) ausgewiesen. SAP befasst sich weltweit mit den Auswirkungen für Kunden, Partner und Lieferanten.
SOC- und C5-Leistungskalender für das Geschäftsjahr 2025–2026
SAP verpflichtet sich zu einer zeitnahen und transparenten Berichterstattung. SOC-1-Berichte sollen innerhalb von 90 Tagen nach dem entsprechenden Leistungszeitraum veröffentlicht werden. SOC-2-Berichte folgen einem zwölfmonatigen Prüfungszyklus. Die nächste Veröffentlichung ist für das erste Halbjahr 2026 geplant. Bei Fragen steht Ihnen Ihr Account Executive oder Customer Success Partner gern zur Verfügung.
ISO/IEC 42001 für KI-Managementsysteme
Nach der Implementierung eines strukturierten, unabhängig geprüften KI-Managementsystems in unserem Unternehmen hat SAP die Zertifizierung für ISO/IEC 42001, den ersten globalen Standard für KI-Managementsysteme, erhalten.
Wie unsere Compliance-Angebote die geschäftlichen Erfordernisse unserer Kunden unterstützen
SAP hat sich verpflichtet, der Compliance Priorität einzuräumen – durch präzise Standards und Praktiken, die die Integrität von Daten, die Einhaltung von Vorschriften und ethisches Verhalten in den Geschäftsbereichen unserer Kunden gewährleisten.
Compliance-Dokumente auf Abruf
Das Kundenportal SAP for Me ist zentraler Zugangspunkt und Anlaufstelle für SAP-Bestandskunden, um in Frage kommende Compliance-Dokumente auf Abruf herunterzuladen. Die Funktion ist im Bereich „Portfolio und Produkte“ von SAP for Me verfügbar.
SAP-Central-Cloud-Services-Berichte
SAP wird neue SOC-1-, SOC-2- und C5-Berichte unter dem Namen „SAP Central Cloud Services“ veröffentlichen. Diese ersetzen die bisherigen SOC-1-Berichte „SAP Business Technology Platform“, „SAP Cloud Infrastructure“, „SAP Cell and Gene Therapy Orchestration“ und „SAP Intelligent Clinical Supply Management“.
Controlled Goods Program (CGP)
Die Registrierung von SAP Canada Inc. beim kanadischen Programm für kontrollierte Güter (Controlled Goods Program) unterstreicht unser Engagement für die nationale Sicherheit und die Einhaltung kanadischer Vorschriften. Durch die Erfüllung strenger Anforderungen für den Umgang mit sensiblen Gütern und technischen Daten unterstützt SAP seine Kunden dabei, Projekte mit kontrollierten Gütern in einer sicheren und vertrauenswürdigen Umgebung zuverlässig zu verwalten.
Globale Compliance-Angebote von SAP
Die Sicherheit von SAP basiert auf globalen Branchenstandards und Compliance-Anforderungen, um aktuelle und zukünftige Anforderungen zu erfüllen. Hier erhalten Sie Informationen zu aktuellen Zertifizierungen, Berichten und Bescheinigungen.
ISO/IEC 42001 KI-Managementsystem
ISO 42001 definiert Prüfanforderungen für eine verantwortungsvolle KI-Nutzung in Bezug auf Richtlinien, Risikomanagement, Implementierung, Überwachung und kontinuierliche Verbesserung. Zudem unterstützt der Standard Transparenz, menschliche Aufsicht, Sicherheit und Datenschutz und hilft Kunden bei der Einhaltung gesetzlicher Vorschriften.
ISO 9001 Qualitätsmanagementsystem
ISO 9001 basiert auf den Grundsätzen des Qualitätsmanagements (z. B. starke Kundenorientierung) unter der Einbeziehung des SAP-Topmanagements.
ISO/IEC 27001 Management der Informationssicherheit
ISO/IEC 27001 definiert international anerkannte Anforderungen an das Informationssicherheitsmanagementsystem eines Unternehmens und bietet einen Rahmen für die Einführung und Anwendung eines solchen Systems, das in der digitalen Wirtschaft immens an Bedeutung gewonnen hat.
