Home / Veröffentlichungen / 2023 - Themen, die Sie bewegen werden / Cybersicherheit: Operative Notwendigkeit und Rech...

Cybersicherheit: Operative Notwendigkeit und Rechtspflicht

Cybersicherheitsvorfälle sind (leider) zu einem Alltagsphänomen geworden und sowohl ihre Häufigkeit als auch der Umfang der Schäden für betroffene Unternehmen steigen laufend. Die globalisierte, digitalisierte und hochgradig vernetzte Wirtschaft ist anfällig für verschiedenste Bedrohungen – von organisierter digitaler Erpressung durch sogenannte Ransomware bis hin zu gezielten Angriffen auf Daten oder kritische Infrastrukturen. Das internationale Allianz Risk Barometer 2022 listet Cyberrisiken noch vor Betriebsunterbrechung und Naturkatastrophen auf Platz 1 der globalen Risikoskala.

Vielschichtiger Regulierungsrahmen 

Die Absicherung von IT-Systemen ist seit Beginn der Digitalisierung vor allem ein fachlich-technisches Thema. Es wurde zunehmend auch zu einem rechtlichen: Vorgaben finden sich im Datenschutzrecht, in den Vorschriften zum Geschäftsgeheimnisschutz und den Maßgaben für die Betreiber sogenannter kritischer Infrastrukturen. Ergänzend zu dieser „direkten Regulierung“ spielt die Informationssicherheit auch im Zusammenhang mit allgemeinen Sorgfaltspflichten der Geschäftsführung und Haftungsfragen eine Rolle.

Dynamische Weiterentwicklung

Der Regulierungsrahmen im Bereich der Cybersicherheit wird durch Gesetzgeber, Gerichte und Behörden fortlaufend weiterentwickelt und konkretisiert. Risiken ergeben sich dabei vor allem für diejenigen Unternehmen, die das Thema Cybersicherheit nicht oder mit unzureichenden personellen und wirtschaftlichen Ressourcen behandeln. Umgekehrt reduziert die Umsetzung von aus fachlicher Sicht angemessenen Maßnahmen (also das operative Risikomanagement) im Regelfall auch die rechtlichen Risiken.

Datenschutzrecht

Personenbezogene Daten sind durch angemessene technische und organisatorische Maßnahmen zu schützen. Diese Vorgabe aus den 70er-Jahren gilt nach wie vor und die Datenschutz-Grundverordnung (DSGVO) hat diese um eine verpflichtende Meldung von Sicherheitsvorfällen mit Bezug zu personenbezogenen Daten an die Aufsichtsbehörden und ggf. die Information der betroffenen Personen ergänzt. Konkrete Vorgaben für Sicherheitsmaßnahmen macht das Gesetz nicht – diese sind vielmehr von den Verantwortlichen unter Berücksichtigung unter anderem der Risiken und des Standes der Technik zu definieren. Seit Anwendbarkeit der DSGVO haben deutsche und europäische Aufsichtsbehörden diverse Bußgelder wegen unzureichender Sicherheitsmaßnahmen verhängt, die sich zumeist auf fachliche Mindeststandards bezogen. Auch in Zukunft ist zu erwarten, dass Datenschutzbehörden bei Sicherheitsvorfällen die ergriffenen Sicherheitsmaßnahmen kritisch prüfen. Anerkannte Sicherheitsstandards, Zertifizierungen oder die Umsetzung behördlicher Empfehlungen werden perspektivisch eine größere Rolle auch beim datenschutzrechtlichen Risikomanagement spielen.

Geschäftsgeheimnisse – angemessene Schutzmaßnahmen

Auch das 2019 in Kraft getretene Gesetz zum Schutz von Geschäftsgeheimnissen nimmt auf „angemessene Geheimhaltungsmaßnahmen“ Bezug. Hier sind solche Sicherheitsmaßnahmen allerdings zwingende Voraussetzung, damit eine Information rechtlichen Schutz als Geschäftsgeheimnis genießt. Auch beim Geschäftsgeheimnisschutz gibt das Gesetz keine konkreten Maßnahmen vor, diese sind im Detail mit Blick auf Art und Bedeutung des einzelnen Geheimnisses zu definieren. Die Rechtsprechung nimmt jedoch in jüngster Zeit auf einige Mindestvoraussetzungen Bezug – zumeist bekannte fachliche „Essentials“ der Cybersicherheit wie etwa:

  • ein Informationssicherheits-Management-System (ISMS),
  • Systemabsicherung durch Firewalls, VPN, Update-/Patch-Management,
  • Zugriffsschutz (Passwortschutz, 2-Faktor-Authentifizierung),
  • technische Umsetzung des „need-to-know“-Prinzips durch Berechtigungs- und Löschkonzepte,
  • Notfallpläne zur Reaktion auf Sicherheitsvorfälle.

