Das neue IT-Sicherheitsgesetz



Ähnliche Dokumente
IT-Governance. Standards und ihr optimaler Einsatz bei der. Implementierung von IT-Governance

The AuditFactory. Copyright by The AuditFactory

Update. Zum Whitepaper Target 2 Securities Single Settlement Engine for Europe. Neuste Erkenntnisse zu T2S auf Grund der letzten Veröffentlichungen

Rechtliche Aspekte der IT-Security.

Der internationale Erbfall Deutschland/Thailand

Nutzung dieser Internetseite

WSO de. <work-system-organisation im Internet> Allgemeine Information

Informationssicherheitsmanagement

GPP Projekte gemeinsam zum Erfolg führen

M e r k b l a t t. Neues Verbrauchervertragsrecht 2014: Beispiele für Widerrufsbelehrungen

THE KNOWLEDGE PEOPLE. CompanyFlyer.indd :48:05

WIR MACHEN SIE ZUM BEKANNTEN VERSENDER

Telearbeit - Geltungsbereich des BetrVG

Zur richtigen Zeit am richtigen Ort

Agieren statt Reagieren. Risikomanagement das Werkzeug der Zukunft

Erläuterungen zur Untervergabe von Instandhaltungsfunktionen

[Customer Service by KCS.net] KEEPING CUSTOMERS SUCCESSFUL

Datenschutz-Management

Haftungsrisiken im Ehrenamt

Die neue Datenträgervernichter DIN 66399

Datenschutz und Geheimhaltungsvereinbarung (NDA) der FLUXS GmbH

Kirchlicher Datenschutz

Bei der Tagung werden die Aspekte der DLRL aus verschiedenen Perspektiven dargestellt. Ich habe mich für die Betrachtung der Chancen entschieden,

Herzlich willkommen bei tetraguard Ihrem Spezialisten für Sicherheitssoftware!

Marketingmaßnahmen effektiv gestalten

Leisten Sie sich Das Gute Gefühl!

SCHALTEN SIE DEN DATENSCHUTZ EIN. EINFACH & EFFEKTIV.

SCHALTEN SIE DEN DATENSCHUTZ EIN. EINFACH & EFFEKTIV.

Echtzeiterkennung von Cyber Angriffen auf SAP-Systeme mit SAP Enterprise Threat Detection und mehr

Personalentwicklung im Berliner Mittelstand. Darstellung der Studienergebnisse Berlin,

Anlage eines neuen Geschäftsjahres in der Office Line

Unternehmensleitbild. Vision Mission Werte Spielregeln

UNTERNEHMENS-NACHFOLGE PL ANEN. Mit dem St. Galler Nachfolge-Prozess weitsichtig und frühzeitig planen

Das Ziel ist Ihnen bekannt. Aber was ist der richtige Weg?

Die vorliegende Arbeitshilfe befasst sich mit den Anforderungen an qualitätsrelevante

Was macht Layer2 eigentlich? Erfahren Sie hier ein wenig mehr über uns.

Geyer & Weinig: Service Level Management in neuer Qualität.

Wir organisieren Ihre Sicherheit

Was Sie über SCRUM wissen sollten...

Das IT-Sicherheitsgesetz

Konzentration auf das. Wesentliche.

Erfahrungen mit Hartz IV- Empfängern

MICROSERVE Informations-Management GmbH Wickrather Hof Gertrudisstraße Köln Fon Fax

Was beinhaltet ein Qualitätsmanagementsystem (QM- System)?

Einwilligungserklärung

Der Weg ist das Ziel. Konfuzius. Dafür steht co.cept

IT-SICHERHEIT IM UNTERNEHMEN Mehr Sicherheit für Ihre Entscheidung

Was sagt der Anwalt: Rechtliche Aspekte im BEM

Der Schutz von Patientendaten

Mehr Effizienz und Wertschöpfung durch Ihre IT. Mit unseren Dienstleistungen werden Ihre Geschäftsprozesse erfolgreicher.

«PERFEKTION IST NICHT DANN ERREICHT, WENN ES NICHTS MEHR HINZUZUFÜGEN GIBT, SONDERN DANN, WENN MAN NICHTS MEHR WEGLASSEN KANN.»

First Climate AG IT Consulting und Support. Information Security Management System nach ISO/IEC 27001:2013 AUDIT REVISION BERATUNG

Herzlich willkommen. zur Information Arbeitssicherheit / Gesundheitsschutz / für Kirchgemeinden

Änderungen zum Jahreswechsel 2010

Änderungen in der gesetzlichen Kranken- und Pflegeversicherung ab 1. Januar 2015.