BS 10012 – Informationsmanagement personenbezogener Daten
BS 10012 deckt Themen der Datenaufbewahrung und ‑vernichtung, Mitarbeiterschulungen zur Schärfung des Sicherheitsbewusstseins und Risikobewertungen ab
ISO/IEC 27018 Schutz personenbezogener Daten
Als Leitfaden für Anbieter von Cloud-Services zum Schutz personenbezogener Daten unterstützt ISO/IEC 27018 den Standard ISO 27001 durch die Empfehlung von Kontrollen der Informationssicherheit zum Schutz personenbezogener Daten in Public Clouds.
ISO/IEC 27017 Datensicherheit bei Cloud-Services
ISO/IEC 27001 umfasst Informationssicherheitskontrollen bei Cloud-Services und unterstützt ISO 27001 mit Anleitungen zu cloudspezifischen Informationssicherheitskontrollen.
Nachhaltigkeit ISO 14001 und ISO 50001
Ein Multisite-Zertifikat bestätigt, dass das Umweltmanagementsystem der SAP der internationalen Norm ISO 14001:2015 entspricht. Der Anhang zu diesem Zertifikat enthält alle zertifizierten Standorte, die unter das Umweltmanagementsystem der SAP fallen. An einigen Standorten verfügen wir über eine Zertifizierung nach ISO 50001:2018, die sicherstellt, dass wir die Energiemanagementstandards einhalten.
ISO 22301 System für Geschäftskontinuität
Schützt den Geschäftsbetrieb vor gravierenden Unterbrechungen, wie bei extremen Wetterbedingungen, Bränden, Naturkatastrophen, Diebstahl, IT-Ausfällen und mehr
SOC-1-Berichte
Wirtschaftsprüfer, die die Finanzabschlüsse eines SAP-Kunden bearbeiten, erhalten Informationen von SAP über die Kontrollmechanismen für die Cloud-Lösungen, die für eine interne Kontrolle der Finanzberichterstattung des Kunden relevant sein könnten. SOC-1-Berichte orientieren sich an den Standards SSAE 18 und ISAE 3402 für Prüfungsaufträge und umfassen eine detaillierte Beschreibung des Designs (Typ I/Typ II) und der Effektivität (Typ II) der überprüften Kontrollmechanismen.
SOC-2-Berichte
Diese Berichte bieten den Kunden relevante Einblicke in die Sicherheit, Verfügbarkeit, Verarbeitungsintegrität, Vertraulichkeit und den Schutz der Daten von Kontrollsystemen. SOC-2-Berichte orientieren sich an den Prüfungsstandards ISAE 3000 und AT 101 und basieren auf den Trust Service Principles des AICPA. Die Berichte umfassen eine detaillierte Beschreibung des Designs (Typ I/Typ II) und der Effektivität (Typ II) der überprüften Kontrollmechanismen.
Bridge Letters
Bridge Letters informieren Auftraggeber über signifikante Änderungen an ihren Kontrollumgebungen seit dem Enddatum des letzten SOC-Berichts und dem Ausstellungsdatum des Bridge Letter.
Payment Card Industry Data Security Standard (PCI-DSS)
Dieser weltweite Standard für Datensicherheit (Payment Card Industry Data Security Standard, PCI DSS) wird von Zahlungskartenunternehmen für alle Einheiten umgesetzt, die Daten der Karteninhaber verarbeiten, speichern oder übermitteln. Er umfasst Schritte, die bewährte Sicherheitspraktiken in allen Branchen widerspiegeln.
Qualitätsrichtlinien für gute Praktiken (GxP)
GxP ist eine Sammlung von Richtlinien und ‑vorschriften, die gewährleisten sollen, dass biopharmazeutische Produkte sicher sind, ihrem Verwendungszweck entsprechen und die Qualitätsprozesse während Herstellung, Kontrolle, Lagerung und Vertrieb eingehalten werden.
Trusted Information Security Assessment Exchange (TISAX)
TISAX ermöglicht die gegenseitige Anerkennung von Bewertungen zur Informationssicherheit in der Automobilindustrie und bietet ein gemeinsames Bewertungs- und Austauschprotokoll.
Die folgenden genannten Standorte der SAP SE wurden auf TISAX-AL3-Level (High Protection Needs) evaluiert. Bei den geprüften Kontrollbereichen wurden keine Konformitätsverstöße festgestellt: St. Leon-Rot (Deutschland), Walldorf (Deutschland), Bengaluru (Indien), San Pedro Garza Garcia (Mexiko), Bukarest (Rumänien), Chicago (USA), Colorado Springs (USA), Newton Square (USA) und Palo Alto (USA).
TISAX-Bewertungen anhand folgender Suchbegriffe suchen:
Scope-ID: S0R94X
Assessment-IDs: AMFL1Y-1, AMFL1Y-2
Barrierefreiheit
SAP stellt auf Anfrage Informationen zur Konformität unserer Produkte mit den Standards Section 508 (USA), WCAG 2.2 und EN 301 549 auf Basis des Voluntary Product Accessibility Template bereit.
Cloud Security Alliance (CSA)
Die Cloud Security Alliance ist eine gemeinnützige Organisation, die bewährte Sicherheitspraktiken für Cloud Computing entwickelt und fördert sowie Orientierungshilfen für SAP-Implementierungen bietet.
Ethik und Compliance
SAP ist den höchsten Standards ethischer Geschäftspraktiken verpflichtet. Wir sind bestrebt, auf allen globalen Märkten, auf denen wir tätig sind, integer zu handeln und sowohl den Geist als auch die Vorgaben des Gesetzes zu befolgen.
IDW PS 880
Testate für SAP-Software durch das Institut der Wirtschaftsprüfer (IDW).
Regionale Compliance-Angebote von SAP
KANADA
Cloud-Compliance in Kanada
Die SAP-Cloud-Services wurden von der kanadischen Regierung nach dem Sicherheitskontrollprofil „Protected B/Medium Integrity/Medium Availability“ (PBMM) bewertet. SAP Sovereign Cloud für Kanada wurde ebenfalls bewertet: anhand des Overlays „Protected B High Value Asset“ (PBHVA). Darüber hinaus ist SAP Canada Inc. gemäß den kanadischen Vorschriften im Rahmen des Programms für kontrollierte Güter (Controlled Goods Program, CGP) registriert. Kunden können unsere Registrierung im öffentlichen CGP-Register einsehen und Kopien unseres Zertifikats sowie der zusammenfassenden Berichte zur Cloud-Bewertung des Canadian Centre for Cyber Security (CCCS) anfordern.
Federal Risk and Authorization Management Program (FedRAMP)
Für staatliche Stellen steht Sicherheit im Mittelpunkt eines jeden IT-Projekts. Das Federal Risk and Authorization Management Program (FedRAMP) bietet einen standardisierten Ansatz für die Sicherheitsbewertung, Autorisierung und kontinuierliche Überwachung von Cloud-Produkten und -Services.
EU
Cloud Computing Compliance Controls Catalogue (C5)
C5 hat sich aufgrund seiner Objektivität, seines Umfangs, seiner Kompaktheit und Testfähigkeit als Nachweis einer stabilen Grundlage für interne Audits und für das Management der Informationssicherheit in regulierten Branchen bewährt.
EU
Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union (NIS-2)
Die neueste EU-Richtlinie NIS-2 dient dem Zweck, die Cybersicherheits-Rahmenbedingungen für Anbieter kritischer Infrastruktur anzugleichen und zu verbessern. SAP ist nicht nur selbst als Anbieter kritischer Infrastruktur registriert, sondern kommt bei Betreibern kritischer Infrastrukturen in vielen Ländern zu Unterstützung der Einhaltung der jeweiligen Vorschriften für Cybersicherheit zum Einsatz. SAP ist ein in Deutschland registrierter Anbieter kritischer Infrastruktur (KRITIS) und unterliegt deutschem Recht. Wir verfolgen die weitere Umsetzung des NIS-2-Gesetzentwurfs in Deutschland und werden die Informationen entsprechend aktualisieren.
