IT-Sicherheitsrecht in öffentlichen Institutionen und Unternehmen praktisch umsetzen Einen Weg durch den Paragrafendschungel finden

Transkript

1 Praxisseminar für IT-Sicherheitsbeauftragte und IT-Verantwortliche IT-Sicherheitsrecht in öffentlichen Institutionen und Unternehmen praktisch umsetzen Einen Weg durch den Paragrafendschungel finden April 2016, Berlin Broschüre Mit Fokus auf: Gebündelter und fundierter Überblick über die geltenden Rechtsvorschriften Klare Anleitung bei den brisanten Fragen des IT-Sicherheitsrechts: - Haftung bei Sicherheitsverstößen - Rechtliche Grenzen von IT-Sicherheitsmaßnahmen - Überwachung von Telekommunikation - Protokollierung - Outsourcing und Vergabe - Privatnutzung und BYOD - Umsetzungsplan KRITIS und Auswirkungen des IT-Sicherheitsgesetzes Mit optionalem und hinzubuchbarem 3. Tag (27. April 2016) zur Umsetzung des IT-Sicherheitsgesetzes und professionelles IT-Sicherheitsmanagement Aktueller rechtlicher Stand IT-Sicherheitsstandards Aufbau und Betrieb eines ISMS und Vorbereitung auf Zertifizierungen und Prüfungen 1

2 PRAXISSEMINAR FÜR IT-SICHERHEITSBEAUFTRAGTE UND IT-VERANTWORTLICHE IT-Sicherheitsrecht in öffentlichen Institutionen und Unternehmen praktisch umsetzen Das IT-Sicherheitsrecht und seine Umsetzung als Herausforderung für die öffentlichen Institutionen und Unternehmen IT-Sicherheitsbeauftragte und IT-Verantwortliche in öffentlichen Institutionen und Unternehmen sind mit den technischen Aspekten ihrer Arbeit bestens vertraut. Bei den rechtlichen Aspekten jedoch haben zahlreiche das Gefühl, sich auf unsicherem Boden zu bewegen. Viele rechtliche Fragen, die u. a. solche Themenfelder wie Haftung bei IT- Sicherheitsvorfällen, rechtliche Grenzen von IT-Sicherheitsmaßnahmen, Überwachung von Telekommunikation, Protokollierung, Sicherheitsaspekte beim Outsourcing und der Vergabe, Privatnutzung von dienstlicher IT, BYOD betreffen, können IT-Sicherheitsbeauftragten und IT-Verantwortlichen, die in der Regel über keine fundierte juristische Ausbildung verfügen, den Schlaf rauben. Dies ist u. a. auch darauf zurückzuführen, dass es kein einheitliches IT-Sicherheitsrecht gibt und die relevanten rechtlichen Vorgaben über zahlreiche Gesetzestexte, Verordnungen, Verwaltungsanweisungen und Leitlinien verstreut sind. Nicht wenige IT- Sicherheitsbeauftragte und IT-Verantwortliche benötigen daher einen gebündelten und klaren Überblick über die aktuellen Rechtsvorschriften für IT-Sicherheitsbeauftragte und eine Experteneinblick in die rechtlich brisanten, komplizierten und aktuellen Themen des IT-Sicherheitsrechts. Das interaktive Praxisseminar wird sich aber nicht nur den aktuellen Gesetzen und Vorschriften widmen, sondern auch einen Einblick in die Umsetzung derselben anbieten. Dabei soll bspw. anhand von Praxisberichten erfahrener IT-Sicherheitsbeauftragter und Datenschützer aufgezeigt werden wie Sicherheitsleitlinien, Sicherheitsrichtlinien oder Sicherheitskonzepte rechtskonform erarbeitet und implementiert werden können, eine Erfolgskontrolle des Standes der Informationssicherheit (in der eigenen öffentlichen Institution) gestaltet werden kann und IT-Tools (bspw. ein Multinormtool) eingesetzt werden können, die die Umsetzung rechtlicher Vorgaben erleicht. Ein optional hinzubuchbarer und dritter Tag des Intensivseminars ( ) soll öffentlichen Institutionen und Unternehmen, die (auch im Zuge des IT-Sicherheitsgesetzes, aber nicht nur) an der Einführung und Umsetzung eines professionellen IT-Sicherheitsmanagements interessiert sind, vertieft aufzeigen, welche IT-Sicherheitsstandards (IT Grundschutz nach BSI und ISO 27001) welchen Organisation des besten Schutz bieten, wie IT- Sicherheitskonzepte erfolgreich implementiert werden und welche Tools dabei zum Einsatz kommen, wie ein Informationssicherheits-Management (ISMS) erfolgreich aufbaut und betrieben wird und wie man sich erfolgreich auf Zertifizierungen, Prüfungen und Audits vorbereitet. Masterclass Zentrale Verwaltung Dieses Seminar ist Bestandteil der Masterclass Zentrale Verwaltung. Für weitere Informationen klicken Sie bitte hier. An wen richtet sich das Praxisseminar? IT-Sicherheitsbeauftragte, IT- Beauftragte, IT-Sicherheitsrecht- und IT-Recht-Verantwortliche, Leiter der Abteilungen und alle Mitarbeiter, die verantwortlich sind für die Bereiche: IT-Sicherheit, IT-Sicherheitsmanagement IT-Management IT/EDV Datenschutz, (technologischer) Datenschutz (IT-) Recht Compliance Zentrale Abteilung IT-Revision/Innenrevision Informationssicherheit Sicherheit Geheimschutz Sabotageschutz egovernment Verwaltungsmodernisierung Vergabe Aus öffentlichen Verwaltungen und Unternehmen in öffentlicher