Sie können uns vertrauen

Smartvatten ist nach ISO/IEC 27001:2022 zertifiziert, dem weltweit führenden Standard für Informationssicherheits-Managementsysteme. Diese Zertifizierung belegt, dass unsere Sicherheitskontrollen risikobasiert sind, regelmäßig auditiert werden und einem kontinuierlichen Verbesserungsprozess unterliegen.

• Informationssicherheit wird systematisch gesteuert, nicht ad-hoc.

• Risiken werden strukturiert identifiziert, bewertet und behandelt.

• Sicherheitskontrollen werden durch einen unabhängigen externen Auditor geprüft.

• Sicherheit ist fest in den täglichen Betrieb und in Entscheidungsprozesse integriert.

Unsere Zertifizierung nach ISO/IEC 27001:2022 gilt für den folgenden Bereich: Informationssysteme zur Bereitstellung, Entwicklung, Herstellung und zum Vertrieb von Wassermesssystemen gemäß der Konformitätserklärung (Statement of Applicability, SOA) Version 2.0 vom 17.09.2025.

Der Umfang umfasst sowohl die Standorte von Smartvatten in Finnland als auch die Standorte der europäischen Tochtergesellschaften. Der Zertifizierungsumfang und die Standorte werden als Teil unseres Managementsystems regelmäßig überprüft und gepflegt.

Die ISO 27001-Zertifizierung ist keine einmalige Angelegenheit. Wir stellen ihre Aufrechterhaltung sicher durch:

• Interne Audits

• Management-Bewertungen

• Korrekturmaßnahmen und kontinuierliche Verbesserungen

• Regelmäßige externe Überwachungs- und Rezertifizierungsaudits

Die Konformitätserklärung (SoA) ist ein Kerndokument der ISO 27001, das detailliert darlegt, welche Sicherheitsmaßnahmen wir anwenden und warum.

Die SoA:

• listet die Sicherheitsmaßnahmen (Controls) aus dem Anhang A der ISO 27001 auf

• definiert, welche Maßnahmen für Smartvatten relevant sind

• erklärt, warum Maßnahmen einbezogen oder ausgeschlossen wurden

• dokumentiert den Umsetzungsstatus der anwendbaren Maßnahmen

In der Praxis schlägt sie die Brücke zwischen unserer Risikobewertung und den von uns implementierten Sicherheitsmaßnahmen.

• Beweist einen risikobasierten Ansatz anstelle einer bloßen „Checklisten-Compliance“.

• Bietet Auditoren und Stakeholdern volle Transparenz bei der Auswahl der Sicherheitsmaßnahmen.

• Stellt sicher, dass die Kontrollen stets an den geschäftlichen und regulatorischen Anforderungen ausgerichtet sind.

Aus Sicherheitsgründen wird die vollständige Konformitätserklärung (SoA) als vertrauliches Dokument behandelt. Wir können Kunden und Partnern jedoch im Rahmen von Due-Diligence-Prüfungen oder Sicherheitsbewertungen entsprechende Nachweise und Bestätigungen zur Verfügung stellen.

• CEO (Geschäftsführung)

  • Genehmigt die Informationssicherheits-Leitlinie.

  • Trägt die Gesamtverantwortung für die Informationssicherheit.

  Information Security Manager (ISM)

  • Entwickelt, pflegt und überwacht das Informationssicherheits-Managementsystem (ISMS).

  • Steuert das Risikomanagement und prüft die Wirksamkeit der Kontrollmaßnahmen.

  Information Security Committee (Sicherheitsausschuss)

  • Gewährleistet die funktionsübergreifende Aufsicht.

  • Richtet Sicherheitsaktivitäten an den Unternehmenszielen aus.

Ziele, Risiken und die Performance der Informationssicherheit werden regelmäßig im Rahmen der Managementprozesse überprüft. So stellen wir sicher, dass die Sicherheit stets mit der Strategie und dem operativen Geschäft von Smartvatten im Einklang steht.

• Business Continuity (Geschäftskontinuität) Aufrechterhaltung der Verfügbarkeit wesentlicher Dienste bei Störungen.

• Sichere Geschäftsentwicklung Wachstum, Innovation und Partnerschaften auf sichere Weise ermöglichen.

• Risikomanagement & -bewusstsein Informationssicherheitsrisiken im Zeitverlauf identifizieren, bewerten und reduzieren.

• Compliance-Management Erfüllung von Kundenanforderungen sowie vertraglichen und regulatorischen Sicherheitsvorgaben.

• Sicherheitskultur Förderung des Bewusstseins und der gemeinsamen Verantwortung im gesamten Unternehmen.

