Es prüfe, wer sich ewig bindet
Prüfgemeinschaften als effizienter Weg der Dienstleisterprüfung
Egal ob KRITIS, die Datenschutzgrundverordnung, das Sozialgesetzbuch oder auch die Norm ISO 27001 – sie alle haben eines gemeinsam: Sie machen die Prüfung von AV-Dienstleistern zwingend erforderlich. Gerade in diesem Kontext eine enorme organisatorische, personelle und finanzielle Herausforderung.
Mit Dienstleister-Audits verhält es sich ähnlich wie generell mit den Themen Datenschutz und Informationssicherheit: Erst wenn Unternehmen gesetzlich dazu verpflichtet sind, beginnen sie aktiv zu werden. Häufig zu spät – denn genau das ist der falsche Ansatz. „Betrachten wir die funktionelle Besetzung des Informationssicherheitsbeauftragten (ISB)“, erläutert Professor Doktor Thomas Jäschke, Initiator der Prüfgemeinschaft. „Die Pflicht zur Bestellung eines ISB ist nicht konkret im Gesetz aufgeführt, sondern eher transitiv.“ Krankenhäuser, die zu den sogenannten KRITIS-Einrichtungen gehören, sind verpflichtet ein Managementsystem für Informationssicherheit (ISMS) aufzubauen und damit auch einen Verantwortlichen für das Thema zu benennen. Diese Rolle kann nur der Informationssicherheitsbeauftragte (ISB) abbilden.
„Der Dienstleisterprüfung nimmt man sich häufig zu spät an.“
Prof. Dr. Thomas Jäschke, Vorstand der DATATREE AG
Wie funktioniert die Dienstleisterprüfung?
Homogene Arten von Unternehmen haben teilweise die gleichen Dienstleister, die Sie im Rahmen der gesetzlichen Bestimmungen, wie DSGVO, ISO27001 oder dem Sozialgesetzbuch prüfen müssen. Nur so kann sichergestellt sein, dass die besonderen Anforderungen an die Verarbeitung und den Umgang im Rahmen eines Risikomanagements Rechnung getragen wird.