- Anzeigen -

Sicherheit informationstechnischer Systeme


Die Auswirkungen des IT-Sicherheitsgesetzes auf die Interne Revision
Betreiber sind auf die Einhaltung demnächst zu veröffentlichender Branchenstandards sowie der Erbringung eines regelmäßigen Nachweises über die getroffenen Maßnahmen verpflichtet

Von Michael Goldshteyn, Michael Adelmeyer

(19.01.16) - Die Sicherheit und der Schutz von IT-Systemen gewinnen in der heutigen Unternehmenslandschaft zunehmend an Bedeutung. Aus diesem Grund hat der Gesetzgeber das IT-Sicherheitsgesetz verabschiedet. Hierdurch soll eine signifikante Verbesserung der Sicherheit informationstechnischer Systeme herbeigeführt und Kritische Infrastrukturen besser vor Cyberangriffen geschützt werden. Nach einer Darstellung der Änderungen und ihrer kritischen Würdigung wird der Frage nachgegangen, welche Auswirkungen die Gesetzesnovelle auf die Unternehmen selbst und die Arbeit der Internen Revision entfaltet. Anschließend werden Handlungsempfehlungen ausgesprochen. Dieser Beitrag spiegelt die persönliche Auffassung der Autoren wider.

Der Deutsche Bundestag hat am 17. Juli 2015 das IT-Sicherheitsgesetz verabschiedet. Es soll Mindeststandards für die IT-Sicherheit setzen und hierdurch eine erhebliche Verbesserung der Sicherheit informationstechnischer Systeme herbeiführen. Um dieses Ziel zu erreichen, sind zahlreiche Prüfungs- und Meldepflichten bei Betreibern sog. "Kritischer Infrastrukturen" vorgesehen. Hierbei handelt es sich um Unternehmen aus den Branchen Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie dem Finanz- und Versicherungswesen. Sie müssen angemessene organisatorische und technische Vorkehrungen treffen, um Störungen der Verfügbarkeit, ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu vermeiden. Damit einhergehend sind die Betreiber auf die Einhaltung demnächst zu veröffentlichender Branchenstandards sowie der Erbringung eines regelmäßigen Nachweises über die getroffenen Maßnahmen verpflichtet. Sofern dabei sog. "erhebliche Störungen" der Systeme festgestellt werden, sind sie an das Bundesamt für Sicherheit in der Informationstechnik zu melden.

Dieser Beitrag aus der Zeitschrift für Interne Revision (ZIR) (Ausgabe 6, 2015, Seite 244 bis 255) wurde von der Redaktion von Compliance-Magazin.de gekürzt.

In voller Länge können Sie ihn und weitere hier nicht veröffentliche Artikel im ZIR lesen.

Zeitschrift Interne Revision - Fachzeitschrift für Wissenschaft und Praxis

Hier geht's zur Kurzbeschreibung der Zeitschrift

Hier geht's zum Probe-Abo
Hier geht's zum Normal-Abo

Hier geht's zum pdf-Bestellformular (Normal-Abo) [71 KB]
Hier geht's zum pdf-Bestellformular (Probe-Abo) [70 KB]

Hier geht's zum Word-Bestellformular (Normal-Abo) [48 KB]
Hier geht's zum Word-Bestellformular (Probe-Abo) [45 KB]

- Anzeigen -




Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Im Überblick

Zeitschrift Interne Revision (ZIR)

  • Interne Revision & Compliance

    Im Rahmen einer Akquisition können aus unentdeckten Compliance-Risiken hohe finanzielle und Reputationsschäden für das akquirierende Unternehmen entstehen. Aus diesem Grund führen Unternehmen Due Diligence-Prüfungen, speziell mit Fokus auf Compliance, durch. Die reine Due Diligence reicht jedoch oftmals nicht aus, um alle Risiken zu erkennen und zu mitigieren. Die Interne Revision kann als "Dritte Verteidigungslinie" hier einen wichtigen Beitrag leisten. Im Rahmen dieses Artikels werden Indikatoren ("Red Flags") zur Identifikation und Prüfung entsprechender Risiken durch die Interne Revision vorgestellt.

  • Quality Assessment des DIIR

    Die gesetzliche Entwicklung der vergangenen Jahre zeigt, dass eine wirksame Interne Revision immer wichtiger für Unternehmen sowie deren Geschäftsführung / Vorstandsmitglieder wird. Gemäß internationalem IIA-Standard 1312 besteht für Interne Revisionen die Pflicht, mindestens einmal in fünf Jahren ein externes Quality Assessment durchzuführen. Der Bereich Governance & Assurance Services der KPMG AG Wirtschaftsprüfungsgesellschaft führt jährlich zahlreiche Quality Assessments unterschiedlicher Interner Revisionen durch. Der nachfolgende Artikel gibt neben einer Einführung zu den Inhalten von Quality Assessments auch einen Überblick über typische Empfehlungen und Feststellungen aus durchgeführten Quality Assessments.

  • Checkliste für eine Systemprüfung

    Im ersten Teil des Artikels wurden die Grundlagen der Abgrenzungsrechnung am Beispiel von Universitätsklinika aufgezeigt und die Trennungs- von der Transparenzrechnung abgegrenzt. Im vorliegenden zweiten Teil werden Möglichkeiten für Prüfungsansätze der Internen Revision erörtert. Eine beispielhafte Checkliste schließt sich an. Die dargestellten Aspekte können auf andere Beihilfe empfangende Einrichtungen übertragen werden.

  • Wirtschaftskriminalität wird im DIIR

    Das Thema Wirtschaftskriminalität wird im DIIR bereits seit über 40 Jahren in einem speziellen, branchenübergreifenden Arbeitskreis behandelt. Im Jahr 1996 fand eine Reorganisation bzw. Neugründung des Arbeitskreises mit zehn neuen Mitgliedern aus Finanzdienstleistungsinstituten statt. Der Arbeitskreis erstellte zunächst einen Ehren- und Verhaltenskodex, der Mitgliedsinstituten als Leitlinie an die Hand gegeben werden konnte. Zu der damaligen Zeit ein absolutes Novum.

  • Beurteilung des Internen Revisionssystems

    Das DIIR-Deutsches Institut für Interne Revision e. V. (DIIR) und das Institut der Wirtschaftsprüfer in Deutschland e. V. (IDW) haben gemeinschaftlich einen Standard zur Prüfung von Internen Revisionssystemen erarbeitet. Das Ziel der Zusammenarbeit war es, einen inhaltlich weitestgehend gleichlautenden Standard zur Anwendung durch den Berufsstand der Internen Revision und der Wirtschaftsprüfer herauszugeben, um einheitliche Anforderungen an die Einrichtung und die Beurteilung eines Internen Revisionssystems sicherzustellen.