HITGuard Release November 2025

HITGuard bietet ab diesem Release an mehreren Stellen der Applikation die Unterstützung durch Künstliche Intelligenz an. Wenn Ihre Organisation über ein Nutzerkonto bei einem KI-Anbieter (aktuell werden OpenAI und Azure OpenAI unterstützt) verfügt, kann dieses mit HITGuard integriert und können seine Funktionen in HITGuard genutzt werden. Überall, wo sich ein html-Editor findet, d.h. ein Textfeld, in dem man auch formatieren kann, findet sich der neue Button für die KI Unterstützung.

Unter Administration > Globale Einstellungen wird die KI Integration erstmalig konfiguriert. Sie können sich zwischen den Anbietern OpenAI und Azure OpenAI entscheiden und dann Ihr verwendetes Modell sowie Details zur Authentifizierung hinterlegen. Sobald das getan ist, können Sie sich bei der Arbeit in HITGuard von der künstlichen Intelligenz unter die Arme greifen lassen.

Die KI Unterstützung ist dann für Experts und Professionals der Managementsysteme immer verfügbar und es kann weiters konfiguriert werden, ob diese Features auch Practitioner Usern und/oder Lieferantenbenutzern (im Zuge von angeforderten Self Assessments) zur Verfügung stehen sollen.

Beispiel: der Screenshot zeigt die Einstellungen der Integration bei der Auswahl von OpenAI als Anbieter der KI. Die Auswahl von Azure OpenAI führt zu anderen Feldern.

Mehr zur Konfiguration der KI Einstellungen finden Sie hier

Für die Abweichungsanalyse und die Erfassung freier Prüfergebnisse bieten wir eine erweiterte KI-Unterstützungsfunktion. Dabei unterstützt die KI dabei, die Begründung für die Beantwortung der Fragestellung zu generieren. Der vorformulierte Prompt, den Sie auch bearbeiten können, kombiniert die Informationen aus der Fragestellung, dem Beschreibungstext zur Fragestellung sowie die Antwort und Begründung zur Antwort, falls bereits eine Eingabe erfolgte. Den generierten Text kann man kopieren oder per Knopfdruck direkt in das Begründungsfeld einfügen (Ersetzen).

Nachdem im vorherigen Release die Workflowplanung für Schutzbedarfsanalysen eingeführt wurde, folgt mit dieser Version die Workflowplanung für Abweichungsanalysen und Prüfergebnisse. Damit können nun alle Überprüfungen, die wiederkehrend (oder auch nur einmalig) einer Neubewertung unterzogen werden müssen, über eine automatisierte Planung schnell und effizient eingetaktet werden.

Unter Risikomanagement > Schwachstellen gibt es die neue Möglichkeit, Workflowpläne anzulegen. Damit können Abweichungsanalysen (AAs) und Prüfergebnisse (PEs) wiederkehrend automatisiert als Self Assessment angelegt und dem Interviewpartner zugeschickt werden. Dafür gibt es einen eigenen neuen Button (lila, ganz rechts), der den User zur Übersicht der erstellten Workflows bringt.

Dort angekommen erstellt man mit Plus einen neuen Workflowplan, kopiert einen bestehenden mit dem Kopieren Button oder öffnet mit Doppelklick einen bestehenden. Es kann sinnvoll sein, AAs/PEs auf mehrere Workflowpläne aufzuteilen, damit man sie auch über das Jahr verteilt neubewerten lassen kann, z.B. manche im Frühjahr und manche im Herbst. Falls Sie beispielsweise einen Workflowplan für die Lieferantenbewertung für den Sommer und einen für den Winter erstellt haben, die jährlich wiederholt werden, und einen besonders sensiblen Lieferanten zweimal jährlich (im Sommer und im Winter) für die wiederholte Beantwortung von Fragelisten zu bestimmten Themen einladen möchten, dann können Sie die AA/das PE zu diesem Lieferanten beiden Workflowplänen zuteilen.

Wie bei einer Kontrolldefinition und genau wie beim Workflow zu Schutzbedarfsanalysen wird in den Stammdaten in der Definition die nächste Durchführung und das Wiederholungsverhalten des Workflows festgelegt.