Hand, wie: Bundesministerien und nachgeordnete Behörden, Ämter und Betriebe auf Bundesebene Landesministerien und nachgeordnete Behörden, Ämter und Betriebe auf Landesebene - inkl. IT-Landesdienstleister Kreise und Landkreise Städte und Kommunen und nachgeordnete Behörden, Ämter und Betriebe von Städten und Kommunen - inkl. kommunale IT-Dienstleister Unternehmen in öffentlicher Hand und des öffentlichen Rechts (öffentliche) Rechenzentren, wie bspw. Hochschulrechenzentren, kommunale Rechenzentren Betreiber von kritischer Infrastruktur (bspw. Stadtwerke, Krankenhäuser) Sicherheitsbehörden, wie bspw. Polizeibehörden Hochschulen und Forschungseinrichtungen Kirchlichen Einrichtungen und Non-Profit-Organisationen Öffentlichen Banken

3 Was lernen Sie in diesem Praxisseminar? Welche Herausforderungen und Chancen bestehen beim IT-Sicherheitsrecht für öffentliche Institutionen und wie finde ich mich als IT-Sicherheitsbeauftragter oder IT-Beauftragter dabei zurecht? Welche aktuellen Rechtsvorschriften müssen IT-Sicherheitsbeauftragte und IT-Verantwortliche kennen und beachten? Was sind die rechtlichen Pflichten und die Rolle des IT-Sicherheitsbeauftragten und welche IT-Sicherheitsstandards müssen in öffentlichen Institutionen beachtet werden? Welche Veränderungen wird das kommende IT-Sicherheitsgesetz bringen? Was muss bei der Erarbeitung und beim Rollout von Sicherheitsrichtlinien, Sicherheitskonzepten oder Sicherheitsleitlinien beachtet werden? Wie ist die Erfolgskontrolle des Standes der Informationssicherheit in einer öffentlichen Institution zu gestalten? Welche Rolle können IT-Tools (bspw. Multinormtools) bei der Umsetzung rechtlicher Vorgaben spielen? Was müssen öffentliche Institutionen, IT-Sicherheitsbeauftragte und IT-Verantwortliche im Hinblick auf die Haftung bei IT-Sicherheitsverstößen, die rechtlichen Grenzen von IT-Sicherheitsmaßnahmen, die Überwachung von Telekommunikation und Protokollierung beachten? Ihre Vorteile Stellen Sie sicher, dass Ihre öffentliche Institution und auch Sie persönlich (als IT-Sicherheitsbeauftragter) rechtlich geschützt sind Sichern Sie sich das aktuelle rechtliche Wissen, dass Sie für Ihre tägliche Arbeit brauchen Seien Sie darauf vorbereitet, auch in einem rechtlichen Notfall richtig zu handeln Nutzen Sie die Vorteile, die die richtigen Zertifizierungen, Audits und Revisionen bei einem rechtlichen Vorfall für Sie bringen Tauschen Sie Erfahrungen mit Kollegen und unseren Experten aus einem großen Kreis von öffentlichen Institutionen von Bundes-, Landes- und kommunaler Ebene aus Welche Fragen des IT-Sicherheitsrechts müssen beim Outsourcing und bei der Vergabe beachtet werden? Welche rechtlichen Fallstricke können die Privatnutzung dienstlicher IT und BYOD (die Nutzung von privater IT für dienstliche Zwecke) mit sich bringen und wie sind diese zu umgehen? Was lernen Sie beim optionalen und hinzubucharen 3. Tag (27. April 2016)? Welche der beiden etablierten IT-Sicherheitsstandards (Grundschutz nach BSI oder ISO 27001) bieten den besten Schutz und welche passen zu meiner Organisation? Wie ist ein IT-Sicherheitskonzept nach Grundschutzstandard des BSI oder ISO optimal zu gestalten und zu implementieren? Welche aktuellen Änderungen müssen beim IT-Grundschutz nach BSI beachtet werden ( neuer Grundschutz )? Wie ist ein Informationssicherheits-Managementsystem (ISMS) erfolgreich aufzubauen und zu betreiben? Wie bereitet man sich erfolgreich auf Zertifizierungen, Prüfungen und Audits vor? 3

4 PROGRAMM TAG 1 IT-Sicherheitsrecht in öffentlichen Institutionen und Unternehmen praktisch umsetzen 08:30-09:00 Akkreditierung und Ausgabe der Seminarunterlagen 09:00-09:05 Begrüßung durch die Europäische Akademie für Steuern, Wirtschaft & Recht 09:05-09:30 Begrüßung durch den Seminarleiter und Vorstellungsrunde 9:30-10:15 IT-Sicherheitsrecht: Herausforderungen und Chancen für die öffentlichen Institutionen und Unternehmen aus der Sicht eines IT-Sicherheitsbeauftragten Was muss IT-Sicherheit in öffentlichen Behörden und Unternehmen leisten? Was kann sie in dem gebotenen Rechtsrahmen leisten? Paragraphendschungel Wie komme ich als IT-Sicherheitsbeauftragter durch die rechtlichen Anforderungen und wo nützen sie mir? Allein auf weiter Flur? Wie gestalte ich die Schnittstellen zum Datenschutz und zur Rechtsabteilung effektiv, um gute Ergebnisse zu erhalten? 