ISAE 3402
Audit-Standard für Outsourcing-Dienstleister
Praxis-Hinweis: Dieser Artikel ist praxisorientierte Compliance-Dokumentation, keine Rechtsberatung. Wir sind Compliance-Spezialist, keine Anwaltskanzlei. Für rechtsverbindliche Auskünfte konsultieren Sie eine zugelassene Rechtsanwältin oder einen Rechtsanwalt.
TL;DR
ISAE 3402 (International Standard on Assurance Engagements) wird von Auftraggebern verlangt, um Outsourcing-Dienstleister auf Sicherheits- und Kontroll-Reife zu prüfen. SOC 1/2 sind US-Pendant.
Was ist ISAE 3402?
Typ I (Snapshot) vs. Typ II (12-Monats-Beobachtung):
- Typ I: Beschreibung + Kontroll-Konzept
- Typ II: zusätzlich Wirksamkeit über 12 Monate
ISAE 3402 ist NIS2-Lieferanten-Audit-fähig.
Praxisbeispiel
SaaS-Anbieter X bietet ISAE 3402 Typ II. Sie als Kunde verlangen jährlichen Bericht — als Bestandteil Lieferanten-Audit.
Häufig gestellte Fragen
Pflicht?
Nein, aber Empfehlung bei kritischen Dienstleistern.
Wer prüft?
Wirtschaftsprüfer (Big 4 + Mittelstand).