Im Tab Überprüfungen werden die gewünschten Ausgangs-AAs/PEs hinzugefügt, auf Basis derer die Neubewertungen erstellt werden sollen. Falls es Konflikte gibt, so wird dies mit einem gelben oder roten Warndreieck angezeigt und das Problem beschrieben, damit man den Konflikt beheben oder den Workflow entsprechend anpassen kann.

Mehr zu möglichen Konflikten finden Sie hier.

Zusätzlich hat man beim Zuweisen der Überprüfungen die Möglichkeit auszuwählen, welche Wissensdatenbank-Version für die Neubewertung verwendet werden soll und ob und wie Ergebnisse der vorherigen Überprüfung übernommen werden sollen.

Man hat an dieser Stelle auch die Möglichkeit, sofort manuell eine Neubewertung der AA/des PE zu triggern, indem man den gleichen Button wie in der Übersicht unter Risikomanagement > Schwachstellen (Pfeil Button ganz rechts) verwendet.

Eine Woche vor Ausführung des Workflows erhält der Verantwortliche noch ein Erinnerungsmail mit allen wichtigen Informationen, so auch über etwaige Probleme. Damit hat er noch ausreichend Zeit, um Konflikte zu lösen wie beispielsweise AAs, die man vergessen hat abzuschließen zu schließen.

Beim Auslösen des Workflows erhält der Verantwortliche ebenfalls eine Information, was geschehen ist. D.h. er erhält Informationen über die erfolgreichen Aussendungen sowie die nicht möglichen Aussendungen aufgrund von nicht behobenen Konflikten. Diese Information findet sich dann auch im Tab Durchgeführte Workflows.

Workflows können für einzelne Überprüfungen auch pausiert werden. Das kann praktisch sein, wenn man beispielsweise kurz vor Auslösen des Workflowplans außertourlich eine Neubewertung durchgeführt hat und nicht sofort wieder eine Nachfrage aussenden möchte. In diesem Fall wird ein Auslösen übersprungen und die AA oder das PE wird erst beim nächsten Auslösen wieder in den Workflow aufgenommen.

Wenn der Workflow problemlos durchgeführt werden kann und auch nicht pausiert ist, so wird eine neue AA oder ein neues PE, je nach Konfiguration mit oder ohne die Ergebnisse der Vorgängerversion, als Self Assessment erstellt und direkt an den Interviewpartner geschickt. Das Startdatum ist das aktuelle Datum der Aussendung und die Beantwortungsfrist orientiert sich an der Frist bzw. am Enddatum der AA/des PE, das als Vorlage gedient hat. Die angeforderte AA/PE kann nun wie jedes Self Assessment vom Interviewpartner beantwortet und retourniert werden.

Auch direkt in der Abweichungsanalyse/dem Prüfergebnis selbst erhält man Information über etwaige Workflowpläne, mit denen die AA/das PE verknüpft ist. Hier wird auch dargestellt, ob der Workflowplan aktiv oder ausgesetzt ist oder ob die Überprüfung für die Durchführung im Workflowplan einmalig pausiert ist. Wurde die AA/das PE aus einem Workflowplan heraus angelegt, so wird das ebenfalls angezeigt.

Tipp: für die Information, ob ein Workflow verknüpft ist und wann dieser das nächste Mal auslöst, kann man sich auch in der Übersicht der Abweichungsanalysen die neue Spalte „Verknüpfte Workflowpläne“ einblenden.

Mehr zu Workflowplänen finden Sie hier.

Auf wiederholten Kundenwunsch hin bieten wir nun auch die Möglichkeit, neben Anwendungen auch Business Services modellieren zu können. Für die Ressourcenverwaltung in HITGuard gibt es deshalb ab sofort eine neue Modellsegment-Ebene: Business Service Ebene. Oberhalb der Anwendungsebene angesiedelt, werden auch Ressourcen dieser neuen Ebene standardmäßig in der Schutzbedarfsanalyse zur Verfügung gestellt.

