Compliance & Regulatorik

Braucht ein Schweizer Anbieter SOC 2?

„Habt ihr SOC 2?" — die Frage kommt fast reflexartig aus US-getriebenen Einkaufsprozessen. Die ehrliche Antwort lautet oft: Braucht ihr es wirklich?

SOC 2 ist ein glaubwürdiges Attestat — aber ein US-Rahmenwerk (AICPA). In Europa, und gerade in der Schweiz, liegt der etablierte Stack woanders: ISO 27001 für das Informationssicherheits-Management, ISAE 3402 für die Kontrollen rund um ausgelagerte Dienstleistungen.

Wer ISO 27001 und ISAE 3402 zertifiziert ist, deckt einen Grossteil dessen, was ein SOC-2-Audit prüft, bereits ab — oft mit erheblicher Überlappung der Kontrollen.

Wann SOC 2 trotzdem Sinn ergibt: wenn der Markt es schlicht erwartet — US-Kunden, US-Investoren, Procurement-Prozesse, die ISO nicht als gleichwertig akzeptieren. Dann ist es eine Vertriebsentscheidung, keine Sicherheitsentscheidung.

Was es nicht ist: ein Sicherheits-Upgrade „on top". Drei parallele Zertifizierungen machen ein Unternehmen nicht sicherer, nur beschäftigter.

Compliance-Frameworks sind Werkzeuge, keine Trophäen. Die Frage ist nicht „welche haben wir", sondern „welches verlangt unser Markt — und deckt das Vorhandene es nicht ohnehin ab?"

Wie geht ihr mit der SOC-2-Frage um?

◰ Alle Insights