Compliance-Angebote von SAP
Wie unsere Compliance-Angebote die geschäftlichen Erfordernisse unserer Kunden unterstützen
SAP hat sich verpflichtet, der Compliance Priorität einzuräumen – durch präzise Standards und Praktiken, die die Integrität von Daten, die Einhaltung von Vorschriften und ethisches Verhalten in allen Geschäftsbereichen unserer Kunden gewährleisten. Erfahren Sie, wie Sie Einblicke in diese kritischen Bereiche gewinnen können.
Compliance-Dokumente auf Abruf
Das Kundenportal SAP for Me ist zentraler Zugangspunkt und Anlaufstelle für SAP-Bestandskunden, um in Frage kommende Compliance-Dokumente auf Abruf herunterzuladen. Die Funktion ist im Bereich „Portfolio und Produkte“ von SAP for Me verfügbar.
SAP-Central-Cloud-Services-Berichte
SAP wird neue SOC-1-, SOC-2- und C5-Berichte unter dem Namen „SAP Central Cloud Services“ veröffentlichen. Sie ersetzen die bisherigen Berichte „SAP Business Technology Platform“, „SAP Cloud Infrastructure“, „SAP Cell and Gene Therapy Orchestration“ und „SAP Intelligent Clinical Supply Management“ (nur SOC 1).
ISO/IEC 42001 für KI-Managementsysteme
Nach der Implementierung eines strukturierten, unabhängig geprüften KI-Managementsystems in unserem Unternehmen hat SAP die Zertifizierung für ISO/IEC 42001, den ersten globalen Standard für KI-Managementsysteme, erhalten.
Updates zu DORA
Die EU-Verordnung über die digitale operationale Resilienz im Finanzsektor (DORA) ist seit Januar 2025 anwendbar. SAP setzt sich mit ihren Auswirkungen auf unsere Kunden, Partner und Anbieter weltweit auseinander. Prüfen Sie die Informationen, die für die Compliance-Initiativen Ihres Unternehmens nützlich sind.
SAP-Angebote zur Compliance – Zertifikate, Berichte und Testate
Stets am Puls der Zeit halten wir bei SAP Schritt mit immer komplexeren Sicherheitsherausforderungen. Wir schaffen ein Sicherheitsfundament, das auf Branchenstandards, Compliance und gesetzlichen Anforderungen basiert. Werfen Sie einen Blick auf unsere neuesten Angebote und Berichte zur Sicherheits-Compliance.
ISO/IEC 42001 KI-Managementsystem
Definiert geprüfte Anforderungen für eine verantwortungsvolle KI-Nutzung in Bezug auf Richtlinien, Risikomanagement, Implementierung, Überwachung und kontinuierliche Verbesserung. Unterstützt Transparenz, menschliche Aufsicht, Sicherheit und Datenschutz und hilft Kunden bei der Einhaltung gesetzlicher Vorschriften.
ISO 9001 Qualitätsmanagementsystem
Basierend auf den Grundsätzen des Qualitätsmanagements, einschließlich einer starken Kundenorientierung und der Einbeziehung des SAP-Topmanagements mit dem Ziel einer kontinuierlichen Verbesserung
ISO/IEC 27001 Management der Informationssicherheit
Definiert international anerkannte Anforderungen an das Informationssicherheitsmanagementsystem eines Unternehmens und bietet einen Rahmen für die Einführung und Anwendung eines solchen Systems, das in der digitalen Wirtschaft immens an Bedeutung gewonnen hat.
ISO 22301 System für Geschäftskontinuität
Schützt den Geschäftsbetrieb vor gravierenden Unterbrechungen, wie bei extremen Wetterbedingungen, Bränden, Naturkatastrophen, Diebstahl, IT-Ausfällen und mehr
BS 10012 – Informationsmanagement personenbezogener Daten
Deckt Themen der Datenaufbewahrung und ‑vernichtung, Mitarbeiterschulungen zur Schärfung des Sicherheitsbewusstseins und Risikobewertungen ab
ISO/IEC 27018 Schutz personenbezogener Daten
Leitfaden für Anbieter von Cloud-Services zum Schutz personenbezogener Daten, unterstützt ISO/IEC 27001 durch die Empfehlung von Kontrollen der Informationssicherheit zum Schutz personenbezogener Daten in Public Clouds
ISO/IEC 27017 Datensicherheit bei Cloud-Services
Leitfaden für Informationssicherheitskontrollen bei Cloud-Services, unterstützt ISO/IEC 27001 mit Anleitungen zu cloudspezifischen Informationssicherheitskontrollen
Nachhaltigkeit ISO 14001 und ISO 50001
Ein Multisite-Zertifikat bestätigt, dass das Umweltmanagementsystem der SAP der internationalen Norm ISO 14001:2015 entspricht. Der Anhang zu diesem Zertifikat enthält alle zertifizierten Standorte, die unter das Umweltmanagementsystem der SAP fallen. An einigen Standorten verfügen wir über eine Zertifizierung nach ISO 50001:2018, die sicherstellt, dass wir die Energiemanagementstandards einhalten.
