Verschiedene Aufsichtsbehörden legen Compliance-Anforderungen fest, die sich von Land zu Land unterscheiden. Damit ein Unternehmen die Vorschriften einhalten kann, muss es alle erforderlichen rechtlichen, regulatorischen und branchenspezifischen Anforderungen an die Cybersicherheit erfüllen. Angesichts einer nicht enden wollenden Flut von Vorschriften, ständigen Änderungen dieser Vorschriften und sich überschneidenden Anforderungen kann die Einhaltung all dieser Regeln für Unternehmen jedoch entmutigend sein. Trotz dieser Herausforderungen ist die Einhaltung von Vorschriften im Bereich der Cybersicherheit für den Erfolg eines Unternehmens von entscheidender Bedeutung und muss für jeden Entscheider oberste Priorität haben.

Ein Compliance-Programm bietet zahlreiche Vorteile: Es verringert das Risiko von Sicherheitsverletzungen, erleichtert Audits und Zertifizierungen und vermittelt ein klareres Bild des Risikoprofils eines Unternehmens, so dass es fundierte Entscheidungen über Prioritäten und Sicherheitsinvestitionen treffen kann. Die Einhaltung der Vorschriften stärkt auch das Vertrauen der Kunden, da das Unternehmen in den Augen der Öffentlichkeit als verantwortungsbewusst und sicher wahrgenommen wird.

Auf der anderen Seite kann die Nichteinhaltung von Vorschriften schwerwiegende Folgen haben und zu hohen Geldstrafen und gesetzlichen Sanktionen führen. Unternehmen können anfälliger für Cyberangriffe sein, da die Sicherheitskontrollen möglicherweise nicht streng genug sind, um vor der sich ständig im Wandel befindlichen Bedrohungslage zu schützen. Dies wiederum kann zu rechtlichen Schritten von Kunden oder Partnern führen, die von einer Datenschutzverletzung betroffen sind. Datenschutzrechtliche Prozesse sind meist schwer rufschädigend, so dass es für ein Unternehmen schwierig wird, seine Bestandskunden zu halten und neue Kunden vom eigenen Unternehmen zu überzeugen.
Eines steht jedoch fest: Unabhängig von Größe, Branche oder Standort muss jedes Unternehmen über ein Compliance-Programm verfügen.
Nur, wie kann man dieses optimal aufbauen?

Wie erstellt man ein Compliance-Programm?

Wie so oft im Leben gibt es auch bei einem solchen Programm kein Patentrezept, aber es gibt allgemeine Richtlinien und bewährte Praktiken, die jedes Unternehmen berücksichtigen sollte.

Compliance-Expertise aufbauen

Ein Compliance-Experte muss dafür Sorge tragen, dass die IT-Umgebung des Unternehmens gut gewartet und aktualisiert wird, um allen Vorschriften und Bedrohungen gerecht zu werden. Er benötigt fundierte Kenntnisse der rechtlichen Rahmenbedingungen und der spezifischen Compliance-Anforderungen für die jeweilige Branche, das eigene Land sowie die Länder aller Kunden.
So kann es beispielsweise vonnöten sein, PCI DSS, DSGVO und CCPA einhalten zu müssen, sofern der eigene Betrieb Kreditkartendaten akzeptiert oder speichert und sich Kunden in Europa und Kalifornien befinden. Um mehrere Vorschriften einzuhalten, muss der hauseigene Datenschutzbeauftragte jede einzelne verstehen, die Überschneidungen ermitteln, und schließlich alle verbliebenen Lücken schließen. Wenn dies nicht möglich ist, sollte man mit einem externen Compliance-Berater zusammenarbeiten, der hinsichtlich der lokalspezifischen Anforderungen und Best Practices beratend unterstützen kann.

Schaffung eines Rahmens für das Risikomanagement

Compliance und Risikomanagement sind eng miteinander verwoben. Die Einhaltung von Vorschriften schützt Unternehmen vor Risiken, während das Risikomanagement ebendiese Einhaltung unterstützt und oftmals erst ermöglicht.
Es gibt mehrere allgemein anerkannte Rahmenwerke für das Risikomanagement, darunter ISO 31000, COSO ERM und NIST.