» IT-Sicherheit nach Maß «

Zertifizierter GmbH-Geschäftsführer (S&P)

Privatinsolvenz anmelden oder vielleicht sogar vermeiden. Tipps und Hinweise für die Anmeldung der Privatinsolvenz

Letztes Update am

DIE SICHERE ENTSCHEIDUNG!

lernen Sie uns kennen...


Risikomanagement in der Praxis Alles Compliance oder was?! 1. IT-Grundschutz-Tag

Gestaltungsbeispiel Holdingstruktur

Umzug der abfallwirtschaftlichen Nummern /Kündigung

BETRIEBSSICHERHEIT wird bei uns groß geschrieben! D eutschlandweite P rüfung nach BetrSichV und DGUV Vorschrift 3+4 G erichtsfeste Dokumentation

Wir, gewählter Oberster Souverän von Gottes Gnaden, Treuhänder des

Trainings für Führungskräfte. mit Fördermöglichkeit für Mitarbeiter ab 45 Jahren in KMU-Unternehmen

Energieaudit. Energieaudit.

Avenue Oldtimer Liebhaber- und Sammlerfahrzeuge. Ihre Leidenschaft, gut versichert

STREITFINANZIERUNG BEI IMMOBILIENKREDITEN. Recht für Alle. Niedrige Zinsen für Alle.

Aufsicht und Haftung. zu den Kindertageseinrichtungen

Begrüßung mit Schwung und Begeisterung. Die Teilnehmer müssen spüren, dass die Aufgabe Spaß macht.

Employer Branding: Ist es wirklich Liebe?

Die beiden Seiten der Medaille beim -Marketing

Fachnachmittag Sexuelle Grenzüberschreitung Impulse zum professionellen Umgang in der Kita Bürgerhaus Zähringen 16. Mai 2013

Familienrecht Vorlesung 6. Familienrecht

Leitbildentwicklung Einführung in Leitbildentwicklung und Prozessplanung

Stellungnahme der Bundesärztekammer

Teamentwicklung. Psychologische Unternehmensberatung Volker Rudat

Deutliche Mehrheit der Bevölkerung für aktive Sterbehilfe

Inhalt. Einführung in das Gesellschaftsrecht

Wachstumspotenzial bei Banken durch individuelle Beratung

Von der Strategie zum Cockpit

chancen der digitalisierung Überblick Rechtliche Aspekte des cloudcomputing

CERTQUA-Servicecenter Nahtlose IT-Anbindung per Schnittstelle

Die Umsetzung von IT-Sicherheit in KMU

Newsletter: Februar 2016

GEMEINSAM MIT IHNEN SETZEN WIR DIE SEGEL, UM IHR LEBENSWERK SACHTE UND SICHER IN EINEN NEUEN HAFEN ZU STEUERN.

CountryDesk. Das internationale Netzwerk der Sparkassen-Finanzgruppe

Internet- und -Überwachung in Unternehmen und Organisationen

für ihren Erfolg R S

Datenschutz und -Sicherheit. Gesetzeskonformer. Datenschutz schützt nicht nur Ihre Gäste, sondern auch Sie.

Volksbank BraWo Führungsgrundsätze

teamsync Kurzanleitung

Skills-Management Investieren in Kompetenz

Projekt- Management. Landesverband der Mütterzentren NRW. oder warum Horst bei uns Helga heißt

FRAGE 39. Gründe, aus denen die Rechte von Patentinhabern beschränkt werden können

Transkript:

Das neue IT-Sicherheitsgesetz Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme Neue Herausforderungen für das IT- Sicherheitsmanagement Rechtliche Vorgaben lassen Haftungsrisiken steigen