10:15-10:30 10:30-11:00 Kaffeepause mit Gelegenheit zum Erfahrungsaustausch und Rechtsvorschriften, Rolle und Pflichten des IT-Sicherheitsbeauftragten 11:00-11:45 Rechtsgrundlagen für IT-Sicherheitsbeauftragte: Gebündelter und klarer Überblick Schutzziele für die Datensicherheit Gesetze, Verordnungen, Verwaltungsanweisungen, Leitlinien Welche Handlungspflichten resultieren aus welchen Vorgaben? Aufgaben des Datenschutz- und des IT-Sicherheitsbeauftragten Gibt es Zielkonflikte? ANDREAS SCHMIDT IT-Sicherheitsbeauftragter, ISO Auditor und IS- Revisor, Grundschutzauditor (BSI-ZIG ), Bundesministerium für Andreas Schmidt ist seit 2011 im Bundesministerium für Wirtschaft und Energie als IT-Sicherheitsbeauftragter tätig und in dieser Funktion für das Ministerium und den Geschäftsbereich verantwortlich. Weiterhin leitet er das IT-Projektmanagement im BMWi. Davor hat er unter anderem die Sicherheit und den Geheimschutz für den Digitalfunk der BOS-Behörden verantwortet und war als Referent für IT-Sicherheit im BMI tätig. Als ISO Auditor und IS-Revisor führt Andreas Schmidt darüber hinaus Audits und Revisionen nach der Methodik des IT-Grundschutz des BSI durch. HEIKO BEHRENDT Gutachter und Berater für Datenschutzaudits, ISO Grundschutzauditor, Unabhängiges Landeszentrum für Datenschutz Schleswig- Holstein Heiko Behrendt ist beim Unabhängigen Landeszentrum für Datenschutz (ULD) in leitender Funktion für die Durchführung datenschutzrechtlicher und sicherheitstechnischer Audits zuständig. Als zertifizierter ISO Grundschutzauditor hat er Organisationen auf dem Weg der Grundschutzeinführung bis zur Zertifizierung erfolgreich begleitet und unterstützt. Die Ausbildung von Datenschutzbeauftragten, die methodische Durchführung von Audits und die komplexe IT-Grundschutzthematik gehören zu seinen Schwerpunkten. Interessanter Erfahrungsaustausch. 11:45-12:00 4

5 12:00-12:45 Rolle und Pflichten des IT-Sicherheitsbeauftragten Was muss? Was kann? Informations- und Meldeplichten bei Sicherheitsvorfällen Orientierung an etablierten Standards für IT-Sicherheit - ISO nativ - BSI Standard 100-1: Managementsysteme für Informationssicherheit (ISMS) - BSI-Standard 100-2: IT-Grundschutz-Vorgehensweise - IT-Grundschutz-Kataloge Business Continuity Management (BCM) IT-Sicherheitskonzept, IT-Sicherheitsleitlinie und IT-Sicherheitsrichtlinien Überwachung und Aktualisierung des IT-Sicherheitskonzepts 12:45-13:00 13:00-14:00 Mittagspause mit Gelegenheit zum Erfahrungsaustausch und 14:00-14:45 Umsetzungsplan KRITIS und Auswirkungen des IT-Sicherheitsgesetzes Empfehlung oder schon verbindliche Vorschrift? Ziel des Gesetzes Schutz der Bürgerinnen und Bürger? Betroffene Branchen / Sektoren / Unternehmen Einhaltung eines Mindestniveaus an IT-Sicherheit Regelmäßiger Nachweis der Erfüllung durch Sicherheitsaudits Einrichtung und Aufrechterhaltung von Verfahren für die Meldung erheblicher IT-Sicherheitsvorfälle an das BSI Betreiben einer Kontaktstelle 14:45-15:00 15:00-15:30 Kaffeepause mit Gelegenheit zum Erfahrungsaustausch und Praktische Erfahrungen bei der Umsetzung des IT-Sicherheitsrechts 15:30-16:15 Erarbeitung und Rollout von Sicherheitsleitlinien, Sicherheitsrichtlinien oder Sicherheitskonzepten in öffentlichen Institutionen Welche Bereiche sollten geregelt werden? Best Practices: - Privatnutzung der IT- und TK-Infrastruktur - Nutzung privater IT für dienstliche Zwecke (BYOD) - Protokollierung - Kopier- und Installationsverbote - Umgang mit externen Datenträgern und / oder mobilen Datenträgern - Abwesenheits- und Vertretungsregeln - Verpflichtungen zur Meldung von Sicherheitsvorfällen Lösungen im Zielkonflikt zwischen: - IT-Sicherheit - Datenschutz - Staatlichem Geheim- und Sabotageschutz - Fernmeldegeheimnis etc. 16:15-16:30 16:30-17:15 Erfolgskontrolle zum Stand der Informationssicherheit in der eigenen Institution Rechtliche, normative und konzeptionelle Vorgaben Erfolgskontrolle im PDCA-Zyklus ( Plan, Do, Check, Act ) Messen der Effizienz und Effektivität von IT-Sicherheitsmaßnahmen Gestaltung interner Audits (Anforderungen, Praxisberichte) IS-Revisionen, Audits, Zertifizierungen 17:15-17:30 17:30 Ende des ersten Tages des interaktiven Praxisseminars 5

6 PROGRAMM TAG 2 IT-Sicherheitsrecht in öffentlichen Institutionen und Unternehmen praktisch umsetzen Praktische Erfahrungen bei der Umsetzung des IT-Sicherheitsrechts 08:30-10:00 Technische Umsetzung rechtlicher Vorgaben leicht gemacht: BSI-Grundschutz-Tool Best Practice mit einem Multinormtool Rechtliche und technische Rahmenbedingungen Normen: 27001, ISIS12, IDW-Standards, usw. Komplexitätsreduktion Vorgehensmodell / Tailoring Organisatorische und personelle Hürden Controlling des Sicherheitsstatus Umsetzungsbeispiele Frank Moses, Landesbeauftragter für Informationssicherheit, Ministerium für Finanzen und Europa des Saarlandes 10:00-10:15 10:15-10:45 Kaffeepause mit Gelegenheit zum Erfahrungsaustausch und Haftung bei Sicherheitsverstößen, rechtliche Grenzen von IT-Sicherheitsmaßnahmen und weitere rechtlich brisante Themen 10:45-11:30 Haftung bei IT-Sicherheitsverstößen, rechtliche Grenzen von IT-Sicherheitsmaßnahmen, Überwachung von Telekommunikation, Protokollierung Haftung der öffentlichen Institution; persönliche Haftung des IT-Sicherheitsbeauftragten - gegenüber der Behörde - gegenüber den Geschädigten Spannungsfeld IT-Sicherheit und - Grundrechte - Datenschutz - Fernmeldegeheimnis - Arbeitnehmerrechte Optimale IT-Sicherheit vs. die Rechte Dritter Überwachung von Telekommunikation Protokollierung Thomas H. Fischer, M.B.L.