Compliance & Audit

Regulierungslandschaft 2025¶

Die Regulierung wird strenger. Organisationen, die sie ignorieren, riskieren Bussgelder und Kundenverlust:

• DSGVO — Personenbezogene Daten, Betroffenenrechte, Meldepflicht bei Verletzungen. Bussgelder bis 4% des Umsatzes.
• NIS2 — Cybersicherheit fuer wesentliche und wichtige Einrichtungen. In Kraft seit Oktober 2024.
• DORA — Digitale operationale Resilienz fuer den Finanzsektor. In Kraft seit Januar 2025.
• ISO 27001 — Internationaler Standard fuer ISMS. De-facto-Anforderung fuer B2B.
• EU AI Act — Regulierung von KI-Systemen. Schrittweise Einfuehrung 2024-2027.

NIS2 — Netz- und Informationssicherheitsrichtlinie¶

Wer ist betroffen¶

NIS2 erweitert den Anwendungsbereich gegenueber NIS1 erheblich:

Wesentliche Einrichtungen: Energie, Transport, Bankwesen, Gesundheitswesen, digitale Infrastruktur, ICT-Service-Management, oeffentliche Verwaltung, Raumfahrt.

Wichtige Einrichtungen: Postdienste, Abfallwirtschaft, Chemie, Lebensmittel, Fertigung, digitale Dienste, Forschung.

Schluesselanforderungen¶

1. Risikomanagement — Identifikation, Analyse und Mitigierung von Cyber-Risiken
2. Incident Handling — Erkennung, Reaktion, Meldung (24h Fruehwarnung, 72h vollstaendige Meldung)
3. Business Continuity — Backup-Management, Disaster Recovery, Krisenmanagement
4. Supply Chain Security — Lieferanten-Risikobewertung, vertragliche Anforderungen
5. Schwachstellenmanagement — Patch Management, Responsible Disclosure
6. Kryptografie — Verschluesselung von Daten in Transit und at Rest
7. Personal — Security Awareness, Schulung, Background Checks
8. Zugriffskontrolle — Authentifizierung, Autorisierung, MFA

Unsere NIS2-Dienstleistungen¶

• Lueckenanalyse — Wo Sie heute stehen vs. wo Sie sein muessen. Priorisierte Roadmap.
• Implementierung — Richtlinien, Verfahren, technische Massnahmen. Hands-on.
• Supply-Chain-Bewertung — Lieferantenbewertung, vertraglicher Rahmen.
• Incident Reporting — Prozesse fuer 24/72h-Meldepflichten.
• Vorstandsschulung — Fuehrungskraefte sind fuer Compliance verantwortlich. Sie muessen die Grundlagen verstehen.

ISO 27001¶

Was ist ein ISMS¶

Information Security Management System — ein systematischer Ansatz fuer das Management der Informationssicherheit. Kein einmaliges Projekt, sondern ein lebendes System mit kontinuierlicher Verbesserung (PDCA-Zyklus).

Implementierungs-Roadmap¶

Phase 1: Scoping & Lueckenanalyse (Monat 1-2) - ISMS-Scope-Definition - Lueckenanalyse gegen ISO 27001:2022 - Risikobewertungsmethodik - Management Buy-in und Ressourcenzuweisung

Phase 2: Risikobewertung & Behandlung (Monat 2-4) - Asset-Inventar - Bedrohungs- & Schwachstellenbewertung - Risikobewertung und Behandlungsplan - Statement of Applicability (SoA)

Phase 3: Richtlinien & Verfahren (Monat 3-6) - Informationssicherheitsrichtlinie - Zugriffskontrollrichtlinie - Incident Management Verfahren - Business Continuity Plan - + 15-20 weitere Dokumente (an die Organisation angepasst)

Phase 4: Implementierung & Awareness (Monat 4-8) - Technische Kontrollen (Verschluesselung, Logging, Zugriffsmanagement) - Security Awareness Training fuer alle Mitarbeiter - Lieferanten-Sicherheitsbewertung

Phase 5: Internes Audit & Zertifizierung (Monat 8-12) - Internes ISMS-Audit - Management Review - Korrekturmassnahmen - Stufe 1-Audit (Dokumentation) - Stufe 2-Audit (Implementierung) - Zertifizierung

Pragmatischer Ansatz¶

Wir schreiben keine Dokumente nur damit sie existieren. Jede Richtlinie muss sein: - Verstaendlich — gelesen von einem Menschen, nicht einem Auditor - Praktisch — beschreibt was Menschen tatsaechlich tun - Wartbar — Aktualisierung ist kein Monatsprojekt - Messbar — KPIs fuer jede Richtlinie

DORA — Digital Operational Resilience Act¶

Fuer wen¶

Finanzinstitute: Banken, Versicherungen, Investmentfirmen, Zahlungsinstitute, Crypto-Asset-Dienstleister. Und ihre kritischen ICT-Anbieter.

Schluesselpfeiler¶

1. ICT-Risikomanagement — Framework fuer Identifikation, Schutz, Erkennung, Reaktion und Wiederherstellung
2. ICT-Incident-Reporting — Klassifizierung und Meldung von Incidents an Regulierer
3. Digital Operational Resilience Testing — TLPT (Threat-Led Penetration Testing) fuer systemisch wichtige Einheiten
4. ICT-Drittpartei-Risiko — Management von ICT-Lieferantenrisiken, Exit-Strategien
5. Informationsaustausch — Teilen von Threat Intelligence zwischen Finanzinstituten

DSGVO — Operative Implementierung¶

Datenmapping¶

Wo personenbezogene Daten entstehen, wie sie fliessen, wo sie gespeichert werden, wer Zugriff hat, wie lange sie aufbewahrt werden, wie sie geloescht werden. Automatisierte Data Discovery fuer grosse Organisationen.

DSFA (Datenschutz-Folgenabschaetzung)¶

Pflicht fuer risikoreiche Verarbeitung (Profiling, grossflaechige Ueberwachung, sensible Daten). Risikoidentifikation, Notwendigkeits- & Verhaeltnismaessigkeitsbewertung, Mitigierungsmassnahmen.

Technische Massnahmen¶

• Pseudonymisierung — Trennung von Identifikatoren von Daten
• Verschluesselung — At Rest (AES-256) und in Transit (TLS 1.3)
• Zugriffskontrolle — RBAC, Audit Logging, Need-to-know-Prinzip
• Datenaufbewahrung — Automatische Ablaufrichtlinien
• Recht auf Loeschung — Technische Faehigkeit alle Betroffenendaten ueber Systeme hinweg zu loeschen

Benachrichtigung bei Verletzungen¶

Prozess fuer DSGVO Artikel 33/34: - Erkennung der Verletzung → Bewertung (72h-Limit fuer Meldung an die Aufsichtsbehoerde) - Schweregradbewertung — ist die Verletzung ein Risiko fuer Betroffene? - Meldung an Regulierer — was passiert ist, Umfang, getroffene Massnahmen - Benachrichtigung der Betroffenen — bei hohem Risiko

Technologie und Tools¶

OneTrust, Vanta, Drata (Compliance-Automatisierung), Jira/Confluence (Richtlinienmanagement), Azure Compliance Manager, AWS Audit Manager, Custom GRC-Dashboards, Schulungsplattformen (KnowBe4).