Die Wahl des richtigen Risikomanagementrahmens für das eigene Unternehmen hängt von der Größe und Komplexität der Organisation, der Branche und den gesetzlichen Anforderungen ab. Dennoch folgen sie alle demselben übergeordneten Prozess:
·       Risiken identifizieren: Rechtliche, regulatorische, branchen- und umweltbezogenen oder sonstigen Risiken müssen ermittelt werden. Dabei gilt es, interne und externe Faktoren zu berücksichtigen, die sich auf das Geschäft auswirken könnten.
·       Risiken analysieren: Umfang aller Risiken müssen ebenso untersucht werden wie deren Beziehung sowie die möglichen Auswirkungen auf die Geschäftsfunktionen im gesamten Unternehmen.
·       Risiken bewerten: Einstufung und Priorisierung der Risiken auf der Grundlage ihres Schweregrads durch qualitative oder quantitative Risikobewertung.
·       Risiken konfrontieren: Zu den Maßnahmen der Risikoverminderung gehören Vermeidung, Übertragung, Verringerung oder auch die Akzeptanz des Risikos. Bei der Entscheidungsfindung sollte man immer auch die Kosten, den Nutzen und die Durchführbarkeit in Abhängigkeit von Budget und Ressourcen miteinbeziehen.
·       Überwachung und Überprüfung: Man sollte alle Risikomanagementverfahren kontinuierlich überwachen und überprüfen und dabei stets ein Auge auf deren Wirksamkeit sowie auf neu auftretende Risiken haben.

Herausforderungen des Risikomanagements

Ein wirksames Risikomanagement erfordert beträchtliche Ressourcen, darunter Zeit, Geld, Personal und Instrumente – jedes für sich genommen eine Herausforderung. Jegliche Gesetzesnovelle erhöht die Komplexität des Risikomanagements zusätzlich. Dennoch müssen sie allesamt berücksichtigt werden.
Die unsichere Natur von Risiken kann interne Spannungen erzeugen, insbesondere dann, wenn sich mehrere Beteiligte oder Geschäftsbereiche nicht über den Schweregrad und die Behandlung des Risikos einigen können. Das wiederum kann die Akzeptanz auf Führungsebene behindern. Das zentrale Problem besteht darin, dass sich die Risiken ständig weiterentwickeln, so dass sich Strategien schnell anpassen und weiterhin von allen Mitarbeitern des Unternehmens unterstützt werden müssen.

Bewertung der Stärke eines Compliance-Programms

Um die Wirksamkeit eines spezifischen Compliance-Programms zu beurteilen, sollte man sich folgende Fragen stellen:
·       Sind alle Prozesse dokumentiert und ist klar beschrieben, wie sie ausgeführt werden müssen, um die Einhaltung der Vorschriften zu gewährleisten? Sind sie den Beteiligten zugänglich, und können sie überprüft, bewertet und verbessert werden, um neuen Anforderungen und Unwegbarkeiten gerecht zu werden?
·       Existieren angemessene interne Kontrollen, um Verstöße zu verhindern und aufzudecken, verbesserungsbedürftige Bereiche zu ermitteln und eine Kultur der Einhaltung von Vorschriften im gesamten Unternehmen zu fördern?
·       Werden physische und digitale Beweise vorgehalten, die im Falle eines Audits als Nachweis für die Einhaltung der Vorschriften dienen können?
·       Enthält der Plan zur Reaktion auf Vorfälle detaillierte Angaben zu den Verfahren für die Meldung, Untersuchung und Behebung von Vorfällen?
·       Werden die Mitarbeiter geschult und auf ihre Rolle bei der Einhaltung der Sicherheitsvorschriften aufmerksam gemacht?
·       Gibt es Verfahren zur Verwaltung von Drittanbietern und zur Sicherstellung, dass diese die einschlägigen Cybersicherheitsvorschriften und -standards einhalten?

Bewährte Verfahren für ein Compliance-Programm

Unabhängig davon, für welchen Rahmen man sich entscheidet, können die Grundsätze des Risikomanagements von ISO 31000 als Leitfaden für die Erstellung eines effektiven Compliance-Programms dienen. Darin heißt es, dass jegliches Programm einen Mehrwert für das Unternehmen schaffen, ein integraler Bestandteil der Organisations- und Entscheidungsprozesse sein, auf das Unternehmen zugeschnitten sein und unter Verwendung der besten verfügbaren Informationen entwickelt werden sollte. Außerdem sollte es systematisch sein, Unsicherheiten ausräumen, die menschliche Komponente berücksichtigen, transparent und anpassungsfähig sein und kontinuierlich überwacht und verbessert werden. Erfüllt ein Programm all diese Punkte, ist man auf dem besten Weg, das Compliance-Programm des eignen Unternehmens gut aufgestellt zu haben.