Die IT-Compliance, also die Einhaltung gesetzlicher Vorschriften und interner Richtlinien im Bereich Informations- und Kommunikationstechnologie, ist für Unternehmen aller Branchen sehr wichtig. Dies dient nicht nur der Vermeidung von Strafen, sondern auch dem Gewinnen und Erhalten des Vertrauens der Kundschaft.

Steigende Anforderungen an Unternehmen aller Branchen

Die Anforderungen an die IT-Compliance haben in den letzten Jahren deutlich zugenommen. Die Datenschutz-Grundverordnung (DSGVO) ist dabei wohl die bekannteste Regelung, die seit 2018 von allen EU-Unternehmen befolgt werden muss. Zusätzlich existieren branchenspezifische Vorgaben wie MARisk (seit 2005) und XAIT (seit 2017) im Finanzumfeld sowie die KRITIS-Verordnung für kritische Infrastrukturen seit 2016. Die GoBD, Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme, sind seit 2015 branchenübergreifend relevant. Spezifische und strenge Vorgaben aus weiteren Sektoren, z.B. Gesundheit, Pharma oder Chemie sind ebenfalls zu beachten.

Viele Unternehmen, insbesondere im Mittelstand, sehen sich bereits an den Grenzen ihrer Möglichkeiten, doch die Anforderungen nehmen weiter zu:

• Ab dem 17. Oktober 2024 wird NIS2, die neue Richtlinie zur Netzwerk- und Informationssicherheit in Europa, für zahlreiche Branchen Besonderes Augenmerk wird auf die Sicherheit der Lieferkette gelegt.
• Bis zum 17. Oktober 2025 wird DORA, der "Digital Operational Resilience Act", für die Finanzbranche und deren Lieferkette Der Fokus liegt auf der Widerstandsfähigkeit der IT-Landschaft im Finanzumfeld, ähnlich wie bei NIS 2.
• Der Cyber Resilience Act (CRA) steht bereits am Horizont. Diese Regelungen werden alle Unternehmen betreffen, die Produkte mit digitalen Elementen herstellen, vertreiben oder importieren. Der CRA soll am 1. August 2024 in Kraft treten und spätestens 24 Monate später anwendbar sein. Auch hier wird die Lieferkette besonders beachtet.
  
  

Auswirkungen auch auf nicht regulierte Unternehmen

Es ist absehbar, dass viele Unternehmen der europäischen Wirtschaft von den neuen Anforderungen zur Cybersicherheit direkt betroffen sein werden.
Allein in Deutschland geht man derzeit von rund 30.000 Firmen aus, welche die NIS2-Richtlinie umsetzen werden müssen.

Doch auch nicht direkt von den neuen Regularien betroffene Firmen werden mittelfristig in ihre Informationssicherheit investieren müssen, nämlich die jeweiligen Zulieferer und Dienstleister der direkt betroffenen Unternehmen.

Derzeit wird an der genauen Ausprägung zur Informationssicherheit in der Lieferkette von NIS2 im Bundesministerium des Innern und für Heimat zwar noch gearbeitet (der Gesetzestext soll im März 2024 verkündet werden), eine Auswirkung auf die Lieferanten steht jedoch außer Frage.

Lösungsansätze zur Bewältigung der Last an Regulierungen im IT-Umfeld

Für betroffene Unternehmen ist es entscheidend, sich mit den bestehenden und zukünftigen Regularien auseinanderzusetzen, um drohende Strafen zu vermeiden.

Als Erstmaßnahme empfehlen wir Unternehmen, einen internen IT Compliance Check durchzuführen oder externe Experten zu beauftragen. Dies dient dazu festzustellen, welche Anforderungen aktuell oder zukünftig relevant sind und welche Prozesse oder Unterlagen bereits zur Erfüllung der Auflagen existieren.

Oftmals zeigt sich dabei, dass bereits bestehende Maßnahmen teilweise oder vollständig die neuen Anforderungen abdecken. Unternehmen mit Informationssicherheitsmanagementsystemen haben meist schon Vorkehrungen getroffen, auf denen man aufbauen kann. In Einzelfällen sind auch kostspielige Übererfüllungen von regulatorischen Vorgaben festzustellen, welche in diesem Zusammenhang dann angepasst werden können.

Um langfristig mit IT-Compliance-Anforderungen umzugehen, raten wir zur Implementierung eines IT-Compliance-Managements. Dieser Prozess ermöglicht regelmäßige Überprüfungen des Erfüllungsgrades und die Konsolidierung von Anforderungen. Das Ziel sollte sein, einen echten Mehrwert aus der Erfüllung der Anforderungen zur Informationssicherheit zu ziehen, bei einer gleichzeitigen Optimierung der Kosten.

Wir bieten Ihnen gerne einen Compliance Check an, um Ihr Unternehmen bei der Einhaltung von IT-Compliance-Anforderungen zu unterstützen. Unsere Beratung erstreckt sich auch auf den Aufbau eines nachhaltigen Compliance-Managements, um die Aufwände für die IT-Compliance langfristig überschaubar zu halten. Sprechen Sie uns gerne an.