Und das ist jetzt wirklich neu: Ab jetzt ist ein effektives IT-Risikomanagement gesetzliche Pflicht für alle Unternehmen, die eine besondere strategische Bedeutung für unsere Gesellschaft haben. Zusammengefasst bedeutet das: Alle IT-Objekte im Unternehmen sind systematisch erfasst. Für jedes Objekt ist bekannt, welche Risiken damit verbunden sein könnten (Konjunktiv) und alle theoretisch denkbaren Sicherheitsvorkehrungen wurden aufgelistet. Es wurde erhoben, welche der theoretisch denkbaren Sicherheitsvorkehrungen für das Unternehmen in Frage kommen, welche davon schon umgesetzt sind und welche wann geplant sind. Und wer jetzt noch sagt, er habe keine großen IT-Risiken, der hat definitiv kein systematisches Risikomanagement eingeführt. Und das erlaubt die Schlussfolgerung NO RISK NO SYSTEM!
Die Sicht der Wirtschaftsprüfer auf die Compliance im Bereich IT und Informationssicherheit ist das eine. Meine eigene Sichtweise als Leitung eines Unternehmens ist etwas anderes. Auch wenn das BSI das IT-Risikomanagement vereinfachen will, so bleibt doch die Pflicht, ein systematisches Verfahren einzuführen. Und Unternehmen, für die das neue IT-Sicherheitsgesetz maßgeblich ist, sind größtenteils sogar verpflichtet, die vom BSI vorgegebene Methodik anzuwenden. Also Unternehmen, die eine besondere strategische Rolle in unserer Gesellschaft einnehmen. Dazu gehört z. B. auch das Gesundheitswesen. Nicht zuletzt deswegen hat auch die evangelische Kirche für alle kirchlichen und diakonischen Unternehmen dieses Modell als verbindlich vorgegeben.