EU
Verordnung über die digitale operationale Resilienz im Finanzsektor (DORA)
SAP wurde am 17. November 2025 von den Europäischen Aufsichtsbehörden (European Supervisory Authorities, ESA) offiziell als kritischer IKT-Drittanbieter (Critical ICT Third-Party Service Provider, CTPP) ausgewiesen. Diese Ernennung würdigt die wichtige Rolle von SAP zur Unterstützung der digitalen Infrastruktur des Finanzsektors. Als CTPP unterliegt SAP der direkten Aufsicht durch die ESA, wodurch eine bessere operative Resilienz und ein besseres Risikomanagement gewährleistet werden. Für unsere Kunden aus dem Finanzdienstleistungssektor verbessert diese Ernennung die Transparenz und stärkt das Vertrauen. Zudem zeigt sie, dass SAP bei der Bereitstellung von IKT-Dienstleistungen für die Finanzbranche die höchsten Standards in Bezug auf Sicherheit und Kontinuität erfüllt.
EU
EU Cloud Code of Conduct
Der vom Europäischen Datenschutzausschuss verabschiedete und von der belgischen Datenschutzbehörde genehmigte EU Cloud Code of Conduct ermöglicht es Cloud-Dienstleistern, die Einhaltung von Artikel 28 der DSGVO und der damit verbundenen Artikel nachzuweisen.
EU
Die EU-Datenverordnung
Die EU-Datenverordnung (anwendbar seit dem 12. September 2025) soll die Zugänglichkeit und Nutzung von Daten innerhalb der EU erleichtern und damit die Datenwirtschaft und einen wettbewerbsfähigen Datenmarkt in der EU fördern. Ziel ist es, datengestützte Innovationen voranzutreiben und die Datenverfügbarkeit zu verbessern. Die in den 27 Mitgliedstaaten der Europäischen Union geltende Verordnung gibt Cloud-Kunden von Datenverarbeitungsdiensten das Recht, innerhalb einer festgelegten Kündigungsfrist den Anbieter zu wechseln.
EU
Das EU-Gesetz zur künstlichen Intelligenz
Das EU-Gesetz zur künstlichen Intelligenz ist ein umfassendes neues Gesetz, mit dem potenziellen Risiken für Gesundheit, Sicherheit und Grundrechte durch die Entwicklung und den Einsatz von Technologien der künstlichen Intelligenz begegnet werden soll.
DEUTSCHLAND
IT-Grundschutz
IT-Grundschutz ist ein vom BSI (Bundesamt für Sicherheit in der Informationstechnik) entwickeltes Rahmenwerk zur systematischen Gewährleistung der Informationssicherheit, das technische, organisatorische, infrastrukturelle und personelle Aspekte gleichermaßen berücksichtigt. Unser Informationssicherheitsnetzwerk deckt den sicheren Betrieb der Gebäudeinfrastruktur von SAP-eigenen Rechenzentren (in St. Leon-Rot und Walldorf) ab. Diese dienen als Grundlage für die Implementierung und Wartung redundanter Service- und IT-Infrastrukturen in Deutschland.
FRANKREICH
HDS (Hébergement de Données de Santé)
HDS (deutsch: Speicherung von Patientendaten) ist eine Zertifizierung für Dienstanbieter, die personenbezogene Gesundheitsdaten französischer Staatsangehöriger hosten. HDS wurde im Rahmen des französischen Gesetzes zur Modernisierung des Gesundheitswesens (Gesetz Nr. 2016-41) etabliert. Die SAP-Systeme zur Gewährleistung der Informationssicherheit sowie ausgewählte Cloud-Regionen und SAP-Standorte verfügen über Zertifikate für HDS 817871 und HDS 754140.
