Einfach nur Papiertiger bauen oder Informationssicherheit stärken? Das ist oft die Frage, wenn Unternehmen die vielfältigen Regulierungsvorgaben wie NIS2UmsuCG, DSGVO, BSIG, TKG, DigG oder EnWG umzusetzen haben. In der Beratungspraxis der TTS sehen wir beide Varianten und noch einige dazwischen. Aber was sind erprobte Wege, um mit der Vielzahl an Vorgaben umzugehen?
Die TTS hatte für den 6. Juni 2024 zu einem sektorübergreifenden Anwenderforum unter dem Titel „Unternehmen im Strudel des Regulierungswahnsinns“ eingeladen, um Erfahrungen zu Regulierungsvorgaben auszutauschen und zu diskutieren.
So zahlreich wie die Teilnehmenden waren dann auch die Sichtweisen auf das Thema.
- So wurde zunächst detailliert aufgezeigt, wie man regulatorische Vorgaben so nutzt, dass man nicht nur Compliance herstellt, sondern Maßnahmen effektiver macht und damit auch Risiken verringert.
- Ein Praxisbericht über die Umsetzung der SzA Vorgaben zeigte eindrücklich auf, wie viele Anforderungen im Einzelnen zu betrachten waren und wie wenig Zeit den betroffenen Unternehmen dafür blieb.
- Es wurde auch ein innovativer, konzernweiter Ansatz vorgestellt, um ausgehend von KPIs zur technischen Compliance Aussagen zur Risikoexposition zu entwickeln.
- Interessant war dann die Darstellung, wie man zu einem übergreifenden Risikomanagementansatz kommt, der ISMS-Risiken, aber auch klinische und KonTraG-Risiken vereinheitlicht.
- Die Einhaltung der strengen Vorgaben für die Zulassung von Geräten im klinischen Umfeld ist ohnehin eine Herausforderung. Dieser Beitrag zeigte auf, was passiert, wenn hier Innovationen in hoher Frequenz eingebracht werden sollen.
- Wie behält ein Unternehmen eigentlich den Überblick über die komplexe regulatorische Landschaft? Der Beitrag „Navigationshilfe …“ machte deutlich, dass uns das Werkzeug dafür, nämlich die ISMS-Prozesse für Anforderungs- und Change Management, bereits zur Verfügung steht, wenn man es denn richtig einsetzt.
ISMS – Quo vadis
In der abschließenden Diskussion zeigte sich dann deutlich, dass ein ISMS nach ISO / IEC 27001 ein unverzichtbares Governance-Werkzeug ist, was auf absehbare Zeit auch durch moderne Technologien wie KI nicht überflüssig wird. Lediglich die Wahrnehmung in der Geschäftsleitung könnte teilweise noch verbessert werden. Dazu muss ein ISMS dann weniger Papiertiger als echte Wertschöpfung sein.
Ambiente
Wir sollen auch das Ambiente loben. In dem Fall fällt uns das nicht schwer. Sowohl das Paris-Moskau für die Vorabendveranstaltung, als auch das 25hours Hotel im Bikini an der Gedächtniskirche (Berlin, wer sich das gerade fragt), haben zu der anregenden Atmosphäre beigetragen.
Wie bewertet man nun solch eine Veranstaltung? Das können wir als TTS sicher nicht oder sollten das nicht tun. Aber wenn uns mehrfach unaufgefordert zugerufen wird „Ich möchte nächstes Mal unbedingt wieder dabei sein“, dann haben wir sicher Einiges richtig gemacht.
Wenn Sie Fragen zu diesen oder verbundenen Themen haben, dann sprechen Sie gerne mit einem unserer Teilnehmer (natürlich auch unverbindlich).