SOC-1-Berichte
Wirtschaftsprüfer, die die Finanzabschlüsse eines SAP-Kunden bearbeiten, erhalten Informationen über die Kontrollmechanismen für unsere Cloud-Lösungen, die für eine interne Kontrolle der Finanzberichterstattung des Kunden relevant sein könnten. Der SOC-1-Bericht orientiert sich an den Standards SSAE 18 und ISAE 3402 für Prüfungsaufträge und umfasst eine detaillierte Beschreibung des Designs (Typ I/Typ II) und der Effektivität (Typ II) der überprüften Kontrollmechanismen.
SOC-2-Berichte
Diese Berichte können den Kunden und potenziellen Kunden Einblicke in die Kontrollsysteme bieten, mit denen Sicherheit, Verfügbarkeit, Verarbeitungsintegrität, Vertraulichkeit und Schutz der Daten sichergestellt werden. Der SOC-2-Bericht orientiert sich an den Prüfungsstandards ISAE 3000 und AT 101, basiert auf den Trust Service Principles des AICPA und umfasst eine detaillierte Beschreibung des Designs (Typ I/Typ II) und der Effektivität (Typ II) der überprüften Kontrollmechanismen.
Bridge Letters
Bridge Letters sollen die Zeit zwischen dem Enddatum des referenzierten Berichts und dem Ausstellungsdatum des Bridge Letter überbrücken. Sie geben den Kunden Aufschluss darüber, ob es wesentliche Änderungen in ihrem Kontrollumfeld gegeben hat, die sich negativ auf die Schlussfolgerungen der letzten SOC-Prüfung auswirken könnten.
Payment Card Industry Data Security Standard (PCI-DSS)
Dieser weltweite Standard für Datensicherheit wird von Zahlungskartenunternehmen für alle Einheiten umgesetzt, die Daten der Karteninhaber verarbeiten, speichern oder übermitteln. Er umfasst Schritte, die bewährte Sicherheitspraktiken in der gesamten Branche widerspiegeln.
Qualitätsrichtlinien für gute Praktiken (GxP)
GxP ist eine Sammlung von Qualitätsrichtlinien und ‑vorschriften. Sie sollen gewährleisten, dass biopharmazeutische Produkte sicher sind, ihrem Verwendungszweck entsprechen und die Qualitätsprozesse während Herstellung, Kontrolle, Lagerung und Vertrieb eingehalten werden.
Trusted Information Security Assessment Exchange (TISAX)
TISAX ermöglicht die gegenseitige Anerkennung von Bewertungen zur Informationssicherheit in der Automobilindustrie und bietet ein gemeinsames Bewertungs- und Austauschprotokoll.
Die in Folgenden genannten Standorte der SAP SE wurden auf TISAX-AL3-Level (High Protection Needs) evaluiert. Bei den geprüften Kontrollbereichen wurden keine Konformitätsverstöße festgestellt. Walldorf (Deutschland), Bengaluru (Indien), Bukarest (Rumänien), Chicago (USA), Colorado Springs (USA), Newton Square (USA), St. Leon-Rot (Deutschland), San Pedro Garza Garcia (Mexiko) und Palo Alto (USA).
Scope-ID: S0R94X
Assessment-IDs: AMFL1Y-1, AMFL1Y-2
Europa
Cloud Computing Compliance Controls Catalogue (C5)
C5 hat sich aufgrund seiner Objektivität, seines Umfangs, seiner Kompaktheit und Testfähigkeit als Nachweis einer stabilen Grundlage für interne Audits und für das Management der Informationssicherheit in regulierten Branchen bewährt.
