Regulatory Advisory

Regulatorische Anforderungen im Kontext der Informationssicherheit und des Notfallmanagements gibt es branchenübergreifend. In regulierten Branchen sind diese jedoch weitgehend detaillierter ausgestaltet. Des Weiteren stellt sich die Herausforderung das Design und die Umsetzung der Anforderungen zu dokumentieren und im Rahmen von aufsichtlichen Prüfungen geeignet nachweisen zu können.

MaRisk, KaMaRisk, BAIT, VAIT, KAIT, ZAIT, EU-DORA, NIS(2), EBA Guidelines, EU-DSGVO, ISO 27000, ISO 27032, Grundschutz, NIST, CSA, C5, MITRE ATT&CK, BSI-Gesetz, KRITISVO, TISAX, GxP, die Liste an Regularien, Normen und Standards lässt sich beinahe beliebig fortsetzen. Nicht selten müssen auch mehrere dieser Anforderungen gleichzeitig umgesetzt werden.

Zertifizierungs- und Prüfungsvorbereitung

Gerade die Vorbereitung auf Zertifizierungen oder Prüfungen stellt für die geprüften Unternehmen einen hohen Stressfaktor dar. Gute Vorbereitung reduziert in der Regel die Anzahl und den Schweregrad von Feststellungen. Aufgrund unserer Kenntnisse zu Vorgehen und Schwerpunkten in Prüfungen, können wir eine hohe Qualität der Nachweisführung und ausreichende Vorbereitung der Ansprechpartner auf die Prüfsituation herbeiführen. Dem letzten Punkt kommt eine besonders hohe Bedeutung zu, wenn das Unternehmen noch nicht so viel Erfahrung im Umgang mit Prüfungen und Zertifizierungen gesammelt hat.

Wir helfen Ihnen dabei:
  • die Anforderungen zu analysieren und das Delta zum tatsächlichen Umsetzungsstand zu ermitteln.
  • notwendige Maßnahmen zur Prüfungsvorbereitung zu identifizieren und zu budgetieren.
  • das notwendige Umsetzungsdesign zu den einzelnen Schwerpunkten zu etablieren.
  • den ersten Lebenszyklus zu durchlaufen.
  • angemessene und nachvollziehbare Dokumentation und Nachweisstrukturen zu schaffen.
  • Ihr Team auf die Prüfungssituation vorzubereiten.

Koordination und Begleitung der Behebung von Audit Feststellungen

Stehen erst einmal Feststellungen gegen ein Unternehmen fest, ist der zeitliche Druck zur Umsetzung meist hoch. Hier unterstützen wir ebenso mit unserer Expertise, um das richtige Maß an Umsetzungstiefe zu erreichen. Dabei achten wir darauf, dass die Nachweise im Rahmen einer Prüfung gut verwendbar sind.

Wir helfen Ihnen dabei:
  • Audit-Berichte zu analysieren.
  • die folgende Planung durchzuführen sowie die Feststellungen zu beheben. Unsere Schwerpunkte liegen dabei auf Informationssicherheit, Notfallmanagement und IT Service Continuity Management sowie auf Providermanagement.
  • angemessen und effizient für eine gewissenhafte Umsetzung zu sorgen. Hier stellt die langjährige Erfahrung unserer Partner, die aktiv an den Projekten mitarbeiten, einen wesentlichen Erfolgsfaktor dar.

Due Diligence

Eine Durchführung einer Due Diligence bedeutet eine sorgfältige Prüfung und Analyse eines Unternehmens. Dies kann beispielsweise im Rahmen einer Dienstleisterauswahl, einer Beteiligung oder Übernahme von hohem Stellenwert sein, um frühzeitig potenzielle Risiken zu identifizieren. Dabei verlässt man sich nicht nur auf reine Auskünfte des zu bewertenden Unternehmens, sondern setzt zusätzliche Maßnahmen zur Verifizierung der bereitgestellten Informationen.

Wir helfen Ihnen dabei:
  • eine Due Diligence zu planen und die Schwerpunkte zu definieren (die Schwerpunkte sind speziell aus dem oben dargestellten regulatorischen Kontext zu sehen).
  • die Due Diligence durchzuführen bzw. bei der Durchführung zu unterstützen.
  • zu überprüfen, dass die Vertragsgestaltung den regulatorischen Anforderungen genügt und die Informationssicherheit und das Notfallmanagement angemessen berücksichtigt, werden.
  • stichprobenhaft zu überprüfen, ob die Anforderungen tatsächlich erfüllt werden. Als Ergebnis steht ein zusammenfassender Bericht unserer Kunden, der etwaige Risiken darstellt.

