IT-Regulatorik umfasst gesetzliche, aufsichtsrechtliche und beh枚rdliche Vorgaben, die sicherstellen sollen, dass Unternehmen angemessene Ma脽nahmen ergreifen, um ihre IT-Systeme und -Prozesse zu sch眉tzen. Dadurch sollen Risiken minimiert sowie die Vertraulichkeit, Integrit盲t und Verf眉gbarkeit von Assets gew盲hrleistet werden. Insbesondere Anbieter von Finanzdienstleistungen, Telekommunikation sowie Gesundheitstr盲ger verzeichnen einen rapiden Zuwachs der ihnen auferlegten regulatorischen Anforderungen, da sie eine Vielzahl sensibler Daten verarbeiten und somit besonders im 枚ffentlichen Interesse stehen. Um das Vertrauen ihrer Kund:innen und Stakeholder:innen nachhaltig zu gew盲hrleisten, m眉ssen Unternehmen sicherstellen, dass neue regulatorische Anforderungen fr眉hzeitig identifiziert, deren Auswirkungen analysiert und entsprechende Ma脽nahmen getroffen werden. Die Herausforderung besteht dabei darin, den 脺berblick zu wahren, Redundanzen zu vermeiden und gezielte Ma脽nahmen zu setzen, um somit Ressourcen effizient einzusetzen.
Wir unterst眉tzen Ihr Unternehmen dabei zu verstehen, welche regulatorischen Anforderungen Sie betreffen, wie sich diese auf Ihre IT-Landschaft auswirken und wie Sie den regulatorischen Anforderungen effizient gerecht werden.
Unsere Schwerpunkte im Bereich IT-Regulatorik
GAP-Analyse
Zur initialen Bewertung der vorhandenen Privacy-Landschaft und ihres Reifegrads, f眉hrt 乐鱼(Leyu)体育官网 eine GAP-Analyse durch. Dabei werden die im Unternehmen vorhandenen datenschutzrelevanten Dokumente und Prozesse erhoben und mit einem Reifegrad versehen. Wir orientieren uns dabei an der Datenschutzgrundverordnung (DSGVO) sowie lokalen und branchenspezifischen Gesetzen und Auflagen. Anhand der Ergebnisse der Analyse erarbeiten wir gemeinsam mit Ihnen Ma脽nahmen, um die identifizierten GAPs zu adressieren.
Unterst眉tzung durch 乐鱼(Leyu)体育官网
Datenschutz-Managementsystem nach ISO/IEC 27701
乐鱼(Leyu)体育官网 unterst眉tzt Ihr Unternehmen bei der Erweiterung Ihres ISMS um die in der ISO/IEC 27701 festgelegten Anforderungen f眉r Datenschutz-Managementsysteme (DSMS). Gleichwohl die Norm internationale Anerkennung genie脽t, ist sie somit keinem spezifischen Datenschutzgesetz zugeschrieben und gilt daher nicht als Zertifikat im Sinne von Artikel 42 DSGVO. Die Pr眉fung nach ISO 27701 bietet Unternehmen die M枚glichkeit, die Einhaltung internationaler Datenschutzstandards nachzuweisen, das Vertrauen von Kund:innen und Partnern zu st盲rken, Risiken zu managen und eine kontinuierliche Verbesserung im Datenschutz zu f枚rdern.
Privacy-Riskmanagement
Privacy-Riskmanagement bezieht sich auf den Prozess der Identifizierung, Bewertung, 脺berwachung und Steuerung von Risiken im Zusammenhang mit dem Schutz personenbezogener Daten. Es ist ein wichtiger Bestandteil eines umfassenden Datenschutz-Managementsystems und zielt darauf ab, potenzielle Risiken f眉r die Privatsph盲re von Kund:innen und Mitarbeiter:innen zu erkennen und angemessene Ma脽nahmen zu ergreifen, um diese Risiken zu minimieren oder zu kontrollieren. 乐鱼(Leyu)体育官网 hilft Ihnen dabei, ein Ihrem Unternehmen angepasstes Target Operating Model (TOM) zu entwickeln, um Privacy-Risiken effektiv zu identifizieren, zu analysieren und zu evaluieren.