Verordnung über die digitale operationale Resilienz im Finanzsektor (DORA)
DORA ist eine ab dem 17. Januar 2025 geltende EU-Verordnung zur Cybersicherheit. Sie soll die Sicherheit und Resilienz von Informations- und Kommunikationstechnologie-Services (IKT-Services) von Finanzinstituten wie Banken, Versicherungsgesellschaften und Wertpapierhäusern stärken und dazu beitragen, dass Finanzfunktionen bei schwerwiegenden Betriebsunterbrechungen aufrechterhalten bleiben und sich wiederherstellen lassen. DORA sorgt für die Harmonisierung verschiedener Anforderungen an die Cybersicherheit für 20 verschiedene Arten von Finanzinstituten und IKT-Drittdienstleister. Im Einklang mit und aufbauend auf den NIS2-Anforderungen hat DORA Vorrang, wenn es um Finanzinstitute (lex specialis) geht.
EU-Cloud-Verhaltenskodex (EU Cloud CoC)
Der vom Europäischen Datenschutzausschuss verabschiedete und von der belgischen Datenschutzbehörde genehmigte EU Cloud CoC ermöglicht es Cloud-Dienstleistern, die Einhaltung der Anforderungen der DSGVO (Artikel 28 DSGVO und die damit verbundenen Artikel) nachzuweisen.
Die EU-Datenverordnung
Die EU-Datenverordnung (anwendbar seit dem 12. September 2025) soll die Zugänglichkeit und Nutzung von Daten innerhalb der EU erleichtern und damit die Datenwirtschaft und einen wettbewerbsfähigen Datenmarkt in der EU fördern. Ziel ist es, datengestützte Innovationen voranzutreiben und die Datenverfügbarkeit zu verbessern. Die in den 27 Mitgliedstaaten der Europäischen Union geltende Verordnung gibt Cloud-Kunden (für Datenverarbeitungsdienste) das Recht, innerhalb einer festgelegten Kündigungsfrist den Anbieter zu wechseln.
Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union (NIS-2)
Die neueste EU-Richtlinie NIS-2 dient dem Zweck, die Cybersicherheits-Rahmenbedingungen für Anbieter kritischer Infrastruktur anzugleichen und zu verbessern. SAP ist nicht nur selbst als Anbieter kritischer Infrastruktur registriert, sondern kommt bei Betreibern kritischer Infrastrukturen in vielen Ländern weltweit zum Einsatz und trägt in deren Unternehmen zur Einhaltung der jeweiligen Vorschriften für Cybersicherheit bei. SAP ist ein in Deutschland registrierter Anbieter kritischer Infrastruktur (KRITIS) und unterliegt deutschem Recht. Wir verfolgen die weitere Umsetzung des NIS-2-Gesetzentwurfs in Deutschland und werden die Informationen entsprechend aktualisieren.
Nationaler Sicherheitsrahmen für Spanien (ENS)
Der nationale Sicherheitsrahmen (National Security Framework, ENS) besteht aus den Grundprinzipien und Mindestanforderungen, die für einen angemessenen Schutz der verarbeiteten Informationen und der von einer Organisation erbrachten Dienste erforderlich sind. Die ENS-Compliance trägt dazu bei, den Zugang, die Vertraulichkeit, die Integrität, die Rückverfolgbarkeit, die Authentizität, die Verfügbarkeit und die Aufbewahrung von Daten und Diensten, die mit elektronischen Mitteln verarbeitet werden, sicherzustellen.
UK-Zertifizierung nach Cyber Essentials
Cyber Essentials ist ein von der britischen Regierung unterstütztes Zertifizierungsprogramm für Cybersicherheit, das Unternehmen dabei unterstützt, sich vor gängigen Cyberbedrohungen zu schützen. Cyber Essentials ist in den folgenden Zertifizierungsstufen verfügbar:
(Stufe 1) Cyber Essentials: Eine Selbstbewertung, bei der Unternehmen einen Fragebogen ausfüllen, der anschließend von einer unabhängigen Zertifizierungsstelle geprüft und bewertet wird.
(Stufe 2) Cyber Essentials Plus: Eine technische Prüfung der IT-Systeme durch eine unabhängige Zertifizierungsstelle.
Asien-Pazifik und Japan
Cloud Security Assessment (IRAP-CSA)
Das australische Cloud Security Assessment and Authorisation Framework definiert ein Instrument, mit dem das Cybersicherheitsteam, die Cloud-Architekten und die Unternehmensvertreter einer Organisation eine Risikobewertung durchführen und SAP-Cloud-Services sicher nutzen können.
