Attestation & Certification (ATC)

Viele Unternehmen beziehen Vor- oder Zwischenprodukte von Lieferanten oder nutzen Logistikunternehmen, um ihre Güter zu transportieren. Hierdurch werden nicht nur die zeitlichen Abhängigkeiten in der Produktionskette komplexer. Da die beziehenden Unternehmen keine Kontrolle über die Produktion ihrer Lieferanten haben und damit die Qualität von Vor- und Zwischenprodukten nur eingeschränkt bewerten können, sind sie z. B. zusätzlichen Qualitätsrisiken ausgesetzt, die in teuren Rückrufaktionen und nachfolgend durchgesetzten Preisabschlägen resultieren (das ökonomische Zitronenproblem).

Auch das in Diskussion stehende Lieferkettengesetz verlangt von den Unternehmen, sich entlang der gesamten Lieferkette an Menschenrechte und Umweltstandards zu halten.

Je komplexer eine Lieferkette, desto grösser deren Risiken. Auch mit zunehmender digitaler Vernetzung steigen die Risiken von globalen Lieferketten. Unternehmen mit internationalen Produktions- und Vertriebsstrukturen werden dem Anspruch nach mehr Transparenz in der Lieferkette gerecht werden müssen. Das American Institute of Certified Public Accountants (AICPA) hat aus diesem Grund einen Berichtsstandard für das Risikomanagement von Lieferketten vorgestellt.

Was EY für Sie tun kann

SOC for Supply Chain (SOC für die Lieferkette) ist eine Berichterstattung über eine Untersuchung von Kontrollen, die für Sicherheit, Verfügbarkeit, Verarbeitungsintegrität, Vertraulichkeit und / oder Datenschutz in einem Produktions-, Fertigungs- oder Vertriebssystem relevant sind.

Mithilfe eines von EY erstellten SOC for Supply Chain Prüfberichts, kann ein Unternehmen:

• belegen, dass Prozesse und interne Kontrollmechanismen eingeführt wurden, die die Lieferkettenrisiken feststellen, einschätzen, adressieren und verringern.
• auf die unabhängigen Anfragen von aktuellen oder zukünftigen Kunden antworten und vermeiden, dass es selbst oder ein Lieferkettenpartner mehrfach geprüft werden muss,
• vorgeschriebene Nachweispflichten im Rahmen des geplanten Lieferkettengesetzes nachkommen,
• beweisen, dass Produkte und Informationen innerhalb der Lieferkette sicher und verfügbar sind, und
• das Vertrauen von Lieferkettenpartnern stärken.

EY kann Sie außerdem dabei unterstützen, die Einhaltung bestimmter Vorgaben in regulierten Sektoren (z. B. in der Medikamentenherstellung) nachzuweisen.

Mit dem IT-Sicherheitsgesetz von 2016 wurden Betreiber kritischer Infrastrukturen gesetzlich zur Informationssicherheit ihrer maßgeblichen Systeme, Komponenten und Prozesse verpflichtet. EY begleitet Unternehmen bei der Erfüllung dieser Anforderungen durch Pre-Assessments sowie Audits und unterstützt Sie in der Nachweispflicht gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (BSI).

Die im Jahr 2023 veröffentlichte NIS2 Direktive erweitert die Gesetzgebung durch einen ganzheitlichen Ansatz, der über den Anlagenbezug hinaus die gesamte Infrastruktur eines Unternehmens bewertet und Unternehmen verpflichtet ihre Netzwerk- und Informationssysteme, durch angemessene und effektive Risikomanagementmaßnahmen, zu schützen. EY begleitet Unternehmen bei der Bewertung ihrer Betroffenheit und Readiness gegenüber den NIS2 Anforderungen.

Was EY für Sie tun kann

KRITIS:

Betreiber kritischer Infrastrukturen sowie Unternehmen, die von NIS2 betroffen sind oder Unternehmen, die sich mehr Transparenz über den Stand der Informationssicherheit ihrer eigenen kritischen Infrastruktur wünschen, finden mit EY einen Partner, der über langjährige Erfahrung im Bereich IT-Audit und Informationssicherheit sowie die notwendige Branchenkompetenz verfügt.

Unsere Spezialisten führen bereits seit Beginn der gesetzlichen Nachweispflicht KRITIS-Prüfungen und -Bewertungen für Branchenführer in den Sektoren IT & Telekommunikation, Transport & Verkehr, Energie, Gesundheit sowie Finanzen & Versicherungen durch.

