- Anzeigen -

Sicherheit informationstechnischer Systeme


Die Auswirkungen des IT-Sicherheitsgesetzes auf die Interne Revision
Betreiber sind auf die Einhaltung demnächst zu veröffentlichender Branchenstandards sowie der Erbringung eines regelmäßigen Nachweises über die getroffenen Maßnahmen verpflichtet

Von Michael Goldshteyn, Michael Adelmeyer

(19.01.16) - Die Sicherheit und der Schutz von IT-Systemen gewinnen in der heutigen Unternehmenslandschaft zunehmend an Bedeutung. Aus diesem Grund hat der Gesetzgeber das IT-Sicherheitsgesetz verabschiedet. Hierdurch soll eine signifikante Verbesserung der Sicherheit informationstechnischer Systeme herbeigeführt und Kritische Infrastrukturen besser vor Cyberangriffen geschützt werden. Nach einer Darstellung der Änderungen und ihrer kritischen Würdigung wird der Frage nachgegangen, welche Auswirkungen die Gesetzesnovelle auf die Unternehmen selbst und die Arbeit der Internen Revision entfaltet. Anschließend werden Handlungsempfehlungen ausgesprochen. Dieser Beitrag spiegelt die persönliche Auffassung der Autoren wider.

Der Deutsche Bundestag hat am 17. Juli 2015 das IT-Sicherheitsgesetz verabschiedet. Es soll Mindeststandards für die IT-Sicherheit setzen und hierdurch eine erhebliche Verbesserung der Sicherheit informationstechnischer Systeme herbeiführen. Um dieses Ziel zu erreichen, sind zahlreiche Prüfungs- und Meldepflichten bei Betreibern sog. "Kritischer Infrastrukturen" vorgesehen. Hierbei handelt es sich um Unternehmen aus den Branchen Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie dem Finanz- und Versicherungswesen. Sie müssen angemessene organisatorische und technische Vorkehrungen treffen, um Störungen der Verfügbarkeit, ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu vermeiden. Damit einhergehend sind die Betreiber auf die Einhaltung demnächst zu veröffentlichender Branchenstandards sowie der Erbringung eines regelmäßigen Nachweises über die getroffenen Maßnahmen verpflichtet. Sofern dabei sog. "erhebliche Störungen" der Systeme festgestellt werden, sind sie an das Bundesamt für Sicherheit in der Informationstechnik zu melden.

Dieser Beitrag aus der Zeitschrift für Interne Revision (ZIR) (Ausgabe 6, 2015, Seite 244 bis 255) wurde von der Redaktion von Compliance-Magazin.de gekürzt.

In voller Länge können Sie ihn und weitere hier nicht veröffentliche Artikel im ZIR lesen.

Zeitschrift Interne Revision - Fachzeitschrift für Wissenschaft und Praxis

Hier geht's zur Kurzbeschreibung der Zeitschrift

Hier geht's zum Probe-Abo
Hier geht's zum Normal-Abo

Hier geht's zum pdf-Bestellformular (Normal-Abo) [71 KB]
Hier geht's zum pdf-Bestellformular (Probe-Abo) [70 KB]

Hier geht's zum Word-Bestellformular (Normal-Abo) [48 KB]
Hier geht's zum Word-Bestellformular (Probe-Abo) [45 KB]

- Anzeigen -




Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Im Überblick

Zeitschrift Interne Revision (ZIR)

  • Internen Revision und Betriebsratsarbeit

    Die in den Internationalen Grundlagen für die berufliche Praxis der Internen Revision vom IIA und den angeschlossenen nationalen Berufsverbänden erarbeitete Definition der Internen Revision spannt ein weites Feld für die Aufgaben einer Internen Revision. Für fast alle Funktionen und Prozesse eines Unternehmens besteht Einigkeit bei den für die Interne Revision Verantwortlichen darüber, dass diese Bestandteil des Audit Universe und damit risikoorientiert und regelmäßig zu prüfen sind. Demgegenüber gibt es ein differenziertes Bild über die Möglichkeiten, Restriktionen und Notwendigkeiten, den Betriebsrat und den Betriebsratsaufwand als sinnvolles und notwendiges Prüfungsobjekt zu betrachten. Basierend auf den Prüfungserfahrungen aus dem DIIR-Arbeitskreis "Revision Personalmanagement und interne Dienstleistungen" zeigt dieser Artikel auf, wie Prüfungen des Betriebsratsaufwands erfolgreich durchgeführt werden können. Durch die Referenzierung auf das Betriebsverfassungsgesetz (BetrVG) stellt der Artikel auf die rechtliche Situation in Deutschland zum Zeitpunkt der Veröffentlichung ab.

