Keine Angst vor EuroSOX


EuroSOX: Zunächst die Umsetzung der Richtlinie in deutsches Recht abwarten, statt in Aktivismus zu verfallen
Defense AG ist sich sicher: EuroSOX hat zunächst nur geringe Auswirkungen auf die IT-Security


Peter Dölling:
Peter Dölling: "Nicht nötig, ein spezielles EuroSOX-Projekt zu initiieren", Bild: Defense AG

(08.01.08) - Defense AG, Spezialist für IT-Sicherheit, warnt vor übereilten Schritten im Hinblick auf die Umsetzung der 8. EU-Richtlinie, auch EuroSOX genannt. "Die IT-Industrie braucht offensichtlich immer wieder neue Schlagworte, um ihre Produkte und Dienstleistungen an den Mann zu bringen", kommentiert Vorstand Peter Dölling Versuche einzelner Unternehmen, aus EuroSOX Kapital zu schlagen. "Über SOX lässt sich heute so ziemlich alles verkaufen - von zeitbeständiger Druckertinte bis hin zur Firewall. Neun von zehn White Papers aus dem Bereich der IT-Security erwähnen Compliance und SOX im ersten Satz. Anders als SOX eignet sich EuroSOX aber derzeit nicht als Hype-Thema."

Der im Jahr 2002 verabschiedete Sarbanes-Oxley Act (SOX), ein US-Gesetz zur verbindlichen Regelung der Unternehmensberichterstattung, hat die Informationssicherheit zwar nicht im Fokus, doch hat die IT-Security erhebliche Auswirkungen auf die Fähigkeit der Unternehmen, den Kontrollanforderungen von SOX gerecht zu werden. Insofern hat SOX tatsächlich neue und strengere Anforderungen an die IT-Sicherheit und deren Dokumentation gestellt.

Solche neuen Anforderungen aber sieht Dölling bei EuroSOX derzeit nicht. Anders als der umgangssprachliche Name der 8. EU-Richtlinie suggeriert, ist EuroSOX nämlich keine europäische Version des Sarbanes-Oxley Act. Insbesondere überlässt EuroSOX es weitestgehend den Unternehmen selbst, die internen Kontrollen zu optimieren und die interne Revision zu stärken.

So hat Jürgen Tiedje, Leiter der Abteilung Accounting und Auditing der EU-Kommission, in der die 8. Richtlinie verfasst wurde, bereits im Oktober klargestellt, dass es in Europa keinerlei SOX oder SOX light geben werde. Zwar setzt auch EuroSOX ähnlich wie SOX bei allen "Unternehmen von öffentlichem Interesse", also vor allem bei börsennotierten Unternehmen sowie Versorgern etc., ein wirksames internes Kontrollsystem und damit auch ein Risikomanagementsystem voraus. Anders als SOX enthält EuroSOX jedoch noch keine konkreten Vorschriften, wie diese Systeme auf ihre Wirksamkeit bzw. auf Schwachstellen zu prüfen sind.

Dölling rät von EuroSOX betroffenen Unternehmen daher, zunächst die Umsetzung der Richtlinie in deutsches Recht abzuwarten, statt in Aktivismus zu verfallen. "Die Sicherheit der IT-Umgebung ist aus den verschiedensten Gründen immer ein wichtiges Thema, aber es aus heutiger Sicht nicht nötig, ein spezielles EuroSOX-Projekt zu initiieren. Darüber kann man erst sinnvoll reden, wenn alle Details feststehen und sich eine einschlägige Praxis herausgebildet hat."

Trotzdem verlangen schon heute verschiedene Regelungen wie beispielsweise das KontraG oder Basel II ein umfassendes IT-Sicherheitsmanagement. Unabhängig von EuroSOX empfiehlt Dölling deswegen, sich gegen die operationellen Risiken abzusichern, die durch die Nutzung von Informationssystemen entstehen. Dies erfolgt am besten durch die Einführung eines Information Security Management Systems (ISMS) auf der Basis international anerkannter Standards wie ISO/IEC 27001. Über ein solches ISMS werden Kontrollmechanismen und Schutzmaßnahmen definiert und implementiert, die das interne Kontrollsystem wirkungsvoll ergänzen. (Defense AG: ra)



Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen