Juristische Vorgaben und Standards zur IT-Sicherheit!
Im Zeitalter steigender digitaler Vernetzung und ständig ansteigender Internetkriminalität ist die Aufrechterhaltung der IT-Sicherheit schon lange zu einer Hauptaufgabe für Exekutive und Legistlative, die Volkswirtschaft ebenso wie die Zivilgesellschaft avanciert. Dennoch wird dieser Entwicklung in der Arbeitsrealität bei weitem noch nicht die notwendige Achtsamkeit entgegengebracht, was nicht unerhebliche juristische Folgen zeitigen kann. Welche gesetzlichen Vorschriften sowie Erlasse Unternehmen mit Blick auf die IT-Security, kennen und befolgen müssen, erfahren Sie in dem nachfolgenden Blog.
Heutzutage sind die Integrität und der wirtschaftliche Erfolg eines Geschäftsbetriebes ohne die Nutzung einer hochperformanten und permanent verfügbaren IT-Umgebung nicht vorstellbar.
Laut einer gegenwärtigen Untersuchung durch Riverbed sind zwischenzeitlich 81 % der befragten Führungskräfte davon überzeugt, dass eine moderne IT-Umgebung Entwicklungspotential, Erfindungsreichtum und Unternehmensperformance steigert.
Trotzdem der Einsatz neuer Systeme wichtige und zukunftsweisende Vorzüge für Unternehmungen bereithält, resultieren diese oft gleichermaßen in einer zunehmenden IT-Abhängigkeit und erweitern so das Risiko für aktuelle Cyberbedrohungen, fehlerhaften Konfigurationen und Datenschutzverletzungen.
Folglich ist inzwischen in sämtlichen Wirschaftsbereichen eine stärkere gesetzliche Regulation der IT-Sicherheit festzustellen.
Bedrohungen aus dem Internet rechtssicher abwenden!
Das Thema IT-Sicherheit beschäftigt im Zuge der zunehmenden Vernetzung des Businessalltages immerzu mehr Unternehmen. Allerdings sind die betreffenden gesetzlichen Vorgaben an Geschäftsbetriebe zunächst alles andere als überschaubar.
Denn bis jetzt besteht kein Hauptgesetz, das jegliche Regelungen mit Wechselbeziehung zur IT-Sicherheit bündelt. Eigentlich fungieren diverse verschiedenartige Vorschriften zusammen, um Firmen zu verpflichten, ein IT-Risk Management zu betreiben und in die Implementierung risikoangepasster IT-Securityvorkehrungen wie auch IT-Security Solutions zu investieren.
Wird dies jedoch verpasst, können im Kontext eines IT-Securityvorfalls nebst bedeutenden Reputationsschäden auch noch Bußgelder in Millionenhöhe fällig werden.
Alleinig im Jahre 2020 wurden in Europa insgesamt 160 Millionen € Geldbußen wegen Übertretungen gegen die Europäische DSGVO verwirkt. In der Bundesrepublik erging das größte Bußgeld mit 35,3 Millionen Euro an das H&M Servicecenter in Nürnberg, welches die persönlichen Lebensumstände 100ter Beschäftigter ausgespäht haben soll.
Die wesentlichen rechtlichen Grundlagen zur IT-Sicherheit im Gesamtüberblick:
Im Zuge der andauernd vielschichtiger werdenden Gefahrenlage sehen sich die Legislative ebenso wie Betriebe immer mehr in der Notwendigkeit zu reagieren. Auf der einen Seite entstehen moderne sowie innovativere IT-Security Solutions und Dienstleistungen, die das IT-Sicherheitsniveau erhöhen. Zum anderen werden verschärfte Erfordernisse an eine unternehmensweite IT-Security definiert, um so IT-Gefahren durch technologische, administrative, strukturelle und personelle IT-Sicherheitsmaßnahmen zu verkleinern. Vorschriften, welche insbesondere die IT-Sicherheit berühren, haben hierbei hauptsächlich die Intention, die IT-Infrastruktur eines Betriebes vor Cyberattacken, unberechtigtem Zugriff sowie Manipulation zu beschützen. Vorschriften, die den Datenschutz angehen, haben die Absicht, einen zuverlässigen Schutz für Unternehmensdaten im Zusammenhang mit Verfügbarkeit, Vertraulichkeit, Unversehrtheit und Echtheit zu realisieren. Damit Geschäftsbetriebe gesetzeskonforme IT-Securitymaßnahmen umsetzen können, sind u.a. die anschließend aufgeführten Regelungen und Vorschriften für sie zentral:
• das IT-Sicherheitsgesetz: Beim IT-Sicherheitsgesetz, abgekürzt IT-SiG, handelt es sich um ein Artikelgesetz, welches die Zielsetzung hat, die Integrität von Daten und IT-Umgebungen zu sichern sowie zu garantieren. Bei dem IT-Sicherheitsgesetz stehen speziell die Provider systemkritischer Strukturen aus den Branchen Strom- und Wasserversorgung, Finanzen oder Ernährung im Vordergrund. Diese Anbieter sind nach dem Gesetz verpflichtet, ihre Geschäfts-IT angemessen zu sichern ebenso wie min. alle 2 Jahre prüfen zu lassen. Dazu kommen Meldepflichten an das Bundesamt für Sicherheit in der Informationstechnik nach aufgetretenen IT-Securityvorfällen.
