IT-Risiko-Management

IT-Compliance - alles, was Recht ist

05.08.2008
Von 
Dr. Kevin Max von Holleben ist Fachanwalt für Informationstechnologierecht bei Lexton Rechtsanwälte in Berlin.

Fazit

Die individuellen Anforderungen der IT-Compliance und des IT-Risiko-Managements sind für jedes Unternehmen unterschiedlich und müssen deshalb jeweils spezifisch ermittelt werden. Den erheblichen wirtschaftlichen und rechtlichen Risiken des IT-Einsatzes ist mit einer konsequenten Umsetzung eines maßgeschneiderten Compliance- und Risiko-Management-Konzepts zu begegnen. (qua)

Die jüngsten Bestimmungen

  • MiFID-Umsetzung: Sie verschärft die Forderungen des Kreditwesengesetzes (KWG).

  • Wirksamkeit gefordert: Neu ist Paragraf 25a. Er sieht einen Wirksamkeitsnachweis für das Risiko-Management-System vor.

  • Notfallkonzept: Ebenfalls neu ist die Vorgabe, dass zum Risiko-Management auch ein Notfallkonzept - insbesondere für IT-Systeme - gehört.

  • MaRisk: Die in Paragraf 25 a KWG enthaltenen unbestimmten Rechtsbegriffe sind in den Mindestanforderungen an das Risiko-Management (MaRisk) konkretisiert, die wiederum im Zuge der MiFID-Umsetzung neu gefasst wurden.

  • EuroSOX: Die "EuroSOX"-Richtlinien verlangen von bestimmten Unternehmen (vornehmlich Aktiengesellschaften), im Lagebericht die wesentlichen Merkmale des IT-Risiko-Management-Systems zu beschreiben. Die Aufgabe, die Wirksamkeit des Systems zu überwachen, kann der Unternehmensvorstand einem Prüfungsausschuss übertragen.