Die erste NIS-Richtlinie trat bereits im Jahr 2016 in Kraft. Mit dieser verabschiedete die EU erstmals umfassende Regelungen f眉r Cybersicherheit im Bereich der kritischen Infrastruktur. In 脰sterreich wurden diese Vorgaben 2018 insbesondere durch das Netz- und Informationssystemsicherheitsgesetz (NISG) umgesetzt.
Mit der Unterzeichnung der NIS2-Richtlinie hat die Europ盲ische Union begonnen, einen proaktiveren Ansatz zu Fragen der Cybersicherheit in der Region zu verfolgen. Da die Welt immer vernetzter wird, stellen Unternehmen fest, dass ihre IT- und OT-Infrastrukturen zunehmend miteinander verwachsen, wodurch das Potenzial f眉r physische Cybersicherheitsvorf盲lle w盲chst. Infolgedessen unterstreicht die NIS2-Richtlinie die Motivation der EU, die Cybersicherheit ganz oben auf die Tagesordnung zu setzen.
Das NISG verpflichtet Betreiber wesentlicher Dienste zur Umsetzung umfangreicher Sicherheitsma脽nahmen und zum Nachweis ihrer Wirksamkeit durch qualifizierte Stellen. Die Pr眉fung muss gem盲脽 NIS-Gesetz alle drei Jahre von einer qualifizierte Stelle (QuaSte) durchgef眉hrt werden. Das BMI empfiehlt j盲hrliche 脺berwachungsaudits. Mit 眉ber 15 Pr眉fer:innen bildet 乐鱼(Leyu)体育官网 die gr枚脽te QuaSte in 脰sterreich.
Im Falle einer Nichteinhaltung drohen Einrichtungen finanzielle Sanktionen in H枚he von 2 % des Jahresumsatzes f眉r wesentliche bzw. 1,4 % des Jahresumsatzes f眉r wichtige Einrichtungen.
Anforderungen im 脺berblick
| Governance und Risikomanagement | Umgang mit Dienstleistern |
|---|---|
| Aufbau eines IKS Risikoanalyse und -bewertung Zuweisung von Rollen und Verantwortlichkeiten |
Vertragsmanagement 脺berwachung von Service-Level-Agreements |
| Sicherheitsarchitektur | Systemadministration |
|---|---|
| 贵谤眉丑飞补谤苍蝉测蝉迟别尘别 Risikobasierte Sicherheitsarchitektur 厂肠丑耻迟锄尘补脽苍补丑尘别苍 |
Schl眉ssel- und Passwortverwaltung Regelm盲脽ige Reviews der administrativen Konten Berechtigungssysteme |
| Business Continuity Management | Systemwartung und Betrieb |
|---|---|
| Disaster Recovery Erstellen von BCM- & Notfallpl盲nen Planung & Durchf眉hrung von Notfall眉bungen |
Patch-Management Laufendes Aktualisieren der Systeme 脺berpr眉fen neuer Versionen |
| Physische Sicherheit | Identit盲ts- und Zugriffsmanagement |
|---|---|
| Sicherheitszonen Implementierung von Alarm- & Notfallma脽nahmen 脺产别谤飞补肠丑耻苍驳蝉尘补脽苍补丑尘别苍 |
Benutzer:innen- und Berechtigungsverwaltung Implementierung von Zugriffskontrollen |
| Erkennung von Vorf盲llen | Bew盲ltigung von Incidents |
|---|---|
| Logging & Monitoring Security Information & Event Management |
Incident Response Forensik |
Unterst眉tzung durch 乐鱼(Leyu)体育官网
乐鱼(Leyu)体育官网 begleitet Ihr Unternehmen vor, w盲hrend und nach der NIS-Pr眉fung. Hierf眉r erheben wir den IST-Stand und gleichen die Ergebnisse mit den Anforderungen aus NIS-Gesetz und -Richtlinie ab. Auf Basis der identifizierten Abweichungen erstellen und priorisieren wir Ma脽nahmen sowie eine Roadmap zu deren Umsetzung.
Hierf眉r unterst眉tzen wir Sie u. a. in den folgenden Bereichen:
Vor der Pr眉fung durch eine QuaSte bereiten wir Ihr Unternehmen auf potenzielle Fragen vor und gehen den Pr眉fungsablauf gemeinsam durch. Sollten im Rahmen der Pr眉fung Findings auftreten, begleiten wir Sie bei deren Nachbereitung und erarbeiten gemeinsam einen Aktionsplan mit priorisierten Ma脽nahmenvorschl盲gen.