-HSG, Rechtsanwalt und Partner bei Waldeck Rechtsanwälte PartmbB, Fachanwalt für Informationstechnologierecht FRANK MOSES Landesbeauftragter für Informationssicherheit, Ministerium für Finanzen und Europa des Saarlandes Frank Moses verantwortet als Landesbeauftragter für Informationssicherheit den Aufbau und die Etablierung eines Informationssicherheits- Managementsystem (ISMS) im Ministerium für Finanzen und Europa des Saarlandes, wo er seit 1995 Referent ist. In der Rolle als Landesbeauftragter für Informationssicherheit vertritt er das Land in den Arbeitsgruppen AG-InfoSic und AG- Cybersicherheit des IT-Planungsrats. Davor war er Projektleiter für unterschiedliche Projekte wie die Einführung eines Dokumentenmanagementsystems, eines landeseinheitlichen Business-Intelligence- und Controllingsystems und unterstützte in den vergangenen fünf Jahren den CIO bei strategischen Planungen zur Verwaltungsmodernisierung. THOMAS H. FISCHER, M.B.L.-HSG Rechtsanwalt und Partner bei Waldeck Rechtsanwälte PartmbB, Fachanwalt für Informationstechnologierecht Thomas Fischer ist Rechtsanwalt und Partner der Sozietät Waldeck Rechtsanwälte in Frankfurt am Main. Die Kanzlei gründete er 2004 mit Partnern renommierter Großsozietäten. Zuvor war er in internationalen Sozietäten in Frankfurt und Hamburg tätig. Seit vielen Jahren begleitet Thomas Fischer Vergabeverfahren im IT-Umfeld sowie komplexe Outsourcing Projekte wurde er vom Handelsblatt zu einem der besten Rechtsanwälte im Bereich IT Recht gekürt. Er berät den Branchenverband BITKOM bei den Verhandlungen zur Ausgestaltung der EVB-IT Verträge. Im WHO S WHO LEGAL, dem offiziellen Research Partner der International Bar Association, wurde er als einer der führenden Experten unter den Vergaberechtsanwälten für Deutschland aufgenommen. Die Sozietät Waldeck Rechtsanwälte wurde von der britischen Zeitschrift ACQ-Magazin zur besten Public Procurement Law Firm of the Year 2014 in Deutschland gewählt. 11:30-11:45 11:45-13:00 Mittagspause mit Gelegenheit zum Erfahrungsaustausch und 6

7 13:00-13:45 Outsourcing und Vergabe als besondere rechtliche Herausforderung im IT-Sicherheitsrecht Auftragsvergabe an Dritte: Kontrollverlust bei gleichzeitiger Verantwortung des Auftraggebers (für Datenschutz und IT-Sicherheit) Vergabe: Geheimhaltungsbedürftige Aufträge Sicherheitsfragen im Vergabeverfahren Möglichkeiten der Risikominimierung durch eine geschickte Vertragsgestaltung Thomas H. Fischer, M.B.L.-HSG, Rechtsanwalt und Partner bei Waldeck Rechtsanwälte PartmbB, Fachanwalt für Informationstechnologierecht 13:45-14:00 14:00-14:30 Kaffeepause mit Gelegenheit zum Erfahrungsaustausch und 14:30-15:15 Privatnutzung und BYOD als rechtliche Herausforderungen Private Nutzung dienstlicher IT: rechtliche Herausforderungen und Lösungen Nutzung privater IT für dienstliche Zwecke (BYOD): Fallstricke und Chancen Thomas H. Fischer, M.B.L.-HSG, Rechtsanwalt und Partner bei Waldeck Rechtsanwälte PartmbB, Fachanwalt für Informationstechnologierecht THOMAS H. FISCHER, M.B.L.-HSG Rechtsanwalt und Partner bei Waldeck Rechtsanwälte PartmbB, Fachanwalt für Informationstechnologierecht Thomas Fischer ist Rechtsanwalt und Partner der Sozietät Waldeck Rechtsanwälte in Frankfurt am Main. Die Kanzlei gründete er 2004 mit Partnern renommierter Großsozietäten. Zuvor war er in internationalen Sozietäten in Frankfurt und Hamburg tätig. Seit vielen Jahren begleitet Thomas Fischer Vergabeverfahren im IT-Umfeld sowie komplexe Outsourcing Projekte wurde er vom Handelsblatt zu einem der besten Rechtsanwälte im Bereich IT Recht gekürt. Er berät den Branchenverband BITKOM bei den Verhandlungen zur Ausgestaltung der EVB-IT Verträge. Im WHO S WHO LEGAL, dem offiziellen Research Partner der International Bar Association, wurde er als einer der führenden Experten unter den Vergaberechtsanwälten für Deutschland aufgenommen. Die Sozietät Waldeck Rechtsanwälte wurde von der britischen Zeitschrift ACQ-Magazin zur besten Public Procurement Law Firm of the Year 2014 in Deutschland gewählt. 15:15-15:30 15:30 Ende des interaktiven Praxisseminars und Ausgabe der Zertifikate Hochinteressant. Viel Inhalt unterhaltsam vermittelt. Sehr gelungen. Fachlich und inhaltlich sehr gut rübergebracht. 7