SPANIEN
Nationaler Sicherheitsrahmen für Spanien (ENS)
Der nationale Sicherheitsrahmen (National Security Framework, ENS) besteht aus den Grundprinzipien und Mindestanforderungen, die für einen angemessenen Schutz der verarbeiteten Informationen und der von einer Organisation erbrachten Dienste erforderlich sind. Die ENS-Compliance trägt dazu bei, den Zugang, die Vertraulichkeit, die Integrität, die Rückverfolgbarkeit, die Authentizität, die Verfügbarkeit und die Aufbewahrung von Daten und Diensten, die mit elektronischen Mitteln verarbeitet werden, sicherzustellen.
Großbritannien
UK-Zertifizierung nach Cyber Essentials
Cyber Essentials ist ein von der britischen Regierung unterstütztes Zertifizierungsprogramm für Cybersicherheit, das Unternehmen dabei unterstützt, sich vor gängigen Cyberbedrohungen zu schützen. Cyber Essentials ist in den folgenden Zertifizierungsstufen verfügbar:
- Cyber Essentials (Stufe 1): eine Selbstbewertung, bei der Unternehmen einen Fragebogen ausfüllen, der anschließend von einer unabhängigen Zertifizierungsstelle geprüft wird
- Cyber Essentials Plus (Stufe 2): eine technische Prüfung der IT-Systeme durch eine unabhängige Zertifizierungsstelle
AUSTRALIEN
Cloud Security Assessment (IRAP-CSA)
Das australische Cloud Security Assessment and Authorisation Framework definiert ein Instrument, mit dem das Cybersicherheitsteam, die Cloud-Architekten und die Unternehmensvertreter einer Organisation eine Risikobewertung durchführen und SAP-Cloud-Services sicher nutzen können.
CHINA
Cybersecurity Classified Protection Scheme (CCPS)
Jede Organisation, die Systeme oder Netzwerke auf dem chinesischen Festland besitzt oder betreibt, ist gesetzlich dazu verpflichtet, die Sicherheitsanforderungen von CCPS einzuhalten. Das CCPS ist eine in China geltende Sicherheitszertifizierung, die nach Artikel 21 des China Cybersecurity Law (CCSL) vorgeschrieben ist Es handelt sich um ein landesweit geltendes Sicherheitsprogramm, das einen standardisierten Ansatz für die sicherheitsbezogene Konzeption, Bewertung, Prüfung, Zertifizierung, Re-Zertifizierung und kontinuierliche Überwachung von Systemen und Netzwerken liefert, die in Festlandchina gehostet werden.
JAPAN
Information System Security Management and Assessment Program (ISMAP)
ISMAP ist das japanische Programm zur Verwaltung und Bewertung der Sicherheit von Informationssystemen. Es ermöglicht Behörden die Bewertung und Registrierung von Cloud-Services, die den Sicherheitsanforderungen der Regierung entsprechen. Dieses Programm basiert auf dem „Basic Framework for the Security Evaluation System for Cloud Services in Government Information Systems“.
SÜDKOREA
South Korea Financial Security Institute
Ausgewählte SAP-Lösungen haben das südkoreanische Sicherheitsbewertungsprogramm für Cloud-Service-Provider 2024 („2024 South Korea Cloud Service Providers Safety Assessment Program“) erfolgreich absolviert. Für den Finanzsektor in Südkorea gelten zahlreiche Standards und Vorschriften in Bezug auf Cybersicherheit. Finanzinstitute in Südkorea, die diese Bewertung erfolgreich abgeschlossen haben, können konforme SAP-Lösungen unter Beachtung der für Finanzunternehmen geltenden Sicherheitsmaßnahmen zur Verarbeitung und Speicherung von Daten einsetzen.
Compliance-Ressourcen
Ethik und Compliance bei SAP
Indem wir unsere Geschäfte im Einklang mit unserem globalen Ethik- und Verhaltenskodex auf korrekte Art und Weise führen, beeinflusst SAP die soziale und wirtschaftliche Entwicklung positiv und fördert weltweit Bildung, Gerechtigkeit, Demokratie, Wohlstand, Entwicklung und Gesundheit.