Assurance-Audit für KRITIS-Betreiber: Das Audit für KRITIS-Betreiber dient der Erfüllung der gesetzlichen Nachweispflicht gemäß BSIG §8a (3) (zukünftig §39Abs.1 NIS2UmSuCG). Neben der Erfüllung dieser Nachweispflicht durch die Erstellung der notwendigen BSI-Formulare erhalten Sie einen Auditbericht, der Ihnen einen detaillierten Einblick über den Grad der Informationssicherheit für ihre betriebene kritische Infrastruktur bietet.

Pre-Assessment für KRITIS-Betreiber: Zur Vorbereitung auf ein KRITIS-Audit oder bei der erstmaligen Überschreitung des relevanten Schwellenwerts liefert das Pre-Assessment gezielt Verbesserungspotenziale im Bereich der Informationssicherheit Ihrer kritischen Systeme.

KRITIS Unterstützung: Das NIS2UmsuCG erweitert den Kreis der Unternehmen in mehr Sektoren, welche Anforderungen an die IT-Sicherheit und Meldepflichten von IT-Sicherheitsvorfällen umsetzten müssen. EY unterstützt Sie bei einer ersten Einschätzung der Betroffenheit und begleitet Sie auf dem Weg zur Erfüllung der Anforderungen.

KRITIS-Check für alle Unternehmen: Auch Unternehmen außerhalb der KRITIS-Relevanz betreiben IT-Systeme, die als kritische Infrastruktur für den erfolgreichen Fortbestand des Unternehmens selbst gelten. EY liefert Ihnen die maximale Transparenz der Reife Ihrer Informationssicherheit, die Sie benötigen, um das digitale Herz Ihres Unternehmens optimal zu schützen.

NIS2:

NIS2 Betroffenheitsanalyse: Unternehmen müssen definierte Kriterien zur Größe und operierenden Sektor erfüllen, um von NIS2 betroffen zu sein. EY unterstützt Sie bei einer ersten Einschätzung und sofern gewünscht einer rechtlichen Beratung zur Betroffenheit und begleitet Sie auf dem Weg zur Erfüllung der Anforderungen.

NIS2 Reconnaissance und Gap Analyse: Zur Erfüllung der Anforderungen führt EY eine Analyse der Anwendungsbereiche und Auswertung der vorgelegten Nachweise durch, um gezielte Verbesserungspotenziale zur Erfüllung der NIS2 Anforderungen zu identifizieren.

NIS2 Remediation und Monitoring Support: EY unterstützt sie direkt bei der Implementierung von Maßnahmen für die Konformität mit NIS2 oder begleitet Sie während der Umsetzungsphase mit projektbegleitenden Prüfungen mit regelmäßigen Statusberichten zum NIS2 Erfüllungsstand.

NIS2 Assurance: Um die Konformität mit der NIS2-Richtlinie zu gewährleisten, unterstützen wir Sie durch ein Readiness Assessment, einer Attestierung und Zertifizierung.

NIS2 Training & Workshop: Um Ihr Unternehmen auf die Anforderungen von NIS2 vorzubereiten, bietet EY Trainings und Workshops zur Fortbildung von Mitarbeitern und Executives an.

Der Verband der Automobilindustrie e. V. (VDA) hat einen harmonisierten und international anerkannten bzw. geforderten Ansatz zur Beurteilung von Information-Security-Management-Systemen (ISMS) in der automobilen Lieferantenkette entwickelt und etabliert. Seit 2016 ist ENX als Governing Body für TISAX tätig und entwickelt den TISAX-Prozess sowie anzuwendende Kriterien in enger Zusammenarbeit mit dem VDA und den sogenannten Assessment-Providern weiter. EY ist die erste Wirtschaftsprüfungsgesellschaft, die als offizieller TISAX-Assessment-Provider zugelassen wurde. Seitdem begleiten wir mittelständische und große Lieferanten für die Automobilindustrie in der Vorbereitung auf TISAX-Assessments oder als TISAX-Assessment-Provider.

Die Anforderung von Erstausrüstern (OEM) zum Nachweis angemessener ISMS-Reife kann verpflichtenden Charakter annehmen und zum geschäftskritischen Kriterium für Lieferanten werden. Seit 2018 wird TISAX auch von Automobilverbänden anderer Länder sowie in anderen Industrien anerkennend wahrgenommen – die weitere Verbreitung des Ansatzes ist absehbar.

Was EY für Sie tun kann

Lieferanten für die Automobilindustrie sind gehalten, eine der Schutzbedarfsanalyse entsprechende Governance und Informationssicherheit über ihren definierten Verantwortungsbereich zu etablieren und nachzuweisen.

Das globale EY-Netzwerk stellt ein enormes Asset bei der weltweiten Erbringung unserer TISAX-Services dar. Gemeinsam führen wir TISAX-Assessment bzw. TISAX Consulting auf der ganzen Welt in allen zuliefernden Industrien durch – vom produzierenden Gewerbe über Engineering und Media bis zu IT-Dienstleistungen.