8 PROGRAMM TAG 3 OPTIONAL BUCHBAR Umsetzung des IT-Sicherheitsgesetzes und professionelles IT-Sicherheitsmanagement Alles zum IT-Sicherheitsgesetz! 08:30-09:00 Akkreditierung und Ausgabe der Seminarunterlagen 09:00-09:05 Begrüßung durch die Europäische Akademie für Steuern, Wirtschaft & Recht 09:05-09:30 Begrüßung durch die Seminarleiter und Vorstellungsrunde ANDREAS SCHMIDT ISO Auditor und IS- Revisor, Grundschutzauditor (BSI-ZIG ), Bundesministerium für Andreas Schmidt ist seit 2011 im Bundesministerium für Wirtschaft und Energie als IT-Sicherheitsbeauftragter tätig und in dieser Funktion für das Ministerium und den Geschäftsbereich verantwortlich. Weiterhin leitet er das IT- Projektmanagement im BMWi. Davor hat er unter anderem die Sicherheit und den Geheimschutz für den Digitalfunk der BOS-Behörden verantwortet und war als Referent für IT- Sicherheit im BMI tätig. Als ISO Auditor und IS-Revisor führt Andreas Schmidt darüber hinaus Audits und Revisionen nach der Methodik des IT-Grundschutz des BSI durch. Aktueller rechtlicher Stand 9:30-10:15 Welche Änderungen bringen das IT-Sicherheitsgesetz und die Rechtsverordnung? Inhalte des IT-Sicherheitsgesetzes: - Energiewirtschaftsgesetz - BSI-Gesetz - Atomgesetz - Telemediengesetz - Telekommunikationsgesetz - Bundesbesoldungsgesetz - Bundeskriminalgesetz Inhalte der (kommenden) Rechtsverordnung und deren Auswirkungen - Die Rechtsverordnung legt fest, welche Unternehmen zur kritischen Infrastruktur gehören und enthält Regelungen über die Umsetzung des IT-Sicherheitsgesetzes Welche Ziele verfolgen die Vorschriften? Der Fahrplan beim IT-Sicherheitsgesetz : Wie erfülle ich die Anforderungen und worauf muss ich wann gefasst sein? Wie muss ich jetzt und zukünftig reagieren, um auf der sicheren Seite zu sein? 10:15-10:30 10:30-11:00 Kaffeepause mit Gelegenheit zum Erfahrungsaustausch und HEIKO BEHRENDT Gutachter und Berater für Datenschutzaudits, ISO Grundschutzauditor, Unabhängiges Landeszentrum für Datenschutz Schleswig- Holstein Heiko Behrendt ist beim Unabhängigen Landeszentrum für Datenschutz (ULD) in leitender Funktion für die Durchführung datenschutzrechtlicher und sicherheitstechnischer Audits zuständig. Als zertifizierter ISO Grundschutzauditor hat er Organisationen auf dem Weg der Grundschutzeinführung bis zur Zertifizierung erfolgreich begleitet und unterstützt. Die Ausbildung von Datenschutzbeauftragten, die methodische Durchführung von Audits und die komplexe IT-Grundschutzthematik gehören zu seinen Schwerpunkten. Informativ und empfehlenswert! 8

9 11:00-11:45 Auswirkungen des IT-Sicherheitsgesetzes und der Rechtsverordnung auf Unternehmen und öffentlichen Institutionen: Zuständigkeiten, Pflichten, Aufgaben und Rechte und ihre Umsetzung sowie mögliche Sanktionen Welche Unternehmen und öffentlichen Institutionen sind (wie sehr) betroffen? - Welche Unterschiede gibt es zwischen den verschiedenen öffentlichen Institutionen und Unternehmen? - Welche Ausnahmen gibt es? Welche Zuständigkeiten, Pflichten, Aufgaben und Rechte ergeben sich aus dem IT-Sicherheitsgesetz und deren Rechtsverordnungen? - Melde- und Kontaktstellen bei den (betroffenen) öffentlichen Institutionen und Unternehmen: Wer muss sie einrichten? - Zentrale Kontaktstelle des BSI: Für welche öffentlichen Institutionen und Unternehmen ist sie relevant (und welche Aufgaben nimmt die Bundesnetzagentur wahr?) - Sicherheitsvorfälle, Störungen, Meldung von Protokollund Schnittstellendaten: Wer muss was melden? Wie muss rechtskonform und technisch richtig reagiert werden, um Sanktionen zu entgehen? Wie ist die Datenübermittlung (an das BSI bzw. die Bundesnetzagentur) konkret zu behandeln? - Sanktionen bei Nichtbeachtung der Anforderungen IT-Sicherheitskatalog gemäß 11 Absatz 1a Energiewirtschaftsgesetz - Besondere Anforderungen für Energieversorger - Nachweis einer Zertifizierung bis zum 31. Januar 2018 Stand der Technik IT-Sicherheitsstandards 12:00-12:45 IT-Sicherheitsstandards: Welche IT-Sicherheitsstandards bieten den besten Schutz und welche passen zu meiner öffentlichen Institution oder Unternehmen? Was ist der Stand der Technik? Erfüllung von nach dem Stand der Technik angemessenen organisatorischen und technischen Maßnahmen innerhalb von 2 Jahren nach Inkrafttreten der Rechtsverordnung Welche IT-Sicherheitsstandards gibt es und welche bieten den besten Schutz? - ISO nativ - BSI-Grundschutz - Alternativen Über welche Qualität muss mein Sicherheitskonzept verfügen, damit der Nachweis vom BSI akzeptiert wird? Wie ist ein Fahrplan bei der Einführung eines IT-Sicherheitsstandards zu gestalten? Lohnt sich ein Wechsel von einem IT-Sicherheitsstandards (bspw. IT-Grundschutz nach BSI zu ISO 27001) und ist er machbar? 12:45-13:00 13:00-14:15 Mittagspause mit Gelegenheit zum Erfahrungsaustausch und 11:45-12:00 Komplexes Thema verständlich und informativ rübergebracht! Für meine Organisation bringt es einen Mehrwert und für mich persönlich auch. 9

