GRASP German GRC
Kostenlos testen Kontakt

TOMs: Was sind technische und organisatorische Maßnahmen?

Veröffentlicht am: 2. Dezember 2025

Max Mustermann

Veröffentlicht am: 02.12.2025

TOMs

TOMs ist keine Gruppe von Thomasen, sondern steht für technische und organisatorische Maßnahmen. Diese sind das Fundament eines wirksamen Datenschutzes und einer robusten Informationssicherheit. Sie beschreiben, wie Ihr Unternehmen personenbezogene und sensible Informationen schützt, Risiken reduziert und gesetzliche sowie normative Anforderungen erfüllt. In der Praxis sind TOMs die konkrete Ausgestaltung des Sicherheitsniveaus, das die DSGVO, ISO 27001 oder NIS2 von Ihnen verlangen.

Während die DSGVO den Begriff TOMs explizit verwendet, sprechen ISO 27001 und NIS2 eher von Kontrollen, Maßnahmen oder Sicherheitsanforderungen. Gemeint ist jedoch dasselbe. Es geht darum, technische, organisatorische und physische Schutzmaßnahmen so zu kombinieren, dass Vertraulichkeit, Integrität und Verfügbarkeit von Informationen sichergestellt werden.

Grundlagen zum Managementsystem dahinter finden Sie hier:
Was ist ein ISMS?

Lesetipp: NIS2: Einfach erklärt

Definition von technischen und organisatorischen Maßnahmen

Unter technischen und organisatorischen Maßnahmen versteht man alle Vorkehrungen, die eine Organisation trifft, um Daten und Systeme vor Verlust, Manipulation, Missbrauch oder unbefugtem Zugriff zu schützen. TOMs sind nicht nur eine Liste von Einzellösungen, sondern ein zusammenhängendes System aus Technologien, Prozessen, Rollen, Richtlinien und physischer Sicherheit.

Typische Ziele von technischen und organisatorischen Maßnahmen sind:

  • Schutz personenbezogener Daten im Sinne der DSGVO
  • Erfüllung der Anforderungen aus ISO 27001 und zugehörigen Standards wie ISO 27005
  • Umsetzung der NIS2 Vorgaben für betroffene Unternehmen
  • Reduktion von Betriebsunterbrechungen und Sicherheitsvorfällen
  • Nachweis eines angemessenen Sicherheitsniveaus gegenüber Kundschaft, Partnern und Aufsichtsbehörden

Entscheidend ist, dass TOMs zu den Risiken, der Größe und dem Kontext Ihrer Organisation passen. Eine Bank, ein Cloud Provider und ein regionaler Dienstleister werden unterschiedliche TOM Profile haben, auch wenn alle auf denselben Rahmenwerken basieren.

Technische Maßnahmen im Überblick

Technische Maßnahmen sind alle Schutzmechanismen, die auf Systemen, Anwendungen, Netzwerken und Daten direkt umgesetzt werden. In modernen Frameworks wie ISO 27001, der DSGVO und NIS2 finden sich immer wieder ähnliche Bausteine.

Verschlüsselung

Verschlüsselung schützt Daten sowohl bei der Übertragung als auch bei der Speicherung. Sie ist eine der wichtigsten TOMs für vertrauliche und personenbezogene Informationen. Dazu gehören unter anderem Festplattenverschlüsselung, Transportverschlüsselung mit TLS sowie der Schutz von Sicherungskopien. Ein professionelles Schlüsselmanagement gehört immer dazu.

Zugriffssteuerung

Nur berechtigte Personen dürfen auf sensible Informationen zugreifen. Typische technische Maßnahmen sind rollengestützte Zugriffskontrolle Role Based Access Control, das Least Privilege Prinzip, starke Authentifizierung mit mehreren Faktoren und das regelmäßige Überprüfen von Berechtigungen. Gerade im Kontext von DSGVO und NIS2 ist nachvollziehbar, wer worauf zugreifen kann.

Netzwerk und Systemschutz

Firewalls, gesicherte Protokolle, Netzwerksegmentierung und gehärtete Systeme gehören zu den klassischen technischen TOMs. Ergänzt werden sie durch Intrusion Detection Systeme, sichere Konfigurationen und regelmäßige Schwachstellenscans. Ziel ist es, Angriffsflächen zu reduzieren und verdächtige Aktivitäten frühzeitig zu erkennen.