Cybersecurity Classified Protection Scheme (CCPS)
Das CCPS ist eine in China geltende Sicherheitszertifizierung, die nach Artikel 21 des China Cybersecurity Law (CCSL) vorgeschrieben ist und der Wahrung der Cybersicherheit gilt. Die im CCPS definierten Sicherheitsanforderungen bilden die Grundlage für ein landesweit geltendes Sicherheitsprogramm, das einen standardisierten Ansatz für die sicherheitsbezogene Konzeption, Bewertung, Prüfung, Zertifizierung, Re-Zertifizierung und kontinuierliche Überwachung von Systemen oder Netzwerken liefert, die in Festlandchina gehostet werden. Jede Organisation, die Eigentümer oder Betreiber eines solchen Systems oder Netzwerks in Festlandchina ist, unterliegt der gesetzlichen Pflicht zur Einhaltung der CCPS.
Information System Security Management and Assessment Program (ISMAP)
ISMAP ist das japanische Programm zur Verwaltung und Bewertung der Sicherheit von Informationssystemen. Es ermöglicht Behörden die Bewertung und Registrierung von Cloud-Services, die den Sicherheitsanforderungen der Regierung entsprechen. Dieses Programm basiert auf dem „Basic Framework for the Security Evaluation System for Cloud Services in Government Information Systems“.
South Korea Financial Security Institute
Ausgewählte SAP-Lösungen haben das südkoreanische Sicherheitsbewertungsprogramm für Cloud-Service-Provider (CSP) 2024, das auch als „Regulation on Supervision on Electronic Financial Transactions (RSEFT) Delegated Assessment“ bekannt ist, erfolgreich absolviert. Für den Finanzsektor in Südkorea gelten zahlreiche Standards und Vorschriften in Bezug auf Cybersicherheit. Nach Bestehen der vom Financial Security Institute Südkorea durchgeführten Bewertung können Finanzinstitute in Südkorea nun diese konformen SAP-Lösungen unter Beachtung der für Finanzunternehmen geltenden Sicherheitsmaßnahmen zur Verarbeitung und Speicherung von Daten einsetzen.
Nordamerika
Canadian Centre for Cyber Security – Compliance in der Cloud
Der Sicherheitsbewertungsprozess der kanadischen Regierung für Cloud-Dienstleister bietet Cloud-Dienstleistern die Möglichkeit, sich standardisierten Assessments zu unterziehen, die Risikoverantwortlichen im Bereich Sicherheitsbewertung und Autorisierung Informationen liefern. SAP Cloud Services wurden anhand des Kontrollprofils „Protected B / Medium Integrity / Medium Availability“ (Cloud Medium) bewertet.
Federal Risk and Authorization Management Program (FedRAMP)
Für staatliche Stellen steht Sicherheit im Mittelpunkt eines jeden IT-Projekts. Das Federal Risk and Authorization Management Program (FedRAMP) bietet einen standardisierten Ansatz für die Sicherheitsbewertung, Autorisierung und kontinuierliche Überwachung von Cloud-Produkten und -Services.
Barrierefreiheit von SAP-Software
SAP stellt auf Anfrage Informationen zur Konformität unserer Produkte mit den Standards Section 508 (USA), WCAG 2.2 und EN 301 549 auf Basis von VPAT(R) bereit. Weitere Informationen zur SAP-Entwicklungspolitik für Barrierefreiheit sind ebenfalls verfügbar.
Cloud Security Alliance (CSA)
Die Cloud Security Alliance (CSA) ist eine gemeinnützige Organisation, die bewährte Sicherheitspraktiken für Cloud Computing entwickelt und fördert sowie Orientierungshilfen für SAP-Implementierungen bietet.
Ethik und Compliance
SAP ist den höchsten Standards ethischer Geschäftspraktiken verpflichtet. Wir sind bestrebt, auf allen globalen Märkten, auf denen wir tätig sind, integer zu handeln und sowohl den Geist als auch die Vorgaben des Gesetzes zu befolgen.
IDW PS 880
Testate für SAP-Software durch das Institut der Wirtschaftsprüfer (IDW).
Compliance-Ressourcen
Ethik und Compliance bei SAP
Indem wir unsere Geschäfte im Einklang mit unserem globalen Ethik- und Verhaltenskodex auf korrekte Art und Weise führen, beeinflusst SAP die soziale und wirtschaftliche Entwicklung positiv und fördert Bildung, Gerechtigkeit, Demokratie, Wohlstand, Entwicklung und Gesundheit weltweit.
Cloud-Services-Prozess
Erhalten Sie Einblicke in unsere Cloud-Services-Prozesse und in die Art und Weise, wie sie wichtige Geschäftsabläufe für Cloud-Services unterstützen.