Regulatorische Anforderungen im Kontext der Informationssicherheit und des Notfallmanagements gibt es branchenübergreifend. In regulierten Branchen sind diese jedoch weitgehend detaillierter ausgestaltet. Des Weiteren stellt sich die Herausforderung das Design und die Umsetzung der Anforderungen zu dokumentieren und im Rahmen von aufsichtlichen Prüfungen geeignet nachweisen zu können.

MaRisk, KaMaRisk, BAIT, VAIT, KAIT, ZAIT, EU-DORA, NIS(2), EBA Guidelines, EU-DSGVO, ISO 27000, ISO 27032, Grundschutz, NIST, CSA, C5, MITRE ATT&CK, BSI-Gesetz, KRITISVO, TISAX, GxP, die Liste an Regularien, Normen und Standards lässt sich beinahe beliebig fortsetzen. Nicht selten müssen auch mehrere dieser Anforderungen gleichzeitig umgesetzt werden.

Gerade die Vorbereitung auf Zertifizierungen oder Prüfungen stellt für die geprüften Unternehmen einen hohen Stressfaktor dar. Gute Vorbereitung reduziert in der Regel die Anzahl und den Schweregrad von Feststellungen. Aufgrund unserer Kenntnisse zu Vorgehen und Schwerpunkten in Prüfungen, können wir eine hohe Qualität der Nachweisführung und ausreichende Vorbereitung der Ansprechpartner auf die Prüfsituation herbeiführen. Dem letzten Punkt kommt eine besonders hohe Bedeutung zu, wenn das Unternehmen noch nicht so viel Erfahrung im Umgang mit Prüfungen und Zertifizierungen gesammelt hat.

Wir helfen Ihnen dabei:
  • die Anforderungen zu analysieren und das Delta zum tatsächlichen Umsetzungsstand zu ermitteln.
  • notwendige Maßnahmen zur Prüfungsvorbereitung zu identifizieren und zu budgetieren.
  • das notwendige Umsetzungsdesign zu den einzelnen Schwerpunkten zu etablieren.
  • den ersten Lebenszyklus zu durchlaufen.
  • angemessene und nachvollziehbare Dokumentation und Nachweisstrukturen zu schaffen.
  • Ihr Team auf die Prüfungssituation vorzubereiten.

Stehen erst einmal Feststellungen gegen ein Unternehmen fest, ist der zeitliche Druck zur Umsetzung meist hoch. Hier unterstützen wir ebenso mit unserer Expertise, um das richtige Maß an Umsetzungstiefe zu erreichen. Dabei achten wir darauf, dass die Nachweise im Rahmen einer Prüfung gut verwendbar sind.

Wir helfen Ihnen dabei:
  • Audit-Berichte zu analysieren.
  • die folgende Planung durchzuführen sowie die Feststellungen zu beheben. Unsere Schwerpunkte liegen dabei auf Informationssicherheit, Notfallmanagement und IT Service Continuity Management sowie auf Providermanagement.
  • angemessen und effizient für eine gewissenhafte Umsetzung zu sorgen. Hier stellt die langjährige Erfahrung unserer Partner, die aktiv an den Projekten mitarbeiten, einen wesentlichen Erfolgsfaktor dar.

Eine Durchführung einer Due Diligence bedeutet eine sorgfältige Prüfung und Analyse eines Unternehmens. Dies kann beispielsweise im Rahmen einer Dienstleisterauswahl, einer Beteiligung oder Übernahme von hohem Stellenwert sein, um frühzeitig potenzielle Risiken zu identifizieren. Dabei verlässt man sich nicht nur auf reine Auskünfte des zu bewertenden Unternehmens, sondern setzt zusätzliche Maßnahmen zur Verifizierung der bereitgestellten Informationen.

Wir helfen Ihnen dabei:
  • eine Due Diligence zu planen und die Schwerpunkte zu definieren (die Schwerpunkte sind speziell aus dem oben dargestellten regulatorischen Kontext zu sehen).
  • die Due Diligence durchzuführen bzw. bei der Durchführung zu unterstützen.
  • zu überprüfen, dass die Vertragsgestaltung den regulatorischen Anforderungen genügt und die Informationssicherheit und das Notfallmanagement angemessen berücksichtigt, werden.
  • stichprobenhaft zu überprüfen, ob die Anforderungen tatsächlich erfüllt werden. Als Ergebnis steht ein zusammenfassender Bericht unserer Kunden, der etwaige Risiken darstellt.

Möchten Sie mehr darüber erfahren, wie FORFA Ihr Unternehmen unterstützen kann?