10 14:15-15:00 Wie sind IT-Sicherheitskonzepte nach DIN ISO/IEC bzw. nach Grundschutzstandard des BSI zu gestalten und zu implementieren und welche Tools können dabei eingesetzt werden? Welche Voraussetzungen müssen bei der Implementierung von ISO beachtet werden? Welche Voraussetzungen müssen bei der Implementierung von IT-Grundschutz erfüllt werden? Inhalte eines nach Grundschutzstandard des BSI erstellen IT-Sicherheitskonzeptes Dokumentation nach ISO Dokumentation nach IT-Grundschutz als Grundlage für Sicherheitsaudits, Prüfungen oder Zertifizierungen Welche Tools zur Umsetzung gibt es? 15:00-15:15 15:15-15:45 Kaffeepause mit Gelegenheit zum Erfahrungsaustausch und 16:45-17:30 Vorbereitung auf Prüfungen: Sicherheitsaudits, Prüfungen oder Zertifizierungen? Ausgestaltung des internen Kontrollsystems (IKS) Erfolgskontrolle bei Maßnahmen zur Informationssicherheit Key Performance Indices (KPI) und Key Goal Indices (KGI) Wie kann ich mich als IT-Sicherheitsbeauftragter oder IT-Verantwortlicher wirksam auf externe Audits vorbereiten? Welche Sicherheitsaudits, Prüfungen oder Zertifizierungen gibt es? Welche Prüfungen sind für meine öffentliche Institution oder mein Unternehmen am besten geeignet? Wie wähle ich die geeignete Methode eines Audits oder die passende Zertifizierungsstelle aus? 17:30-17:45 17:45 Ende des interaktiven 3-tägigen Seminars und Ausgabe der Zertifikate Aufbau und Betrieb eines ISMS und Vorbereitung auf Prüfungen 15:45-16:30 Erfolgreicher Aufbau und Betrieb eines geeigneten Informationssicherheits- Managementsystems (ISMS) und Vorteile der Integration von Managementsystemen Etablierung von Prozessen in der Organisation Integrierte Managementsysteme Erprobte Normen und Standards Regelung der entscheidenden organisatorischen und technischen Fragen Wie können die Anforderungen des IT-Sicherheitsgesetzes in die eigenen Sicherheitsprozesse integriert werden? Erfahrungen aus der Praxis des Betriebs eines ISMS sowie der Auditierung 16:30-16:45 10 Die Inhalte waren gut geeignet, den sehr heterogenen Teilnehmerkreis komplett anzusprechen.

11 ORGANISATORISCHES IT-Sicherheitsrecht in öffentlichen Institutionen und Unternehmen praktisch umsetzen Veranstaltungstermin April 2016 Buchungsnummer S-1231 MC3 Veranstaltungssprache Die Veranstaltungssprache ist Deutsch. Veranstaltungspreis 2-tägiges Praxisseminar ( April 2016) 1.389,- Euro 3-tägiges Praxisseminar ( April 2016, mit optionalem 3. Tag zu Umsetzung des IT-Sicherheitsgesetzes und professionelles IT-Sicherheitsmanagement ) 1.589,- Euro Im Veranstaltungspreis inbegriffen sind: Umfangreiche Veranstaltungsunterlagen, die als Druckerzeugnis im Rahmen der Veranstaltung übergeben werden Seminar-Zertifikat bei voller Anwesenheit Getränke und abwechslungsreiche Pausenversorgung während der ganzen Veranstaltung Mittagessen an beiden Tagen Auf Wunsch erhalten Sie nach der Veranstaltung die digitale Version der Tagungsunterlagen zum Preis von zzgl. 60,- Euro zusätzlich zum Seminar. Alle Preise zzgl. 19% MwSt. BUCHUNG buchung@euroakad.eu Tel.: +49 (0) Fax: +49 (0) Für Online-Buchungen besuchen Sie bitte unsere Internetseite: Kontakt Europäische Akademie für Steuern, Wirtschaft & Recht am Potsdamer Platz, Eingang Leipziger Platz Berlin Tel.: +49 (0) Fax: +49 (0) info@euroakad.eu Internet: Ihre AnsprechpartnerInnen zum Programm: Regina Lüning, M.Sc. econ. Leiterin Marketing und Vertrieb Tel.: +49 (0) Fax: +49 (0) regina.luening@euroakad.eu Dr. rer. pol. Nikolaus Siemaszko Conference Manager Tel.: +49 (0) Fax: +49 (0) nikolaus.siemaszko@euroakad.eu (Programmänderungen vorbehalten) Veranstaltungsort Arcotel John F Werderscher Markt Berlin Tel.: +49 (0) reservation.johnf@arcotelhotels.com Internet: 11