Unser ISMS folgt einem Zyklus der kontinuierlichen Verbesserung, der Folgendes umfasst:

• Regelmäßige Risikobewertungen

• Interne und externe Audits

• Überprüfung der Kontrollmaßnahmen (Control Verification)

• Schulungs- und Awareness-Maßnahmen

• Incident-Simulationen und Analysen (Reviews)

Die Leitlinie gilt für:

• Smartvatten-Mitarbeiter

• Auftragnehmer und Partner

• Subunternehmer und andere relevante Dritte

• Schutz von Vertraulichkeit, Integrität und Verfügbarkeit von Informationen

• Prävention und Abschwächung von Sicherheitsvorfällen

• Einhaltung geltender Gesetze, Vorschriften und Standards

Smartvatten hat etablierte Verfahren für:

• die Erkennung von Informationssicherheits-Vorfällen

• die Reaktion auf und das Management von Vorfällen

• die Eskalation und Meldung von Vorfällen gemäß definierten Richtlinien

• Sichere Kommunikation durch verschlüsselte Verbindungen

• Zugriffskontrollen und Berechtigungsprüfungen

• Authentifizierungsmechanismen zur Überprüfung von Identität und Zugriffsrechten

• Schutzmechanismen auf Netzwerkkonfigurationsebene für Systeme und Geräte

Wir bewerten und steuern Sicherheitsrisiken in Bezug auf:

• Cloud-Service-Provider

• Technologie-Lieferanten

• Drittanbieter von Dienstleistungen

Dies umfasst die Überprüfung relevanter Zertifizierungen, Audit-Berichte und vertraglicher Sicherheitsanforderungen.

Die Informationssicherheit ist in allen Phasen der Produkt- und Softwareentwicklung fest verankert. Smartvatten integriert Sicherheitsmaßnahmen über den gesamten Lebenszyklus der System- und Softwareerstellung – beginnend bei der Konzeption über die Bereitstellung (Deployment) bis hin zur laufenden Wartung. Unsere sicheren Entwicklungsmethoden sind integraler Bestandteil unseres ISMS und entsprechen den Anforderungen der Norm ISO/IEC 27001.

Unsere Prinzipien für sichere Entwicklung

• Security by Design und Security by Default (Sicherheit durch Design und standardmäßige Sicherheit)

• Risikobasierte Auswahl von Kontrollmaßnahmen

• Minimalprinzip (Least Privilege) und Zugriffskontrolle

• Trennung der Umgebungen

• Kontinuierliche Verbesserung und Lernen

• Informationssicherheitsrisiken in Bezug auf Software, Systeme und Änderungen werden als integraler Bestandteil unseres ISMS-Risikomanagementprozesses identifiziert und bewertet.

• Ganzheitliche Betrachtung: Sicherheitsrisiken werden bei der Einführung neuer Funktionen, Technologien oder Integrationen von Grund auf berücksichtigt.

• Fundierte Entscheidungsfindung: Entscheidungen zur Risikobehandlung werden lückenlos dokumentiert und direkt mit den entsprechenden Kontrollmaßnahmen verknüpft.

• Sicherheitsanforderungen werden bereits während des System- und Lösungsdesigns berücksichtigt.

• Architekturentscheidungen zielen darauf ab, die Angriffsfläche zu minimieren und die Auswirkungen potenzieller Vorfälle zu begrenzen (Limit Blast Radius).

• Authentifizierung, Autorisierung und sichere Kommunikation werden als grundlegende Basisanforderungen (Baselines) behandelt.

• Änderungen an Systemen und Software werden kontrolliert und sind lückenlos nachvollziehbar (Traceability).

• Der Zugriff auf Entwicklungs-, Test- und Produktionsumgebungen ist streng beschränkt und erfolgt rollenbasiert (RBAC).

• Aufgabentrennung (Separation of Duties) wird dort angewendet, wo es angemessen ist, um das Risiko unbefugter oder ungeprüfter Änderungen zu minimieren.

• Sicherheitsrelevante Kontrollen werden als fester Bestandteil der Entwicklungs- und Release-Aktivitäten verifiziert.

• Identifizierte Schwachstellen und Defizite werden nachverfolgt und auf Basis einer Risikobewertung behoben.

• Erkenntnisse aus Vorfällen, Audits oder Tests (Lessons Learned) werden systematisch genutzt, um die Entwicklungspraktiken kontinuierlich zu verbessern.

• Die Nutzung von Drittanbieter-Komponenten, Bibliotheken und Diensten wird konsequent unter Sicherheitsrisiko-Aspekten bewertet.

• Sicherheitsanforderungen für Lieferanten und Cloud-Dienste sind mit den Informationssicherheits-Leitlinien von Smartvatten abgestimmt.

• Relevante Zertifizierungen, Audit-Berichte und vertragliche Kontrollmaßnahmen werden, wo anwendbar, regelmäßig überprüft.

• Bei der Bereitstellung von Systemen werden sichere Konfigurationen (Secure Configurations) angewendet.

• Protokollierung (Logging), Monitoring und Zugriffskontrollen gewährleisten einen sicheren Betrieb.

• Sicherheitsupdates und kontinuierliche Verbesserungen sind fester Bestandteil der laufenden Wartung und des Lifecycle-Managements.

Unsere SDLC-Praktiken (Software Development Lifecycle) unterstützen die Einhaltung folgender Standards:

• ISO/IEC 27001 Annex A Kontrollen: Dies umfasst insbesondere die sichere Systementwicklung sowie das Änderungsmanagement (Change Management).

• NIS2-Risikomanagement-Erwartungen: Unser Fokus liegt hierbei speziell auf der Systemsicherheit, der Prävention von Vorfällen sowie der allgemeinen Resilienz.

• Sicherheitsanforderungen von Kunden und Partnern: Wir passen unsere Prozesse flexibel an die spezifischen Compliance-Vorgaben unseres Ökosystems an.