Besondere Herausforderungen des Geheimnisschutzes liegen zudem in der notwendigen Klassifizierung vertraulicher Informationen, etwa um einen besonderen Schutz für „Kronjuwelen“ sicherzustellen (mehr zum Schutz von Geschäftsgeheimnissen erfahren Sie auch in unserem Podcast CMS To Go: Know-How-Schutz: Organisatorische Maßnahmen zum Schutz von Geschäftsgeheimnissen).

Kritische Infrastrukturen – der Blick aufs große Ganze

Die rechtlichen Vorschriften für Netzwerk- und Informationssicherheit (NIS) nehmen speziell Betreiber kritischer Infrastrukturen in die Pflicht, um diese gesellschaftlich relevanten Bereiche gegen Bedrohungen zu schützen. Nicht zuletzt aufgrund der aktuellen geopolitischen Risiken hat die Europäische Kommission eine Überarbeitung der sogenannten NIS-Richtlinie angestoßen. Die neue NIS2-Richtlinie wurde jüngst vom Rat der EU angenommen. Die Novelle führt zu einem größeren Kreis regulierter Unternehmen und zu erweiterten Sicherheitsmanagement- und Berichtspflichten. 

Neu: Der Blick auf digitale Produkte

Eine gänzlich neue Regulierung plant der europäische Gesetzgeber mit Blick auf „Produkte mit digitalen Elementen“. Durch den geplanten Cyber Resilience Act sollen verbindliche Sicherheitsanforderungen für vernetzte Geräte (sowohl im B2B- als auch im B2C-Bereich) definiert werden. Die neuen Verpflichtungen sollen sich insbesondere an Hersteller entsprechender Hard- und Software richten. Sie umfassen Sicherheitsvorgaben für den gesamten Lebenszyklus vernetzter Produkte, von Planung, Design, Entwicklung, Fertigung und Lieferung bis hin zur Wartung. Vorgesehen sind auch laufende Prozesse zur Identifizierung, Dokumentation und Behebung von Sicherheitslücken. 

Autoren

Michael Kamps
Michael Kamps
Partner
Rechtsanwalt
Köln
Michael Biendl
Dr. Michael Biendl
Counsel
Rechtsanwalt
München
Thomas Fröhlich
Thomas Fröhlich
Counsel
Rechtsanwalt
Stuttgart
07/12/2022
2023 - Themen, die Sie bewegen werden
Das vergangene Jahr 2022 war in vielerlei Hinsicht eine Zeitenwende. Aufgrund des schrecklichen Krieges in der Ukraine rückten Themen in den Fokus, über die sich Gesellschaft, Politik und Wirtschaft zuvor zu wenig Gedanken gemacht hatten, und fast alle Unternehmen mussten sich in vielen Punkten auf eine neue Realität einstellen. Wir sind jedoch nicht nur durch die multiplen Krisen in Wirtschaft und Gesellschaft – von Energie über Inflation bis hin zur Lie­fer­ket­ten­pro­ble­ma­tik – herausgefordert, sondern sehen die Unternehmenswelt seit geraumer Zeit auch einem Zuwachs an komplexer Regulatorik ausgesetzt, mit der Sie alle in der täglichen Arbeit umgehen müssen. Die Erfüllung dieser weiterhin steigenden Anforderungen ist nicht nur unter dem Gesichtspunkt allgemeiner Compliance, sondern auch angesichts nachhaltiger Wett­be­werbs­fä­hig­keit eine der zentralen Her­aus­for­de­run­gen für die deutsche und europäische Wirt­schaft. The­men wie der Weg zur Kli­ma­neu­tra­li­tät, neue Ge­schäfts­mo­del­le aufgrund der Digitalisierung und der Fach­kräf­te­man­gel werden die meisten Unternehmen auch im kommenden Jahr beschäftigen – zusammen mit den Her­aus­for­de­run­gen, welche die begonnene Teilentflechtung der globalen Abhängigkeiten mit sich bringt. Hier steckt aber auch Potenzial, das wir gemeinsam mit Ihnen, unseren Mandantinnen und Mandanten, heben können. Wir unterstützen Sie aktiv dabei, den bestehenden Rechtsrahmen zur bestmöglichen Gestaltung Ihres un­ter­neh­me­ri­schen Alltags zu nutzen und Ihre Innovationskraft zu erhalten.Über die voraussichtlich wichtigsten Themen des Jahres 2023 haben wir für Sie einen Überblick zu­sam­men­ge­stellt. Auch im kommenden Jahr bleiben wir an Ihrer Seite und freuen uns auf die weitere Zusammenarbeit mit Ihnen!