Session Isolation und sichere Arbeitsumgebungen

In modernen Architekturen kommt es immer häufiger darauf an, Sitzungen und Arbeitsbereiche voneinander zu trennen. Dazu zählen zum Beispiel isolierte Browser Sessions, MicroVMs oder Container, in denen Anwendungen getrennt voneinander laufen. Diese Maßnahmen erschweren es Angreifern, von einem kompromittierten Bereich auf andere Systeme überzugreifen.

Monitoring, Logging und Backup

Relevante technische TOMs sind außerdem ein zentrales Logging, die Überwachung kritischer Systeme und ein durchdachtes Backup und Recovery Konzept. Backups müssen verschlüsselt, regelmäßig getestet und so aufgebaut sein, dass sie auch im Fall eines Ransomware Angriffs zur Wiederherstellung dienen können.

Organisatorische Maßnahmen im Überblick

Organisatorische Maßnahmen sorgen dafür, dass technische Sicherheit nicht zufällig entsteht, sondern geplant und gesteuert wird. Sie definieren Rollen, Prozesse, Richtlinien und Entscheidungswege. In der DSGVO, in ISO 27001 und in NIS2 finden sich zahlreiche Anforderungen, die sich direkt in organisatorische TOMs übersetzen lassen.

Richtlinien und Governance

Zentrale organisatorische TOMs sind Informationssicherheitsrichtlinien, Passwortrichtlinien, Vorgaben für den Umgang mit mobilen Geräten, Homeoffice Regelungen oder Vorgaben zu Datenspeicherung und Löschung. Diese Richtlinien müssen erstellt, freigegeben, kommuniziert und regelmäßig überprüft werden.

Rollen und Verantwortlichkeiten

Ohne klare Verantwortlichkeiten bleiben TOMs wirkungslos. Typische Rollen sind Informationssicherheitsbeauftragte, Datenschutzbeauftragte, Asset Owner, Risikoverantwortliche und interne Auditorinnen und Auditoren. Sie sorgen dafür, dass Sicherheitsaufgaben nicht zwischen Bereichen verloren gehen.

Mehr zu dieser Rolle finden Sie hier:
Was macht ein Informationssicherheitsbeauftragter

Prozesse und Abläufe

Wichtige organisatorische TOMs sind definierte Prozesse zum Umgang mit Sicherheitsvorfällen, zur Meldung von Datenschutzverletzungen, zum Onboarding und Offboarding von Mitarbeitenden, zur Rechtevergabe oder zur Bewertung von Dienstleistern. NIS2 und ISO 27001 verlangen ausdrücklich geregelte Abläufe, damit Risiken und Vorfälle nicht allein vom Zufall abhängen.

Schulung und Awareness

Technik allein reicht nicht. Ein großer Teil der Informationssicherheit hängt vom Verhalten der Mitarbeitenden ab. Regelmäßige Schulungen, Awareness Kampagnen und klare Kommunikation gehören daher zu den zentralen organisatorischen TOMs. Dazu gehören Grundlagenschulungen zur Informationssicherheit, Phishing Trainings, spezielle Formate für Führungskräfte und ein sicheres Onboarding neuer Kolleginnen und Kollegen.

Managementsysteme und Dokumentation

ISO 27001 fordert ein dokumentiertes Informationssicherheitsmanagementsystem. Dazu gehören strukturierte Dokumentensteuerung, interne Audits, Management Reviews und eine fortlaufende Verbesserung. All diese Elemente sind organisatorische TOMs, weil sie dafür sorgen, dass Sicherheitsmaßnahmen geplant, nachvollzogen und weiterentwickelt werden.

Eine Einführung in ISO 27001 finden Sie hier:
Was ist ISO 27001

TOMs im Kontext von DSGVO, ISO 27001 und NIS2

Die DSGVO nennt technische und organisatorische Maßnahmen ausdrücklich in Artikel 32. Unternehmen müssen geeignete technische und organisatorische Maßnahmen ergreifen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Was als angemessen gilt, hängt von Art, Umfang und Kontext der Verarbeitung ab. Wichtig ist, dass die getroffenen Maßnahmen dokumentiert und begründet werden können.

ISO 27001 beschreibt TOMs in Form von Anforderungen an das ISMS und in Form von Sicherheitskontrollen in Anhang A. Organisationen müssen auf Basis eines Risikomanagements entscheiden, welche Kontrollen sie nutzen und dies in einer Erklärung zur Anwendbarkeit dokumentieren. Moderne Fassungen der Norm sind eng mit ISO 27005 für das Risikomanagement verzahnt.