DORA (Digital Operational Resilience Act) ist Teil der Strategie der EU-Kommission f眉r ein digitales Finanzpaket, um eine angemessene Cybersicherheit zu schaffen und die Widerstandsf盲higkeit von Finanzunternehmen gegen Cyberbedrohungen zu st盲rken. Am 27. Dezember 2022 wurde die DORA im EU-Amtsblatt ver枚ffentlicht, nachdem sie am 10. November 2022 vom EU-Parlament und am 28. November 2022 vom EU-Rat angenommen wurde. Sie wird am zwanzigsten Tag nach ihrer Ver枚ffentlichung in Kraft treten und gilt ab dem 17. J盲nner 2025 unmittelbar in allen EU-Mitgliedsstaaten. Ihre Vorgaben sind somit bis dahin von allen betroffenen Unternehmen zu implementieren.
Eine rasche Erkennung gr枚脽erer IKT-bezogener Vorf盲lle und deren Ursachenanalyse bilden die Grundlage f眉r einen wirksamen Umgang mit neu auftretenden Finanzmarktbedrohungen. Ein angemessenes und wirksames IKT-Risikomanagement wird unter anderem als wesentliche Voraussetzung daf眉r angesehen.
Anforderungen im 脺berblick
| Governance | IKT-bezogene Vorf盲lle |
|---|---|
DORA fordert als Grundprinzip die oberste Verantwortung des Leitungsorgans f眉r die digitale Betriebsstabilit盲t. Beispiel der Umsetzung: konsistentes Governance- und Kontrollframework f眉r das effektive Management aller vorhandenen IKT-Risiken |
DORA fordert die Standardisierung der Meldepflichten f眉r gr枚脽ere IKT-bezogene Vorf盲lle im europ盲ischen Finanzsektor. Beispiel der Umsetzung: einheitliche Verfahren zur 脺berwachung, Klassifizierung und Meldung gr枚脽erer IKT-bezogener Vorf盲lle an nationale/europ盲ische Beh枚rden |
| Schutz und Pr盲vention | Testen der digitalen Resilienz |
|---|---|
Um die Reaktionsf盲higkeit zu erh枚hen, werden in DORA u. a. Anforderungen an Verfahren und Systeme zur unmittelbaren Erkennung und Abwehr potenzieller Bedrohungen formuliert. Beispiel der Umsetzung: automatische Netzwerkisolierung im Falle von Cyberangriffen |
Ein risikobasierter Ansatz stellt sicher, dass kritische und wichtige IT-Systeme regelm盲脽ig auf ihre betriebliche Belastbarkeit und den Schutz vor IKT-St枚rungen getestet werden. Beispiel der Umsetzung: Mindestens alle drei Jahre muss ein bedrohungsgesteuerter Penetrationstest auf laufenden Produktionssystemen durchgef眉hrt werden. |
| IKT-Risikomanagement | Management des IKT-Drittrisikos |
|---|---|
DORA fordert ein umfassendes Beispiel der Umsetzung: Aufbau von resilienten IKT-Systemen mit Blick auf den gesamten europ盲ischen Wirtschaftsraum |
Die Verordnung zielt darauf ab, Finanzunternehmen eine robuste 脺berwachung des von IKT-Drittdienstleistern ausgehenden Risikos zu erm枚glichen. Beispiel der Umsetzung: Einf眉hrung von Bu脽geldern und neuen K眉ndigungsm枚glichkeiten bei Nichteinhaltung der DORA-Anforderungen |
Unterst眉tzung durch 乐鱼(Leyu)体育官网
Abweichungen zwischen der DORA und dem aktuellen Umsetzungsstand werden mithilfe einer f眉nfstufigen Gap-Analyse ermittelt. Wir analysieren die bestehenden schriftlichen Richtlinien und Verfahren, f眉hren Workshops und Interviews mit den Themenverantwortlichen durch und 眉berpr眉fen bei Bedarf den tats盲chlichen Umsetzungsstand. Weitere relevante Compliance- oder Cyberprojekte werden bei der Ableitung der L眉cken und der Entwicklung der Ma脽nahmen ber眉cksichtigt. Als Ergebnis erhalten Sie einen Aktionsplan mit priorisierten Ma脽nahmenvorschl盲gen inklusive einer Roadmap und einer Einsch盲tzung des Aufwands zur Schlie脽ung der L眉cken.
