Risikomanagement
Das Lieferkettensorgfaltspflichtengesetz – (noch) kein Thema für KMU?
Alter Wein in neuen Schläuchen? Das WpIG als Regulierungsrahmen für Wertpapierinstitute
Die Bundesregierung hat am 16.12.2020 den Entwurf eines Gesetzes zur Umsetzung der Richtlinie (EU) 2019/2034 über die Beaufsichtigung von Wertpapierinstituten (WpIG) beschlossen. Das Gesetz ist zwischenzeitlich vom Bundestag verabschiedet worden und am 26.06.2021 in Kraft getreten. Erneut werden mit diesem Gesetz europäische Vorgaben zur Regulierung von Finanzinstituten in nationales Recht umgesetzt. Das WpIG gilt dabei für sogenannte…
ISACA Germany Chapter veröffentlicht Leitfaden zu IT-Compliance
Der ISACA ist der weltweit führende Berufsverband für die Themen IT-Revision und IT-Governance. Bekannt ist der ISACA vor allem durch sein international anerkanntes Framework COBIT. Neben COBIT veröffentlichen auch die ISACA Landesverbände immer wieder interessante und praxisorientierte Leitfäden durch ihre Fachgruppen. Im Januar 2021 hat die Fachgruppe „IT-Compliance“ des ISACA Germany Chapters mit Hilfe des…
Branchenspezifische Sicherheitsstandards (B3S) für KRITIS-Sektoren veröffentlicht
Compliance Management – Eine Standortbestimmung
SSAE 18 ersetzt SSAE 16
Die Prüfung des internen Kontrollsystems bei Dienstleistern nach dem Standard SSAE 18 Hintergrund Das Outsourcing von Geschäftsprozessen oder Teilen davon ist seit vielen Jahren ein normaler Vorgang und ermöglicht Unternehmen, sich auf Kernaufgaben und -kompetenzen zu konzentrieren. Unabhängig davon, welche konkrete Leistung in einer Outsourcing-Lösung realisiert wird, ist meistens ein mittelbarer oder unmittelbarer Einfluss auf…
EU-DSGVO: Das neue Datenschutzrecht – Wissenswertes zusammengefasst
Die neue EU-Datenschutzgrundverordnung (EU-DSGVO) ist zum 25.05.2016 in Kraft getreten und wird zum 25.05.2018 wirksam. Damit wird sie ab dem 25.05.2018 die bereits seit 1995 geltende EU-Datenschutzrichtlinie Richtlinie 95/46/EG und das Bundesdatenschutzgesetz (BDSG) mit dem Ziel ablösen, das Datenschutzniveau innerhalb der EU anzugleichen und die Rechte der Betroffenen stärker zu schützen. Verglichen mit anderen Ländern…
KRITIS – was bedeutet das für uns?
KRITIS – Ist mein Unternehmen betroffen und was heißt das? Früher konnte jeder Betreiber selber festlegen, ob er eine kritische Dienstleistung erbringt oder nicht. Mit der KRITIS-Verordnung (PDF) und dem IT-Sicherheitsgesetz wird versucht, eine einheitliche Basis zu schaffen, um einen Überblick über die aktuelle Lage von kritischen Infrastrukturen zu bekommen, schnell auf Probleme reagieren zu…
Cloud Computing: Service-Level Agreements, Zertifikate und Auditierung
Auswirkungen auf das IKS beim Einsatz von Cloud Computing: Teil C – Compliance
Datenschutz Wie in Teil 3: „Rechtliche Aspekte beim Cloud Computing“ beschrieben, sind zwei wesentliche datenschutzrechtliche Anforderungen zu beachten. Die Anforderungen aus § 11 Abs. 2 BDSG sind vertraglich umzusetzen und es sind Vorkehrungen nach § 9 BDSG zu treffen, wenn die Auftragserteilung innerhalb der EU oder des EWR stattfindet. Bei einer Auftragserteilung in Drittstaaten ist…
Auswirkungen auf das IKS beim Einsatz von Cloud Computing: Teil B – Cloud-spezifische Risiken
Fehlende Transparenz im Hinblick auf die Datenhaltung und mangelhafte Kontrollmöglichkeiten Die aus diesem Punkt entstehenden Risiken können über Zertifizierungen gemindert werden. Im Folgenden werden wesentliche Zertifizierungsmöglichkeiten beschrieben. Im konkreten Fall ist zu prüfen und vertraglich zu vereinbaren, ob bei einem Cloud-Anbieter zusätzliche, vom auslagernden Unternehmen selbst durchgeführte Audits vorgenommen werden können (mehr Informationen dazu im…
Auswirkungen auf das IKS beim Einsatz von Cloud Computing: Teil A – Allgemeine Risiken
Abhängig vom gewählten Implementierungsmodell ergibt sich beim Einsatz von Cloud-Computing ein Kontrollverlust. Sicherheitsmaßnahmen des Internen Kontrollsystems liegen zumindest teilweise im Hoheitsbereich des Dienstleisters1. Aus diesem Grund lassen sich aus Anwendersicht innerhalb eines IKS nicht oder nur sehr schwierig alle Risikobereiche einer Cloud-Umgebung abdecken. Abbildung 1: Einflussbereiche nach Cloud-Modell Quelle: Eigene Darstellung in Anlehnung Loczewski, Thomas,…
Welche Risiken bringt die Nutzung von Cloud Computing für Unternehmen mit sich?
Cloud Computing wird von vielen potentiellen Nutzern als risikobehaftet empfunden, vor allen Dingen, was die Speicherung von Daten anbelangt. Diese Sicherheitsbedenken stellen derzeit einen Hauptgrund für die Zurückhaltung vieler Unternehmen gegenüber Cloud Computing dar1. Doch mit welchen Risiken wird ein Unternehmen konfrontiert, wenn es Cloud Computing nutzen möchte? Allgemeine Risiken Bei Cloud-Computing-Systemen handelt es sich…
Rechtliche Aspekte beim Cloud Computing
Welche Vorteile kann die Nutzung von Cloud Computing für Unternehmen mit sich bringen?
Cloud Computing ist derzeit ein allgegenwärtiges Thema in der Informationstechnologie1. Der Anteil der Cloud-Befürworter steigt stetig. Vom Jahr 2011 bis zum Jahr 2015 ist die Anzahl der Unternehmen, die Cloud Computing nutzen, in Summe um 26% von 28% auf insgesamt 54% gestiegen. Bei Unternehmen mit 100 bis 1.999 Mitarbeitern nutzen bereits 62% Cloud Computing, bei…