Für die Schutzbedarfsanalyse gibt es seit diesem Release ein weiteres neues Feature unter Risikomanagement > Einstellungen. Hier kann man nun manuell konfigurieren, Ressourcen welcher Modellsegmente für die Schutzbedarfsanalyse zur Verfügung stehen sollen.

Im obigen Screenshot wurde neben den Standard-Modellsegmenten (Business Service Ebene und Anwendungsebene) auch die IT-Infrastruktur Ebene aktiviert. In der Schutzbedarfsanalyse werden Ihnen dann – auch als Practitioner – Ressourcen der gewählten Modellsegmente zur Auswahl angeboten.

Damit können sich in der Strukturanalyse Schutzbedarfsanalyse-Bewertungen und Beziehungen auf unterschiedlichen Ebenen ergeben. Die Ressourcen erben dabei immer den höchsten Schutzbedarf aus ihrer Beziehungskette. Das heißt, auch wenn sie direkt in einer Schutzbedarfsanalyse als wenig kritisch eingestuft wurden, können sie durch Anforderungen aus darüberliegenden Ressourcen über die Beziehung dazu kritischere Bewertungen ererben.

Beispiel: Die Applikation BankingPortal (Ressource auf der Anwendungsebene) hat aus ihren Beziehungen zum darüberliegenden Financial Business Service (Ressource auf Business Service Ebene) einen hohen Schutzbedarf zur Verfügbarkeit ererbt. Die Abteilung Lohnverrechnung wurde nun eingeladen zu bewerten, wie wichtig ihnen diese spezielle Applikation ist. Das BankingPortal wird in dieser Analyse als überhaupt nicht kritisch im Sinne der Verfügbarkeit eingestuft und es entsteht eine neue Beziehung in der Strukturanalyse zwischen dieser Abteilung und der Ressource. Trotzdem bleibt der Schutzbedarf der App hoch. Sie erhält den Schutzbedarf vom Business Service, der hinsichtlich der Verfügbarkeit aus ein oder mehreren Schutzbedarfsanalysen mit anderen Abteilungen als kritisch bewertet wurde. Die Vererbung der Schutzbedarfe orientiert sich wie gewohnt am Maximalprinzip aller eingehenden Abhängigkeitsbeziehungen.

Die beiden Risikomanagement KPIs „Aktive Risiken/Chancen und ihre Behandlung“ und „Risiken/Chancen nach Status“ wurden um die Möglichkeit erweitert, sie wie viele andere KPIs im Bereich Risikomanagement nach Organisationseinheiten zu filtern. Welche Organisationseinheiten zur Verfügung stehen und welche Risiken dann für sie angezeigt werden, ergibt sich immer aus der Verknüpfung von Strukturelementen des Risikos. Das sind die betroffenen Organisationseinheiten, Ressourcen etc., die man auf der Stammdatenseite des Risikos unter betroffene Strukturelemente vorfindet.

Wie bei regulären HITGuard Benutzern, gibt es jetzt auch beim Deaktivieren von Lieferantenbenutzern die Möglichkeit, sie zu anonymisieren. HITGuard bietet dies automatisch an, wenn man einen Benutzer deaktiviert.

Stimmt man zu, so werden die Daten des Benutzers anonymisiert und der Nachname wird auf eine beliebige Buchstabenreihenfolge umgestellt. Anonymisierte Lieferantenbenutzer können auch gelöscht werden, solange sie vor dem Anonymisieren nicht verifiziert waren.

Lieferanten haben nun ebenfalls die Möglichkeit, sich mit ihnen geteilte Self Assessments in Berichtsform auszudrucken bzw. diese abzulegen. Dazu wurde ein rosa „Bericht generieren“ Button in den Ordnern des Lieferantenportals eingeführt. Der Bericht kann nur als PDF erstellt werden und enthält neben Bezeichnung, Beschreibung, Status und Beantwortungsfrist eine vollständige Auflistung der Prüffragen mit den vergebenen Antworten, inklusive Begründung.

Die KPIs zu Risiken und Chancen im Risikomanagement sowie die KPIs zu Abweichungsanalysen und Feststellungsarten im Risiko- und Auditmanagement wurden um Checkboxen und Auswahlfelder erweitert, mit denen man die angezeigte Information auf jene beschränken kann, die sich direkt auf Lieferanten bezieht. Dabei können auch einzelne Lieferanten ausgewählt werden.

