Managementberatung
IT-Governance, -Risk, -Compliance

Häufig gestellte Fragen und Antworten

• Wie identifiziere und bewerte ich meine Unternehmens- und IT-Risiken?

  Bedrohungen und Schwachstellen werden mittels strukturierter Risikoanalysen auf Basis erprobter Methodenstandards identifiziert. Im Rahmen einer Analyse der für Ihr Unternehmen geltenden regulatorischen Anforderungen bildet der mögliche Schaden bei Nicht-Einhaltung die Basis für die Risikoeinschätzung. Daraus resultierende organisationsindividuelle Risiken werden erfasst und bewertet. Eine Risikomatrix liefert die Übersicht über die Kritikalität aller ermittelten Risiken.

• Welche regulatorischen Vorgaben und Gesetze gelten für mein Unternehmen?

  Die Vielzahl von regulatorischen Anforderungen und branchenspezifischen Rahmenbedingungen erfordert aktuelle Kenntnisse und fachliche Qualifikationen. Für die Interpretation und Auslegung dieser Regeln im jeweiligen organisationsspezifischen Kontext ist viel Praxiserfahrung erforderlich.

  Wir liefern Ihnen einen Überblick über die für Sie relevanten regulatorischen Vorgaben und unterstützen Sie bei einer reibungslosen und angemessenen Umsetzung.

• Welche branchenspezifischen Rahmenbedingungen muss mein Unternehmen erfüllen?

  Organisationen unterliegen je nach Anwendungsfällen oder Branchen spezifischen Anforderungen:

  • Bei der Verarbeitung von personenbezogenen Daten müssen die Europäische Datenschutzgrundverordnung (EU-DSGVO) sowie die nationalen Datenschutzgesetze berücksichtigt werden.
  • Bei der Verarbeitung von Kreditkartendaten müssen die internationalen IT-Sicherheitsanforderungen gemäß PCI-DSS umgesetzt werden.
  • Banken und Versicherungen müssen die Anforderungen der Bundesanstalt für Finanzdienstleistungen (BaFin) in Form der Mindestanforderungen an das Risikomanagement (MaRisk) sowie die bank- bzw. versicherungsaufsichtlichen Anforderungen an die IT (BAIT/VAIT) umsetzen.
  • Energieversorgungsunternehmen mit eigenem Netzbetrieb müssen gemäß §11a Energiewirtschaftsgesetz (EnWG) ein Managementsystem für Informationssicherheit betreiben.
  • Organisationen im Bereich der kritischen Infrastrukturen müssen Anforderungen aus dem IT-Sicherheitsgesetz (IT-SiG) und der KRITIS-Verordnung (KRITISV) umsetzen.
  • Unternehmen in der Automobilbranche und deren Zulieferer müssen sich mit Anforderungen im Rahmen einer TISAX-Zertfizierung auseinandersetzen.
  • Krankenhäuser, Labore und Arztpraxen müssen Anforderungen an die Informations- und IT-Sicherheit gemäß §75b/§75c SGB V umsetzen.
• Welche Folgen kann eine Nichteinhaltung von Vorgaben (non-Compliance) nach sich ziehen?

  Eine Nicht-Einhaltung der Vorgaben kann unter anderem zur Haftung der Unternehmensführung (mit Wirkung auf das Privatvermögen), zum Vorwurf des unlauteren Wettbewerbs, zu Buß- oder Strafgeldern, zum Ausschluss von Ausschreibungen, zum Lizenzentzug, zu Einschränkungen in Lieferketten oder zu kompletten Liefersperren führen.

• Was kostet mich eine Nicht-Konformität im Vergleich zur Umsetzung von Maßnahmen?

  Die Bewertung ist von vielen Faktoren abhängig. Neben Strafzahlungen und unmittelbar entstehenden finanziellen Schäden sowie Kosten zur Aufarbeitung der Compliance-Verstöße können die Reputation und bestehende Geschäftsbeziehungen gefährdet werden.

  Gleichwohl kann eine unternehmensindividuelle Risikobewertung (etwa eine Datenschutz-Folgeabschätzung) sowie Kosten- und Nutzenanalyse bezüglich der Umsetzung / Nicht-Umsetzung zu einer bewussten Entscheidung der Non-Konformität führen.