Seite wählen

IT Compliance

Bankenaufsichtliche Anforderungen an die IT (BAIT)

Die aus der MaRisk resultierenden Vorgaben der BAIT müssen Kredit- und Finanzdienstleistungsinstitute gesondert beachten.

Ausbildungen und Seminare

Ausbildungen mit Personenzertifikat und Seminare zum beim Aufbau sowie der kontinuierlichen Aufrechterhaltung Ihres erforderlichen Know-hows.

Dokumente zu Managementsystemen

Erwerben Sie Dokumente zur Erstellung erforderlicher Dokumentationen zur Einhaltung geforderter Sorgfalts- und Verkehrssicherungs- sowie Rechenschaftspflichten.

Workshops

Die Durchführung eines Workshops bietet den großen Vorteil die branchen- und zielgruppenspezifischen Anforderungen detailliert vor Ort zu betrachten.

Kurzberatung

Eine Kurzberatung bietet die Möglichkeit, bestehende Prozesse sowie Systematiken, Strukturen sowie Konzepte und Verfahrensweisen zu überprüfen und unmittelbar vor Ort eine zielorientierte Unterstützung zu erhalten.

Awareness-Veranstaltung

Um den rechtlichen und organisationsspezifischen Anforderungen gerecht werden zu können, ist eine regelmäßige Information und Sensibilisierung aller Beschäftigten unerlässlich.

Audit der Informationssicherheit

Unser systematisches Vorgehen bereitet Ihre Organisation auf die Einhaltung entsprechender Normen oder Rechtsvorschriften vor.

Zertifizierung

Wir unterstützten Sie bei der Aufnahme des IST-Zustand in dem zu zertifizierenden Bereich zu erlangen und begleiten Sie durch den gesamten Zertifizierungsprozess hindurch bis zum Erwerb des Zertifikats.

IT Compliance beschreibt die Einhaltung der gesetzlichen, unternehmensinternen und vertraglichen Regelungen beim Betrieb IT-gestützter Geschäfts- und Produktionsprozesse. Aufgrund der Abhängigkeiten und Wechselwirkungen mit den Bereichen Risikomanagement und Governance bildet sich der Begriff „GRC“ als fester Bestandteil einer risikoorientierten Organisationsbetrachtung sowie eines risikoorientierten Vorgehens bei der Umsetzung von Maßnahmen zur Sicherstellung einer angemessenen Informationssicherheit.

Die Anforderungen zur Umsetzung von Maßnahmen im Bereich der IT Compliance erwirken insbesondere aus den für eine Organisation einzuhaltenden Rechtsvorschriften wie dem Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (sog. IT-Sicherheitsgesetz), der EU-Datenschutz-Grundverordnung (DSGVO) i. V. m. dem Bundesdatenschutzgesetz (BDSG) oder den Mindestanforderungen an das Risikomanagement für Kreditinstitute und Finanzdienstleistungsinstitute (MaRisk BA) i. V. m. den Bankenaufsichtlichen Anforderungen an die IT (BAIT).

Einfach gesagt gilt es die eigenen organisationsspezifischen Geschäfts- und Produktionsprozesse zu definieren, um rechtliche Einwirkungen auf den IT-gestützten Betrieb dieser Prozesse eruieren und unter Einhaltung sämtlicher Rechtseinwirkungen betreiben zu können.

Die fehlende Beachtung rechtlicher Vorgaben kann zu Schadensszenarien wie die Versendung infizierter E-Mail-Anhänge (Spamming) oder dem Verlust von (unverschlüsselten) Datenträgern oder mobilen Endgeräten führen oder diese begünstigen. Selbst Strafbarkeitshandlungen, wie die Verletzung des Fernmeldegeheimnisses durch Einsicht oder Löschen von privaten Daten oder das Offenbaren von persönlichen Informationen sog. Berufsgeheimnisträger, wie Ärzte, Steuerberater oder Anwälte, die der Schweigepflicht unterliegen, sind unter gegebenen Umständen sehr realistisch.

Des Weiteren erwachsen aus der geforderten Einhaltung Ihrer Rechenschaftspflichten verpflichtende Nachweispflichten, die beispielsweise eine aktuelle transparente Dokumentation des Risikofrüherkennungssystems, die Umsetzung der Aufbewahrungspflicht gemäß Handelsgesetzbuch (HGB) oder der Abgabenordnung (AO) ebenso verlangen, wie die Umsetzung datenschutzrechtlicher Dokumentationen zur Verarbeitung personenbezogener Daten, wie das Führen eines Verzeichnis der Verarbeitungstätigkeiten, den Verträgen zur Auftragsverarbeitung oder die Dokumentation der Durchführung geforderter Datenschutzfolgenabschätzungen.

Abschließend sei auf die Kontrolle des Vertragswesens zur Einhaltung Ihrer Compliance-Anforderungen hingewiesen. Verträge müssen auf die mögliche Einhaltung definierter Sicherheitsmaßnahmen hin geprüft werden. Oftmals wird die verschlüsselte Übertragung von Daten schon im Rahmen des Abschlusses von Geheimhaltungsvereinbarungen vertraglich zugesichert, obwohl beispielsweise eine verschlüsselte E-Mail-Übertragung nicht umgesetzt wird. Andererseits ist auch der Abschluss sogenannter Service Level Agreements (SLA) als Service Provider unter Gesichtspunkten der Einhaltung der Compliance zu beachten, wie die Einhaltung der zugesagten Leistungen im geforderten Service Level und deren Reporting.

Haben Sie Fragen zum Thema oder benötigen Sie Unterstützung bei der Umsetzung eines Projekts? Dann freuen wir uns auf Ihren Kontakt.