Ein Lieferantenrisiko bzw. eine Lieferantenchance sind jene, die mit mindestens einem Strukturelement des Typen Lieferant verknüpft sind.

Für die damit verwandten Berichte gibt es ebenfalls neue Filtermöglichkeiten. Beim Bericht Risikomanagement > Risiko > Allgemein können Lieferanten aus den Strukturelementen ausgewählt werden und damit Risikobericht zu allen mit ihnen verknüpften Risiken generiert werden. Bei den Berichten zu Überprüfungen (Risikomanagement > Abweichungsanalyse, Risikomanagement > Konformität nach Überprüfungen und Auditmanagement > Überprüfungsprotokoll > Abweichungsanalyse) wurde eine neue Spalte eingeblendet, in der danach gefiltert werden kann, ob es sich um eine Lieferantenbewertung handelt.

Beim Anfordern von Fortschrittsmeldungen zu Maßnahmen stehen immer offene sowie häufig auch ausgesetzte Maßnahmen zur Verfügung. Damit man ausgesetzte Maßnahmen leichter herausfiltern kann, falls man für sie keine Statusmeldung anfordern oder gerade für sie den Fortschritt erheben möchte, sind Maßnahmen im Status „Ausgesetzt“ nun mit einem eigenen Icon gekennzeichnet. Alle ausgesetzten Maßnahmen zeigen jetzt ein orangenes Dreieck neben ihrem Anfragestatus.

Unter Datenschutz > Verarbeitungsregister wurde eine neue Ansicht implementiert: zusätzlich zu einer Auflistung der vorhandenen Verarbeitungstätigkeiten (VTs) (vorgefiltert auf aktuelle Versionen), findet man hier nun zusätzlich auch eine Darstellung in der die VTs zur VT-Verantwortlichen Organisationseinheit (intern) oder z.B. Kunden (extern) zugewiesen sind. Über diese Übersicht der VT-Verantwortlichen als Baumansicht kann man schneller die den Organisationseinheiten bzw. Externen zugewiesenen VTs sichten.

Zu jeder Organisationseinheit und jedem Externen im Datenschutz wird hier in Klammer angezeigt, wie viele aktuelle VTs ihr und den darunterliegenden Knoten zugewiesen sind. Klickt man auf eine Organisationseinheit oder einen Externen, so wird die Liste auch auf diese Auswahl beschränkt.

Man kann jederzeit in die gewohnte Listenansicht ohne Baumstruktur zurückwechseln.

Mehr zu den Verarbeitungstätigkeiten finden Sie hier.

Nicht mehr benötigte Datenkategorien können ab sofort als obsolet markiert werden. Sie werden damit schreibgeschützt und in der Übersicht ausgegraut und können nicht mehr in neuen Verarbeitungstätigkeiten (VTs) zugewiesen werden. Alle Unterkategorien, falls sie solche haben, werden ebenso obsolet markiert.

In den VTs, in denen diese Datenkategorien bereits genutzt werden, stehen sie natürlich weiterhin zur Verfügung. Ziel ist es, diese obsoleten Datenkategorien dann über die Zeit bei Aktualisierungen auszutauschen bzw. nicht versehentlich nochmals bei neuen VTs zu verwenden.

Ressourcen auf der neuen Modellsegment-Ebene Business Service Ebene stehen nun automatisch auch in Verarbeitungstätigkeiten (VTs) bei den Betriebsmitteln zur Auswahl. Zusätzlich kann man unter Datenschutz > Einstellungen auch manuell konfigurieren, Ressourcen welcher Modellsegmente als Betriebsmittel in der VT verwendet werden können sollen.

In der VT finden sich die Betriebsmittel in Schritt 6 „Weitere Angaben“. Dort können nun – auch von Practitionern – Elemente aller gewählten Modellsegmente selektiert werden.

