Denn Basel II wird Gesetz - und damit kann es sein, das die Banken eure Kunden nach Dokumentation der IT-Sicherheit fragt, bevor ein Kredit erteilt wird (da die IT-Sicherheit zu den Risikobewertungen bei der Bonitätsprüfung gehört):
Zu den operationellen Risiken eines Unternehmens zählen auch die Risiken, die sich aus dem Einsatz von Informationstechnologie in den Unternehmensprozessen ergeben. Gefordert ist ein aktives IT-Risiko-Management, das sich mit allen Aspekten der IT-Sicherheit für das jeweilige Unternehmen befasst. Wichtige IT-Systeme müssen redundant vorhanden, Verfügbarkeiten gesichert sein, Angriffe auf die IT-Systeme von innen und außen wirksam abgewehrt werden, Notfallpläne sollten erarbeitet sein und so weiter.
Und da ja Kunden in der Regel keine eigene Dokumentation erstellen (was mich immer wieder fasziniert, denn eigentlich müsen die ja selber für die Sicherheit sorgen, daher sollten sie auch selber Dokumentation pflegen), fordern sie sowas dann vom Dienstleister. Üblicherweise einen Tag nachdem sie von jemandem nach dem Thema gefragt wurden (z.B. wenn der Prüfer schon drauf und dran ist, ihnen das Prüfsiegel zu verweigern, weil die Dokumentation fehlt).
Hey, das ist eine ganz neue Form der Firmenerpressung: sei kooperativ, oder deine nächste IT-Sicherheitsprüfung für den neuen Kredit geht in die Hose 
