Compliance

Wir beraten die für Sie passenden Standards, Normen & Einhaltung der Gesetze inklusive Einführung

Prüfungen, Dokumenten-Baukästen, Smarte Tools, Trainings machen Sie in 3-6 Monaten „Audit und NIS2 ready“

COMPLIANCE STEHT FÜR KONFORMITÄT –
die Frage ist natürlich mit welchem Sachverhalt man konform sein oder nach welcher “Norm” man konform operieren will?

Bei Gesetzen stellt sich die Fragen nicht nach dem “Wollen” – auch deswegen sind folgenden Aufstellungen von Gesetzen, Standards und Normen inklusive Vergleiche und Aufwendungen “konform” zu werden sicher eine gute Planungsgrundlage für ihr immer notwendiges ISMS.

Auch eine Cyber Versicherung erfordert die Erfüllung eines Subsets der in den Normen und Standards genannten Anforderungen.

Überblick über Gesetze mit Meldepflichten und Bußgeldern:

NIS2 (EU-Gesetz 2024)

Abzudecken mit Maßnahmen aus einem ISMS nach dem BSI-IT-Grundschutz, ISO 27000, TISAX oder VdS 10000.

Mehr erfahren

DSGVO (Gesetz 2015)

Umgang mit personenbezogenen Daten, Abzudecken mit z.B. einem AVV (Auftragsverarbeitungsvertrag) mit Dritten, Etablierung eines Datenschutzbeauftragten (DSB) und internen Leitinien/Richtlinien in einem ISMS

Normen und Standards (zertifizierbar, alle benötigen ein ISMS oder ein äquivalentes QMS):

ISO 27000

IT-Sicherheitsstandard, ca. 800 Security Controls

VDS 10000

„Leichtgewichtige ISO 27000“ für den KMU-Sektor, Gute “Kann/Muss Anforderungen” Aufteilung, circa 100 Security Controls

ISO 13485

Qualitätsnorm in der Erstellung eines medizinischen Produktes

Normen und Standards müssen nicht zwangsweise auditiert werden – eine externe Kontrolle ist trotzdem sinnvoll.

Leitlinien:

BSI-IT-Grundschutz

sehr ähnlich der ISO 27000 mit 5.000 Seiten

BSI-IT-Grundschutz-Kompendium

wie der Grundschutz nur kürzer – 800 Seiten – für KMU

BSI-IT-Basis-Absicherung

96 Seiten, Sehr leichtgewichtiger BSI-IT-Grundschutz, für KKU und öff. Verwaltungen)

NIST 800-53

NIS2 (International, US)

Industriespezifische Labels:

TISAX

TISAX ist identisch mit VDA ISA 6.0, 4 Stufen für Vertraulichkeit und Verfügbarkeit, Leichtgewichtiges ISO 27000 mit speziellen Anforderungen an die Informationssicherheit & Prozess-Reifegrade, geprüft durch die ENX als Verband der Automobilwirtschaft, erfordert ein ISMS, circa 300 “Muss”-Security Controls

IVD

In Vitro Diagnostica als Label eines Medizinproduktes

Cyber-Versicherungen:

Einzelne Industrieversicherer fordern die Einhaltung von Fragebogen/Checklisten ab, um Ihre Verträge mit Regelungen zur Deckung einzuhalten. Typische Anforderungen sind: MFA/SSO, Notfallpläne, jährliche Restore-Test. Die Deckung umfasst oft alle Wiederanlaufkosten nach einer Attacke und alle entstandenen Unternehmensschäden.

Laut einer GDV-Umfrage schulen 64% der befragten Firmen ihrer MA nicht, 49% haben kein Notfallplan und 42% testen ihre Datensicherung nicht. Nur 22% erfüllen das Minimum einer Cyber-Versicherung gem. dem Basis-Fragebogen der GDV.