12 BUCHUNG Tel.: +49 (0) Fax: +49 (0) Für Online-Buchungen besuchen Sie bitte unsere Internetseite: Buchungsoption Intensivseminar: April 2016 Praxisseminar: April 2016 Buchung Buchungsnummer: S-1231 MC3 (DM) APRIL 2016, BERLIN Hiermit möchten wir die folgenden Personen verbindlich für das Praxisseminar für IT-Sicherheitsbeauftragte und IT-Verantwortliche: IT-Sicherheitsrecht in öffentlichen Institutionen und Unternehmen praktisch umsetzen anmelden. Teilnehmer 1 Frau Herr Vorname Organisation Abteilung U-Abt. / Referat Position Straße PLZ / Stadt Land Nachname Tel. Fax Hiermit bestelle ich die digitale Version der kostenpflichtigen Tagungsunterlagen zusätzlich zum Seminar. Teilnehmer 2 Vorname Organisation Abteilung U-Abt. / Referat Position Straße PLZ / Stadt Land Frau Herr Nachname Tel. Fax Hiermit bestelle ich die digitale Version der kostenpflichtigen Tagungsunterlagen zusätzlich zum Seminar. Teilnehmer 3 Vorname Organisation Abteilung U-Abt. / Referat Position Straße PLZ / Stadt Land Frau Herr Nachname Tel. Fax Hiermit bestelle ich die digitale Version der kostenpflichtigen Tagungsunterlagen zusätzlich zum Seminar. Rechnungsanschrift, falls abweichend Vorname Organisation Abteilung U-Abt. / Referat Position Frau Herr Nachname Mit meiner Unterschrift bestätige ich die rechtsverbindliche Anmeldung und akzeptiere die Allgemeinen Geschäftsbedingungen. Hiermit stimme ich zu, weitere Information von der Europäischen Akademie für Steuern, Wirtschaft & Recht zu erhalten. Straße PLZ / Stadt Land Tel. Fax Bei Anmeldung von mehreren Teilnehmern wünschen Sie: Einzelrechnung? Sammelrechnung? HINWEIS Die Anmeldung ist nur mit Stempel und Unterschrift gültig. Ort, Datum Unterschrift Bevollmächtigter und Stempel 12 Europäische Akademie für Steuern, Wirtschaft & Recht Brauner Klingenberg GmbH Leipziger Platz Berlin Tel +49 (0) Fax +49 (0)

13 Allgemeine Geschäftsbedingungen 1. Geltungsbereich Die folgenden Allgemeinen Geschäftsbedingungen regeln das Vertragsverhältnis zwischen dem Teilnehmer an Veranstaltungen und der Europäischen Akademie für Steuern, Wirtschaft & Recht Brauner Klingenberg GmbH [im Folgenden Europäische Akademie für Steuern, Wirtschaft & Recht genannt]. Abweichende Allgemeine Geschäftsbedingungen und anderweitige Regelungen des Teilnehmers haben keine Gültigkeit. 2. Anmeldung/Anmeldebestätigung Ihre Anmeldung kann per Buchungsformular über Internet, Post, Telefax oder erfolgen. Die Buchung gilt als angenommen und rechtsverbindlich, wenn wir nicht innerhalb von 7 Tagen nach Eingang der Buchung die Ablehnung schriftlich erklärt haben. Zusätzlich erhalten Sie von der Europäischen Akademie für Steuern, Wirtschaft & Recht als Information eine Buchungsbestätigung per . Eine Teil-Buchung ist nur für als selbständig buchbar ausgeschriebene Veranstaltungsteile möglich. 3. Leistung Der Teilnahmebetrag versteht sich pro Person und Veranstaltungstermin zzgl. gesetzl. Umsatzsteuer. Er beinhaltet Tagungsunterlagen - soweit angekündigt - Mittagessen und Pausengetränke. Des Weiteren ist die Ausstellung eines Teilnahmezertifikates eingeschlossen. Die Europäische Akademie für Steuern, Wirtschaft & Recht behält sich vor, angekündigte Referenten durch andere zu ersetzen und notwendige Änderungen im Veranstaltungsprogramm unter Wahrung des Gesamtcharakters der Veranstaltung bei Bedarf vorzunehmen. Ist die Durchführung der Veranstaltung aufgrund höherer Gewalt, wegen Verhinderung eines Referenten, wegen Störungen am Veranstaltungsort oder aufgrund zu geringer Teilnehmerzahl nicht möglich, werden die Teilnehmer umgehend informiert. Die Absage wegen zu geringer Teilnehmerzahl erfolgt nicht später als 2 Wochen vor der Veranstaltung. Die Veranstaltungsgebühr wird in diesen Fällen erstattet. Ein Anspruch auf Ersatz von Reise- und Übernachtungskosten sowie Arbeitsausfall ist ausgeschlossen, es sei denn, solche Kosten entstehen aufgrund grob fahrlässigen oder vorsätzlichen Verhaltens seitens der Europäischen Akademie für Steuern, Wirtschaft & Recht. Der Veranstalter verpflichtet sich, bei eventuell auftretenden Leistungsstörungen alles Zumutbare zu unternehmen, um zu einer Behebung oder Begrenzung der Störung beizutragen. Sollten in bestimmten Fällen aus Kulanz dennoch Reisekosten erstattet werden, so stellt dies eine Ausnahme dar. 4. Fälligkeit und Zahlung, Verzug, Aufrechnung Der Veranstaltungspreis ist unverzüglich nach Erhalt der Rechnung fällig. Ist der Veranstaltungspreis am Tag der Veranstaltung nicht bezahlt oder kann die Zahlung nicht eindeutig nachgewiesen werden so kann der Teilnehmer von der Veranstaltung ausgeschlossen werden. Der Veranstaltungspreis ist dennoch sofort fällig und wird ggf. im Mahnverfahren oder gerichtlich geltend gemacht. Kommt der Teilnehmer in Zahlungsverzug, ist der Veranstalter berechtigt, Verzugszinsen i.h.v. 5% über dem Basiszinssatz [ 247 Abs.1 BGB] p.a. zu fordern. Wenn die Europäische Akademie für Steuern, Wirtschaft & Recht einen höheren Verzugsschaden nachweist, kann dieser geltend gemacht werden. In gleicher Weise ist der Teilnehmer berechtigt, den Nachweis zu führen, dass ein Schaden überhaupt nicht entstand oder wesentlich niedriger ist, als von der Europäischen Akademie für Steuern, Wirtschaft & Recht geltend gemacht. Die Bezahlung erfolgt auf Rechnung und nicht durch Übersendung von Bargeld oder Schecks; bei Verlust übernimmt die Europäische Akademie für Steuern, Wirtschaft & Recht keine Haftung. Der Teilnehmer kann nur mit rechtskräftig festgestellten oder von der Europäischen Akademie für Steuern, Wirtschaft & Recht schriftlich anerkannten Ansprüchen aufrechnen. Zur Ausübung eines Zurückbehaltungsrechts ist der Teilnehmer nur insoweit befugt, als sein Gegenanspruch auf demselben Vertragsverhältnis beruht. 