  • Interne Revisoren und Interessenkonflikte

    Objektivität und Unabhängigkeit sind nach den nationalen und internationalen Berufsstandards zentrale Anforderungen an eine effektive Interne Revisionsfunktion. Aufgrund aufbauorganisatorischer Rahmenbedingungen sind Interne Revisoren diversen Interessen ausgesetzt, die zu einer Beeinträchtigung der Effektivität der Internen Revisionsfunktion führen können. In der internationalen Prüfungsliteratur sind Indizien vorzufinden, die auf eine Beeinträchtigung schließen lassen. Noch wenig erforscht sind jedoch Einflüsse, die die Objektivität und sogar die Unabhängigkeit der Internen Revision beeinträchtigen können. Auf Basis einer Fragebogenstudie unter 400 Internen Revisoren werden im Rahmen dieses Beitrags mögliche Beeinträchtigungen der Objektivität und Unabhängigkeit aufgezeigt.

  • Entwicklung einer angemessenen Risikokultur

    Am 25. Januar 2017 veröffentlichte die BaFin die Mindestanforderungen an die Geschäftsorganisation von Versicherungsunternehmen (MaGo) in der Form eines Rundschreibens (Rundschreiben 2/2017). Es ersetzt verschiedene Mindestanforderungen und konkretisiert das im Jahr 2016 reformierte Versicherungsaufsichtsgesetz (VAG) und die Delegierte Verordnung 2015/35 (DVO) zur Solvency-II-Richtlinie. Für Interne Revisionen in Versicherungsunternehmen ergibt sich mit den MaGo eine neue, zentrale Grundlage ihrer Tätigkeiten. In den MaGo ist dabei zum einen die Rolle der Internen Revision als eine von vier Schlüsselfunktionen geregelt. Zum anderen sind die MaGo die neue Grundlage für Prüfungshandlungen im Kontext der Geschäftsorganisation und des Risikomanagementsystems.

  • Karriere in der Internen Revision

    Obwohl die Bedeutung der Internen Revision im Rahmen der Corporate-Governance-Diskussion in den letzten Jahren zugenommen hat, ist bislang die Frage, welche Faktoren das Gehalt der Internen Revision beeinflussen, nur wenig erforscht. Aber genau diese Frage ist für beide Seiten des Revisions-Marktes von Bedeutung: Einerseits für die Nachfrager (zum Beispiel Geschäftsführungen, Vorstände, Aufsichtsräte), um die bestmöglichen Talente zu einem angemessenen Preis-Leistungs-Verhältnis anzustellen, aber andererseits auch für die Anbieter von Revisionsleistungen, also Revisoren, zur Realisierung möglichst hoher Gehälter. Um Antworten und Erklärungsansätze zu den Einflussfaktoren zu finden, wurden aktuelle Studien einbezogen und Datensätze von Revisionspositionen des Webportals Gehalt.de ausgewertet. Hierbei ergaben sich Hinweise auf eine Reihe von Einflussfaktoren auf das Revisorengehalt wie beispielsweise Führungsverantwortung, Berufszertifikate (CIA) und ein starker geografischer Einfluss durch ein West-Ost-Gefälle in Deutschland.

  • Revisionsprüfung & Cloud Computing

    Mit diesem Beitrag stellt die Projektgruppe "d!nternal audit - Digitalisierung und Interne Revision", die sich Anfang 2017 im DIIR zur Erarbeitung des Themas Industrie 4.0/Digitalisierung gegründet hat, ausgewählte Revisionsansätze zur Prüfung von Cloud Computing vor. Das NIST (National Institute of Standards and Technology) definiert Cloud Computing pregnant wie folgt: "Hinter dem Begriff Cloud Computing steht ein Modell, das es erlaubt, bei Bedarf, jederzeit und überall bequem über ein Netz auf einen geteilten Pool von konfigurierbaren Rechnerressourcen (zum Beispiel Netze, Server, Speichersysteme, Anwendungen und Dienste) zuzugreifen, die schnell und mit minimalem Managementaufwand oder geringer Serviceprovider-Interaktion zur Verfügung gestellt werden können".