Die NIS2 Richtlinie erweitert den Rahmen auf Betreiber wesentlicher und wichtiger Dienste. Sie fordert unter anderem Risikomanagement, Business Continuity, Incident Reporting, Supply Chain Security und starke Governance. Auch hier sind TOMs das praktische Mittel, um diese Anforderungen umzusetzen und gegenüber Aufsichtsbehörden nachzuweisen.

Wie Sie TOMs wirksam definieren und dokumentieren

In der Praxis reicht es nicht, eine Liste von Maßnahmen aufzuschreiben. Wirksam und auditfest werden technische und organisatorische Maßnahmen, wenn sie systematisch entwickelt werden. Ein typischer Ablauf sieht so aus:

  1. Ermitteln Sie den Kontext Ihrer Organisation, relevante Systeme, Datenarten und rechtliche Anforderungen.
  2. Führen Sie eine strukturierte Risikoanalyse durch und bewerten Sie Auswirkungen auf Vertraulichkeit, Integrität und Verfügbarkeit.
  3. Leiten Sie aus den Risiken passende technische und organisatorische Maßnahmen ab.
  4. Dokumentieren Sie, welche TOMs für welche Prozesse, Systeme und Daten gelten.
  5. Weisen Sie Verantwortlichkeiten zu und verankern Sie TOMs in Richtlinien und Prozessen.
  6. Überprüfen Sie regelmäßig die Wirksamkeit und passen Sie die TOMs an neue Risiken und Vorgaben an.

Gerade die Verbindung von Risikomanagement und TOM-Dokumentation ist wichtig. Nur wenn klar nachvollziehbar ist, warum eine Maßnahme existiert und welches Risiko sie adressiert, entsteht ein schlüssiges Gesamtbild.

Wie GRASP Sie bei TOMs unterstützt

Die Herausforderung liegt häufig nicht nur in der Definition von TOMs, sondern in der konsistenten Umsetzung und Nachverfolgung. Mit einer integrierten GRC Plattform wie GRASP können Sie Ihre TOMs zentral verwalten, mit Risiken und Assets verknüpfen und Auditnachweise revisionssicher bereitstellen.

  • Verknüpfung von TOMs mit Informationswerten, Systemen und Prozessen
  • Abbildung der Kontrollen aus ISO 27001 als wiederverwendbare Maßnahmensets
  • Unterstützung bei internen Audits und externen Prüfungen
  • Dashboards und Berichte für Management, Datenschutz und Informationssicherheit

Damit werden technische und organisatorische Maßnahmen nicht nur beschrieben, sondern tatsächlich steuerbar. TOMs werden vom statischen Dokument zum aktiven Bestandteil Ihres Informationssicherheits- und Datenschutzprogramms.

Schauen Sie sich das Webinar „Datenschutzmanagement mit GRASP“ on-Demand an.

Technische und organisatorische Maßnahmen sind der praktische Ausdruck Ihres Sicherheits- und Datenschutzniveaus. Sie verbinden gesetzliche Anforderungen aus DSGVO, ISO 27001 und NIS2 mit konkreten Schritten im Alltag. Wer TOMs risikobasiert auswählt, sauber dokumentiert und regelmäßig überprüft, reduziert nicht nur das Risiko von Vorfällen, sondern stärkt auch das Vertrauen von Kundschaft, Partnern und Aufsichtsbehörden.

Sie sehen gerade einen Platzhalterinhalt von Standard. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf den Button unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.

Inhalt entsperren
Weitere Informationen

Mit einem klaren Rahmen durch Standards und einer passenden Plattform wie GRASP behalten Sie den Überblick und können nachweisen, dass Informationssicherheit und Datenschutz in Ihrem Unternehmen systematisch gelebt werden.

Jetzt GRASP 30 Tage kostenlos testen!

Text auf Button: Get Started Free Trial starten

Weitere Beiträge zum Thema

GRASP ist ein Produkt der DextraData GmbH

Siegel Software Made and Hosted in Germany
Siegel Allianz für Cyber-Sicherheit Siegel Bundesverband IT-Mittelstand Siegel Lizensierte IT-Grundschutz-Inhalte Siegel ISO 27001 Zertifizierung

Produkte

ISMS - Software für Informationssicherheit

DSMS - Software für Datenschutzmanagement

Internal Audit - Sofware für Auditmanagement

QM - Software für Qualitätsmanagement

BCM - Software für Business Continuity Management

Neues bei GRASP

Unternehmen

Über uns

Fragen zu GRASP

Sie haben noch Fragen?
Kontaktieren Sie uns gerne!

Zum Kontaktformular

© DextraData GmbH

Impressum

AGB

Datenschutzerklärung

Cookie-Einstellungen