Vielschichtiger Regulierungsrahmen
Die Absicherung von IT-Systemen ist seit Beginn der Digitalisierung vor allem ein fachlich-technisches Thema. Es wurde zunehmend auch zu einem rechtlichen: Vorgaben finden sich im Datenschutzrecht, in den Vorschriften zum Geschäftsgeheimnisschutz und den Maßgaben für die Betreiber sogenannter kritischer Infrastrukturen. Ergänzend zu dieser „direkten Regulierung“ spielt die Informationssicherheit auch im Zusammenhang mit allgemeinen Sorgfaltspflichten der Geschäftsführung und Haftungsfragen eine Rolle.
Dynamische Weiterentwicklung
Der Regulierungsrahmen im Bereich der Cybersicherheit wird durch Gesetzgeber, Gerichte und Behörden fortlaufend weiterentwickelt und konkretisiert. Risiken ergeben sich dabei vor allem für diejenigen Unternehmen, die das Thema Cybersicherheit nicht oder mit unzureichenden personellen und wirtschaftlichen Ressourcen behandeln. Umgekehrt reduziert die Umsetzung von aus fachlicher Sicht angemessenen Maßnahmen (also das operative Risikomanagement) im Regelfall auch die rechtlichen Risiken.
Datenschutzrecht
Personenbezogene Daten sind durch angemessene technische und organisatorische Maßnahmen zu schützen. Diese Vorgabe aus den 70er-Jahren gilt nach wie vor und die Datenschutz-Grundverordnung (DSGVO) hat diese um eine verpflichtende Meldung von Sicherheitsvorfällen mit Bezug zu personenbezogenen Daten an die Aufsichtsbehörden und ggf. die Information der betroffenen Personen ergänzt. Konkrete Vorgaben für Sicherheitsmaßnahmen macht das Gesetz nicht – diese sind vielmehr von den Verantwortlichen unter Berücksichtigung unter anderem der Risiken und des Standes der Technik zu definieren. Seit Anwendbarkeit der DSGVO haben deutsche und europäische Aufsichtsbehörden diverse Bußgelder wegen unzureichender Sicherheitsmaßnahmen verhängt, die sich zumeist auf fachliche Mindeststandards bezogen. Auch in Zukunft ist zu erwarten, dass Datenschutzbehörden bei Sicherheitsvorfällen die ergriffenen Sicherheitsmaßnahmen kritisch prüfen. Anerkannte Sicherheitsstandards, Zertifizierungen oder die Umsetzung behördlicher Empfehlungen werden perspektivisch eine größere Rolle auch beim datenschutzrechtlichen Risikomanagement spielen.
Geschäftsgeheimnisse – angemessene Schutzmaßnahmen
Auch das 2019 in Kraft getretene Gesetz zum Schutz von Geschäftsgeheimnissen nimmt auf „angemessene Geheimhaltungsmaßnahmen“ Bezug. Hier sind solche Sicherheitsmaßnahmen allerdings zwingende Voraussetzung, damit eine Information rechtlichen Schutz als Geschäftsgeheimnis genießt. Auch beim Geschäftsgeheimnisschutz gibt das Gesetz keine konkreten Maßnahmen vor, diese sind im Detail mit Blick auf Art und Bedeutung des einzelnen Geheimnisses zu definieren. Die Rechtsprechung nimmt jedoch in jüngster Zeit auf einige Mindestvoraussetzungen Bezug – zumeist bekannte fachliche „Essentials“ der Cybersicherheit wie etwa:
- ein Informationssicherheits-Management-System (ISMS),
- Systemabsicherung durch Firewalls, VPN, Update-/Patch-Management,
- Zugriffsschutz (Passwortschutz, 2-Faktor-Authentifizierung),
- technische Umsetzung des „need-to-know“-Prinzips durch Berechtigungs- und Löschkonzepte,
- Notfallpläne zur Reaktion auf Sicherheitsvorfälle.
Besondere Herausforderungen des Geheimnisschutzes liegen zudem in der notwendigen Klassifizierung vertraulicher Informationen, etwa um einen besonderen Schutz für „Kronjuwelen“ sicherzustellen (mehr zum Schutz von Geschäftsgeheimnissen erfahren Sie auch in unserem Podcast CMS To Go: Know-How-Schutz: Organisatorische Maßnahmen zum Schutz von Geschäftsgeheimnissen).
Kritische Infrastrukturen – der Blick aufs große Ganze
Die rechtlichen Vorschriften für Netzwerk- und Informationssicherheit (NIS) nehmen speziell Betreiber kritischer Infrastrukturen in die Pflicht, um diese gesellschaftlich relevanten Bereiche gegen Bedrohungen zu schützen. Nicht zuletzt aufgrund der aktuellen geopolitischen Risiken hat die Europäische Kommission eine Überarbeitung der sogenannten NIS-Richtlinie angestoßen. Die neue NIS2-Richtlinie wurde jüngst vom Rat der EU angenommen. Die Novelle führt zu einem größeren Kreis regulierter Unternehmen und zu erweiterten Sicherheitsmanagement- und Berichtspflichten.
Neu: Der Blick auf digitale Produkte
Eine gänzlich neue Regulierung plant der europäische Gesetzgeber mit Blick auf „Produkte mit digitalen Elementen“. Durch den geplanten Cyber Resilience Act sollen verbindliche Sicherheitsanforderungen für vernetzte Geräte (sowohl im B2B- als auch im B2C-Bereich) definiert werden. Die neuen Verpflichtungen sollen sich insbesondere an Hersteller entsprechender Hard- und Software richten. Sie umfassen Sicherheitsvorgaben für den gesamten Lebenszyklus vernetzter Produkte, von Planung, Design, Entwicklung, Fertigung und Lieferung bis hin zur Wartung. Vorgesehen sind auch laufende Prozesse zur Identifizierung, Dokumentation und Behebung von Sicherheitslücken.
Social-Media-Cookies sammeln Informationen darüber, wie Sie Inhalte von unserer Website über die sozialen Medien teilen, oder liefern Analysedaten zu Ihrem Nutzungsverhalten, wenn Sie zwischen Social-Media-Plattformen oder unseren Social-Media-Kampagnen und unseren eigenen Websites navigieren. Wir setzen diese Cookies ein, um die Mischung der Kommunikationswege zu optimieren, über die wir Ihnen unsere Inhalte zukommen lassen. Genauere Informationen zu den eingesetzten Tools finden Sie in unserer Datenschutzerklärung.