• die EU-DSGVO:Die EU-Datenschutzgrundverordnung ist wie auch das IT-Sicherheitsgesetz ein Artikelgesetz. Es verfolgt das Ziel, europaweit für homogene Regulierungen zu sorgen, welche den Datenschutz angehen. Damit steigen die Erfordernisse an die Datenschutz-Compliance sowie ein funktionales Datenschutz-Management-System. Die Regelungen des deutschen Bundesdatenschutzgesetzes,kurz BDSG, ergänzen die EU-DSGVO, indem verschiedene Punkte weiter verdeutlicht werden.
• das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich: Das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich, kurz KonTraG, zielt auf die Verbesserung der Grundsätze der Führung von Unternehmen ab. Weiter sollen Unternehmen motiviert werden, sich verstärkt mit dem Themenbereich IT-Risk Management zu beschäftigen sowie in ein firmenweites Risikofrüherkennungssystem zu investieren.
• die Grundsätze zur ordnungsgemäßen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff: Bei den Grundsätzen zur ordnungsgemäßen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff, kurz GoBD, handelt es sich um Regeln aus einer Anweisung des BMF für die Dokumentationsprozesse in Firmen. Die GoBD stellen sicher, dass Unternehmen, in welchen betriebliche Abläufe wie auch Buchführungs-, Aufzeichnungs- und Aufbewahrungspflichten bestehen, verschiedene Sorgfaltspflichten bei der Weiterverarbeitung, Speicherung und Bereitstellung der Informationen zu beachten. Jedoch sollten sämtliche Vorgaben über ein internes Kontrollsystem umgesetzt werden. Ebenfalls wird eine Dokumentierung als Bestätigung eines rechtskonformen Systembetriebs verlangt.
Neben diesen vier wesentlichen Rechtsvorschriften sollten Betriebe bei der Implementation einer risikoangemessenen IT-Securitystrategie noch nachfolgende Richtlinien einbeziehen:
• die Grundsätze für eine ordnungsmäßige Datenverarbeitung, kurz GoDV
• das Gesetz zum Schutz von Geschäftsgeheimnissen , abgekürzt GeschGehG
• Telekommunikations-Überwachungsverordnung, kurz TKÜV
• Telekommunikationsgesetz, kurz TKG
• Telemediengesetz, abgekürzt TMG
• Beziehungsweise das Telekommunikation-Telemedien-Datenschutzgesetz, kurz TTDSG, das ab dem 01.12.2021 gültig ist.
• die §§ 69a ff. und der § 106 im Urheberrechtsgesetz, kurz UrhG
Auch Gesetze zur IT-Security sichern Ihren unternehmerischen Erfolg!
Inzwischen müssen Betriebe bei uns eine große Menge rechtlicher Pflichten in Bezug auf ihre IT-Sicherheit beherzigen, anderenfalls können sehr hohe Bußgelder drohen.
Vor diesem Hintergrund ist es wesentlich, dass sich Firmen rechtzeitig mit den wesentlichen Gesetzgebungen wie auch Richtlinien, welche die IT-Security anbelangen, befassen.
Nur so können sie eine durchgängig starke IT-Sicherheit ebenso wie die nötige IT-Compliance sicherstellen.
Möchten Sie noch mehr über die juristischen Seiten der IT-Sicherheit erfahren oder benötigen Sie einen externen IT-Sicherheitsbeauftragten? Nehmen Sie mit uns Kontakt auf!