5. Stornierung Stornierungen müssen schriftlich erfolgen. Bei Stornierung der Teilnahme bis 30 Tage vor Veranstaltungsbeginn wird eine Bearbeitungsgebühr von 80,00 zzgl. der gesetzl. Mwst. sofort fällig. Der Veranstaltungspreis wird erstattet. Bei Stornierungen bis 2 Wochen vor Beginn der Veranstaltung werden 50% des Veranstaltungspreises zzgl. der gesetzl. Mwst. fällig. Bei Nichterscheinen oder Stornierung ab 2 Wochen vor dem Veranstaltungstermin wird der gesamte Teilnahmebetrag zzgl. der gesetzl. Mwst. fällig. Gerne akzeptiert die Europäische Akademie für Steuern, Wirtschaft & Recht ohne zusätzliche Kosten einen Ersatzteilnehmer, wenn dieser bis spätestens 3 Tage vor Veranstaltungsbeginn gemeldet wird. Ein teilweiser/ tageweiser Rücktritt von einer Veranstaltung sowie ein teilweise/ tageweise Ersatzteilnehmer ist nicht möglich. 6. Urheberrechte Die Tagungsunterlagen sind urheberrechtlich geschützt. Die Vervielfältigung, Weitergabe oder anderweitige Nutzung der Tagungsunterlagen, auch auszugsweise, ist nur mit ausdrücklicher schriftlicher Zustimmung durch den Veranstalter gestattet. Die Europäische Akademie für Steuern, Wirtschaft & Recht behält sich alle Rechte vor. 7. Haftung Die Veranstaltungen werden von qualifizierten Referenten sorgfältig vorbereitet und durchgeführt. Die Europäische Akademie für Steuern, Wirtschaft & Recht übernimmt keine Haftung für die Aktualität, Richtigkeit und Vollständigkeit in Bezug auf die Tagungsunterlagen und die Durchführung der Veranstaltung. 8. Anwendbares Recht, Gerichtsstand und Erfüllungsort Es gilt deutsches Recht unter Ausschluss des Unternehmer-Kaufrechts. Soweit gesetzlich zulässig, wird als Erfüllungsort und Gerichtsstand Berlin vereinbart. 9. Datenschutz Die Europäische Akademie für Steuern, Wirtschaft & Recht schützt Ihre personenbezogenen Daten und trifft angemessene Maßnahmen für deren Sicherheit. Ihre Daten werden von der Europäischen Akademie für Steuern, Wirtschaft & Recht im Rahmen der geltenden rechtlichen Grenzen zur Auswertung ihrer Bedürfnisse zum Zwecke der Optimierung unseres Produktangebotes verwendet. Für diesen Zweck werden auch ihre Zugriffe auf die Web-Site der Europäischen Akademie für Steuern, Wirtschaft & Recht protokolliert. Wenn Sie Informationsmaterialien anfordern, eine Bestellung durchführen oder das Veranstaltungsangebot der Europäischen Akademie für Steuern, Wirtschaft & Recht nutzen, verwendet diese die in diesem Rahmen erhobenen Daten in den geltenden rechtlichen Grenzen zum Zweck der Durchführung ihrer Leistungen und um Ihnen postalisch Informationen über weitere Angebote von der Europäischen Akademie für Steuern, Wirtschaft & Recht zukommen zu lassen. Wenn Sie Kunde der Europäischen Akademie für Steuern, Wirtschaft & Recht sind, informieren diese Sie außerdem in den geltenden rechtlichen Grenzen per über ihre Angebote, die den vorher von Ihnen genutzten Leistungen ähnlich sind. Soweit im Rahmen der Verwendung der Daten eine Übermittlung in Länder ohne angemessenes Datenschutzniveau erfolgt, schafft die Europäische Akademie für Steuern, Wirtschaft & Recht ausreichende Garantien zum Schutz der Daten. Außerdem verwendet die Europäische Akademie für Steuern, Wirtschaft & Recht Ihre Daten, soweit Sie ihr hierfür eine Einwilligung erteilt haben. Bei der Erhebung Ihrer Daten fragt die Europäische Akademie für Steuern, Wirtschaft & Recht nach Ihrer Einwilligung, ob diese Sie über verschiedenste Angebote per informieren darf. Sie können der Nutzung Ihrer Daten für Zwecke der Werbung oder der Ansprache per oder Telefax jederzeit gegenüber der Europäischen Akademie für Steuern, Wirtschaft & Recht widersprechen. Der Europäischen Akademie für Steuern, Wirtschaft & Recht übermittelte Daten werden maschinell zur Abwicklung Ihrer Veranstaltungsbuchung und zur Information über weitere Veranstaltungen verarbeitet. Die Namen und Organisationsnamen werden über die Teilnehmerliste den anderen Veranstaltungsteilnehmern zugänglich gemacht und an das mit dem Postversand beauftragte Unternehmen zuzüglich der entsprechenden Adressdaten übermittelt. 13