TISAX-Readiness-Support: Zur Vorbereitung auf ein TISAX-Assessment sollte der ISMS-Gedanke auf allen Ebenen hinreichend etabliert sein. Wir unterstützen Mandanten beispielsweise mit spezifischen Workshops, TISAX-Wissenstransfer oder durch ein Readiness- oder Gap-Assessment hinsichtlich des Aufbaus und der Implementierung des jeweiligen ISMS. Unter Wahrung der prüferischen Unabhängigkeit können wir Mandanten TISAX-Coaching anbieten und bei der Qualitätssicherung helfen.

TISAX-Assessments: Als TISAX-Prüfer begleiten wir Mandanten von der erforderlichen Registrierung über die Definition des Umfangs bis hin zum eigentlichen Assessment und, sofern erforderlich, weiter bis zum Abschluss von Nachprüfungen. Die Gültigkeit eines TISAX-Labels beträgt drei Jahre.

TISAX-Consulting: OEMs und Tier1-Lieferanten haben ebenfalls Unterstützungsbedarf bei der internen Implementierung von TISAX. Angefangen von der Schutzbedarfsanalyse des Business Owner über Governance & Legal bis zum Einkauf werden Prozesse hinsichtlich TISAX-Kriterien analysiert, angepasst und intern sowie extern kommuniziert.

Unsere Branchenkenntnisse im Automobilbereich, unsere langjährige TISAX-Erfahrung und der interdisziplinäre Beratungsansatz kombiniert mit unserem globalen Netzwerk haben uns zum weltweit anerkannten TISAX-Berater gemacht.

Daten sind die Grundlage und Treiber für die allermeisten Produkt- und Dienstleistungsinnovationen und ebenso essenziell für sämtliche internen Unternehmensprozesse.

Mit dem exponentiellen Wachstum der Möglichkeiten von KI-Anwendungen wird der Wert von Daten nochmals signifikant zunehmen. Zum Beispiel benötigen KI-Systeme große Mengen an qualitativ hochwertigen Daten, um Muster zu erkennen, zu lernen und intelligente Entscheidungen zu treffen. Ohne Daten können KI-Modelle nicht trainiert, getestet und verbessert werden.

Was EY für Sie tun kann

Angesichts der essenziellen Bedeutung von Daten für Unternehmen ist es unser Ziel bei EY, Sie dabei zu unterstützen, das Potenzial Ihrer Datennutzung auszuschöpfen und gleichzeitig die damit verbundenen Risiken zu minimieren. Risiken wie die Verletzung von gesetzlichen Anforderungen oder der Verlust bzw. die Kompromittierung von Daten durch zunehmende Cyberangriffe können das Vertrauen in eine Organisation empfindlich schädigen. Sie können auch kostspielige Produktionsausfälle nach sich ziehen.

Bei unserem ganzheitlichen Ansatz ziehen wir bei EY bei Bedarf die unterschiedlichen Fachexperten aus Bereichen wie EY Law, Technology Risk und Forensics zusammen und schaffen somit die rechtliche, technische und organisatorische Basis dafür, Daten innerhalb von Unternehmen und des digitalen Ökosystems korrekt, konsistent, sicher und gemäß gesetzlichen Vorschriften zu strukturieren. Ziel ist es, die Daten für diverse Anwendungsbereiche nutzbar zu machen. Diese reichen von der Grundlagenarbeit zur Einhaltung gesetzlicher Vorschriften – beispielsweise der neuen europäischen KI-Verordnung, der Datenschutz-Grundverordnung (DSGVO) oder der EU-Richtlinie zum Corporate Sustainability Reporting Directive – bis hin zur Beschleunigung digitaler Innovationen durch den Abbau von Datensilos.

Mit einer effektiven Data Governance-Strategie können Organisationen:

• Vertrauen in ihre Daten stärken: Gewährleisten Sie die Integrität und Zuverlässigkeit Ihrer Daten.
• Risiken minimieren: Schützen Sie sich vor rechtlichen Konsequenzen und Cyberbedrohungen.
• Wert maximieren: Nutzen Sie Ihre Datenbestände optimal, um wettbewerbsfähig zu bleiben und Innovationen voranzutreiben.

Bei EY verstehen wir die Komplexität und die Herausforderungen, die mit der Verarbeitung von Daten einhergehen. Unsere Experten sind darauf spezialisiert, Ihnen eine maßgeschneiderte Data Governance-Strategie zu bieten, die Ihren spezifischen Bedürfnissen entspricht. Gemeinsam können wir sicherstellen, dass Ihre Daten nicht nur geschützt, sondern auch eine treibende Kraft für den Erfolg Ihres Unternehmens sind.