Unter Datenschutz > Einstellungen kann man mit einer neuen Checkbox konfigurieren, ob im Schritt 2 der Verarbeitungstätigkeit (VT) zu den Betroffenenkategorien auch die rechtliche Verpflichtung erfasst werden soll. Ist dies aktiviert, kann man neben der Bezeichnung und der Rechtmäßigkeit der Verarbeitung auch die Rechtliche Verpflichtung in Form eines Norm-Mappings festhalten. D.h. man kann ein oder mehrere Paragrafen bzw. Artikel eines Gesetzes oder einer Norm mit der dokumentierten Rechtmäßigkeit der Verarbeitung verknüpfen.

Ist die Option aktiviert und ist die Rechtliche Verpflichtung ausgefüllt, dann wird sie auch im VT-Bericht und im DSFA-Bericht angedruckt.

Externe im Datenschutz können in verschiedenen Rollen, als VT-Verantwortlicher oder als Empfänger von Daten, mit Verarbeitungstätigkeiten (VTs) verknüpft sein. Um diese Verknüpfungen nicht nur auf Seite der VT zu sehen, sondern sie auch auf Seite des Externen schnell einsehen zu können, werden sie ab sofort beim Externen angezeigt. Hat man einen Externen geöffnet und ist dieser mit VTs verknüpft, dann wird dies als Linktext „X Verknüpfungen“ ganz oben angezeigt.

Ein Klick auf den Linktext öffnet ein Dialogfenster, in dem die VT aufgelistet werden und wann sie verknüpft wurden.

Die Importfunktion unter Administration > Datenimport wurde so erweitert, dass jetzt auch Stammdaten zu Lieferanten einfach und schnell per Excel importiert werden können. Dabei können neben Stammdaten wie Kürzel, Bezeichnung und einem etwaigen Ablaufdatum auch die Anschrift, der Kontakt und Teile der Lieferantenbewertung importiert werden. Lieferantenbenutzer müssen weiterhin manuell angelegt werden.

Eine Importvorlage für Lieferanten und weitere Details finden Sie hier.

Die Importfunktion unter Administration > Datenimport wurde weiters so erweitert, dass jetzt auch Maßnahmen einfach und schnell per Excel importiert oder aktualisiert werden können.

Eine Importvorlage für Maßnahmen und weitere Details finden Sie hier.

Eine zusätzliche Erweiterung der Importfunktion findet sich bei den Ressourcen: hier können nun optional RTO und RPO ebenfalls mit importiert werden. Sie können die Zeiten entweder in Stunden oder in Minuten angeben bzw. muss dies bereits bei der Konfiguration der zu importierenden Spalten entschieden werden.

Eine neue Version der Importvorlage für Ressourcen finden Sie hier.

Die in 6.1 bis 6.3 beschriebenen neuen Importfunktionen stehen auch in der REST API zur Verfügung.

Die folgenden neuen Normen sind mit diesem Update in HITGuard verfügbar:

• EN ISO 37001:2025 - Anti-bribery management systems — Requirements with guidance for use
• EN ISO 37301:2021 - Compliance management systems — Requirements with guidance for use
• EN ISO/IEC 27019:2024 - Information security, cybersecurity and privacy protection — Information security controls for the energy utility industry
• EN ISO/IEC 42001:2023 - Information technology — Artificial intelligence — Management system (ISO/IEC 42001:2023)
• EN ISO 13485:2021 - Medizinprodukte - Qualitätsmanagementsysteme - Anforderungen für regulatorische Zwecke (ISO 13485:2016); Deutsche Fassung EN ISO 13485:2016 + AC:2018 + A11:2021
• KDR-OG - Kirchliche Datenschutzregelung der Ordensgemeinschaft päpstlichen Rechts (KDR-OG)

Sie können diese Normen unter Administration > Standards und Normen importieren.

Der Standard EN ISO/IEC 27001:2022 erhält neue ausgehende Mappings zum Standard EN ISO/IEC 27019:2024.

Die Norm „NIS-2 IT-Act“ heißt jetzt mit kurzem Namen „NIS-2 DVO Anhang (IT-Act)“ und mit langem Namen „Anhang der Durchführungsverordnung (EU) 2024/2690 (NIS-2 IT-Act)“.