Risk, Governance & Compliance

Herausforderungen der IT-Strategie in agilen Organisationen

von Egle Köhler

 

Einführung

Die Bundesfinanzanstalt (BaFin) hat in ihrem letzten Rundschreiben 10/2017 für BAIT die Mindestanforderungen an die IT-Strategie konkretisiert und empfehlt den Geschäftsführern die Anforderungen zur strategischen Ausrichtung von IT-Systemen. Dafür sollte die gesamte IT-Infrastruktur von Vorstand und Aufsichtsrat einmal jährlich einer genauen Überprüfung unterzogen werden. 

Alter Wein in neuen Schläuchen? Das WpIG als Regulierungsrahmen für Wertpapierinstitute

von Rodica Blei und Claus Huth

Die Bundesregierung hat am 16.12.2020 den Entwurf eines Gesetzes zur Umsetzung der Richtlinie (EU) 2019/2034 über die Beaufsichtigung von Wertpapierinstituten (WpIG) beschlossen. Das Gesetz ist zwischenzeitlich vom Bundestag verabschiedet worden und am 26.06.2021 in Kraft getreten. 

ISO27001: Nach dem Audit ist vor dem Audit

Das Zertifizierungsaudit ist überstanden, vor einer Weile sind Report und Urkunde angekommen, die bestätigen, dass man ein funktionierendes Informationssicherheitsmanagement System besitzt (kurz „ISMS“). Nun lehnen sich viele zurück „endlich geschafft, nun können wir wieder arbeiten.“ Dieser vermeintlich harmlose Satz birgt allerdings jede Menge Sprengstoff in sich.

Das neue Gesetz zur Stärkung der Finanzmarktintegrität (Finanzmarktintegritätsstärkungsgesetz–FISG) – wirklich zielführend als vertrauensbildende Maßnahme?

Bundesfinanzminister Scholz will mit dem neuen Gesetz zur Stärkung der Finanzmarktintegrität (Finanzmarktintegritätsstärkungsgesetz–FISG) auf die Vorgänge beim insolventen Zahlungsdienstleister Wirecard reagieren und das verloren gegangene Vertrauen in die deutschen Finanzmärkte wiederherstellen.

Hierbei baut der Finanzminister im Kern auf „alt bewährte“ Arbeitsmittel - die Verschärfung von Sanktionen. 

ISACA Germany Chapter veröffentlicht Leitfaden zu IT-Compliance

Der ISACA ist der weltweit führende Berufsverband für die Themen IT-Revision und IT-Governance. Bekannt ist der ISACA vor allem durch sein international anerkanntes Framework COBIT.

Neben COBIT veröffentlichen auch die ISACA Landesverbände immer wieder interessante und praxisorientierte Leitfäden durch ihre Fachgruppen. Im Januar 2021 hat die Fachgruppe „IT-Compliance“ des ISACA Germany Chapters mit Hilfe des dpunkt.Verlags den Leitfaden „IT-Compliance – Grundlagen, Regelwerke, Umsetzung“ auf der Homepage veröffentlicht.

Branchenspezifische Sicherheitsstandards (B3S) für KRITIS-Sektoren veröffentlicht

Krankenhaus MonitorDer zuletzt durch das BSI freigegebene branchenspezifische Sicherheitsstandard betrifft den Sektor medizinische Versorgung (im Krankenhaus). Gemäß der Pressemitteilung vom 23.10.2019 des BSI hat dieses den Cyber-Sicherheitsstandard für Krankenhäuser von der Deutschen Krankenhausgesellschaft (DKG) anerkannt.

Laut der Ausführungen des BSI waren medizinische Einrichtungen und Krankenhäuser 2019 wiederholt durch IT-Sicherheitsvorfälle sowohl in den Fokus der Behörden als auch in die Presse geraten. Entsprechende Angreifer hatten hierbei weniger die Zerstörung oder Veränderung von Daten im Blick als vielmehr deren Verfügbarkeit und Aktualität. Nicht verfügbare Daten (Stichwort RANSOMWARE, vgl. z.B. diesen Artikel des Handelsblattes) können mitunter für die Unternehmen sehr kostspielig werden.  

Compliance Management - Eine Standortbestimmung

Pragmatisch betrachtet sollten umgesetzte Compliance Management Systembestandteile in ihren Ausführungen sowie ihrer Umsetzung in regelmäßigen Zeitabständen, schlechtesten Falls mindestens einmal im Geschäftsjahr, hinterfragt werden.

Als Basisverständnismodel hierfür eignet sich das so genannte „Three Line of Defense-Model“ (TLoD) welches aus dem Risikomanagement hervorgegangen ist und mittlerweile als gängige Methode angesehen wird. Das Modell dient im Wesentlichen dazu Risiken, die in einer Organisation oder einem Unternehmen auftreten können systematisch aufzuarbeiten. Das TLoD-Modell hat gegenüber anderen Modellen den wesentlichen Vorteil, dass es in Bezug auf Unternehmensgröße oder -struktur nicht gebunden ist oder an Komplexitäts- und damit durchgängige Umsetzungsgrenzen stößt.

Compliance Starthilfe für die Umsetzung der EBA Leitlinie 2019/02 zu Auslagerungen

Scrreenshot und Link zum downloadDie neue Leitlinie „EBA/GL/2019/02 zu Auslagerungen“ ist im Februar 2019 erschienen. Sie löst die bestehenden Richtlinien Committee of European Banking Supervisors (CEBS) zum Outsourcing vom 14. Dezember 2006 und die Empfehlungen der EBA zum Outsourcing an Cloud-Dienstleister ab. Die Leitlinie trat zum 30.09.2019 in Kraft und umfasst alle zu diesem Datum und danach geschlossenen, zur Prüfung und zur Änderung finalisierten externen Dienstleistungen. Darüber hinaus müssen bereits bestehende Auslagerungsvereinbarungen neu verifiziert und an die neuen Anforderungen angepasst werden. Je nach Einzelfall kann auf Basis der angegebenen Übergangsregelung eine Umsetzung mit der Deadline zum 31.12.2021 erfolgen.

Seiten