Management SummaryIT-Sicherheitsgesetz Management Summary Zahlen und Fakten Mit Wirkung zum 25. Juli 2015 ist das bereits am 16. Juni 2015 im Bundestag verabschiedete Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme, kurz IT-Sicherheitsgesetz, in Kraft getreten. Die Betreiber kritischer Infrastrukturen wie Banken, Börsen, Krankenhäuser und Energieunternehmen werden gesetzlich verpflichtet, einen Mindeststandard an IT-Sicherheit einzuhalten. Interpretiert man aber die Sicht des Bundesministeriums für Wirtschaft und Energie (BMWI) sowie des Bundesministeriums des Innern (BMI), kann davon ausgegangen werden, dass eine Erweiterung auf weitere Wirtschaftsbereiche wahrscheinlich ist, welche sich in der für Ende des Jahres erwarteten Umsetzungsverordnung konkretisieren wird 1. Dieses definierte Mindestniveau an IT-Sicherheit wird dabei seitens des Bundesamtes für Sicherheit in der Informationstechnik (BSI) verbindlich festgelegt, so dass mit dem IT- Sicherheitsgesetz dessen Rolle als zentrale Institution für IT-Sicherheit in Deutschland weiter gestärkt wird. Zukünftig sind erhebliche IT-Sicherheitsvorfälle an das BSI unverzüglich anonym zu melden. Das BSI übernimmt nachfolgend die Auswertung der übermittelten Informationen mit dem Ziel, ein Lagebild der IT-Sicherheit zu erstellen und warnt bei Bedarf andere Unternehmen proaktiv. Auch kann das BSI nachfolgend von durch IT-Sicherheitsmängeln betroffenen Unternehmen die Übermittlung der gesamten Audit-, Prüfungs- oder Zertifizierungsergebnisse sowie deren Beseitigung verlangen. Darüber hinaus sieht das Gesetz eine Erweiterung der Ermittlungszuständigkeiten des Bundeskriminalamtes im Bereich der Computerdelikte vor, insbesondere für den Fall von IT-Angriffen auf Einrichtungen des Bundes und Unternehmen mit kritischen Infrastrukturen. Damit werden die Zuständigkeiten des Bundeskriminalamtes im Bereich der Computerkriminalität durch das IT-Sicherheitsgesetz umfassend gestärkt. Zur Steigerung der IT-Sicherheit im Internet werden die Anforderungen an Diensteanbieter im Telekommunikations- und Telemedienbereich erhöht. Sie müssen künftig Sicherheit nach dem jeweiligen Stand der Technik bieten. Folgende Konsequenzen wird das neue IT-Sicherheitsgesetz zeitnah mit sich bringen: Die Übergangsfrist zur Umsetzung der Forderungen nach dem IT-Sicherheitsgesetz beträgt zwei Jahre, also bis 2017. Bei Nichterfüllung drohen Geldbußen von bis zu 100.000. Das aufsichtsrechtlich geforderte Mindestniveau an IT-Sicherheit wird seitens des Bundesamtes für Sicherheit in der Informationstechnik (BSI) verbindlich festgelegt. Eine Kontaktstelle für IT-Sicherheit im Unternehmen ist verpflichtend einzurichten und an die Aufsichtsbehörde zu melden. 1 Vgl.: http://www.bmwi.de/de/themen/digitale-welt/digitale-agenda.html

Management SummaryIT-Sicherheitsgesetz Erhebliche IT-Sicherheitsvorfälle im Unternehmen sind an BSI unverzüglich anonym zu melden. Derzeit geht das BSI von etwa 2.000 Unternehmen aus, die etwaige Cyberangriffe im Rahmen der Umsetzung des IT-Sicherheitsgesetzes dem BSI melden müssen. Ein 2-Jähriger Turnus für Prüfungsaudits identifizierter kritischer IT-Systeme wird verpflichtend. Angesichts der gravierenden Veränderungen für das IT-Sicherheitsmanagement ist es für alle Akteure empfehlenswert, sich frühzeitig mit dem Thema zu befassen. Insbesondere muss sich jedes betroffene Unternehmen kurzfristig mit dem Stand seiner IT-Security auseinandersetzen. Rechtliche Vorgaben steigern Haftungsrisiken Das IT-Sicherheitsgesetz verpflichtet Unternehmen mit kritischen Infrastrukturen, die Sicherheitsanforderungen an die IT-Infrastruktur Up-to-Date zu halten. Um seinen Pflichten als GmbH-Gesellschafter, AG-Vorstand oder schon aufgrund der arbeitsvertraglichen Sorgfaltspflichten im Rahmen des Angestelltenverhältnisses gerecht zu werden, muss der CIO schon bei der Ausgestaltung des IT-Sicherheitsmanagements geeignete Standards berücksichtigen. Von besonderer Wesentlichkeit sind dabei die einschlägigen ISO- Normen (insbesondere ISO 27001 i.v. mit ISO 27002) zu nennen, welche in Verbindung mit einschlägigen IT-Sicherheitskatalogen der jeweiligen Branchen den im IT- Sicherheitsgesetz geforderten Mindeststandard adäquat abbilden. Vor straf- und zivilrechtlichen Folgen ist der CIO insbesondere dann nicht sicher, wenn die Nichteinhaltung notwendiger Maßnahmen aus dem IT-Sicherheitsgesetz gültige Rechtsnormen, Sicherheitsanforderungen und Compliance-Gebote aushebelt. Ebenso schädlich ist der Verlust der Reputation. Neben dem BSI können auch Datenschutz- Aufsichtsbehörden einschreiten bzw. Betriebshaftpflichtversicherungen ihre Leistungen kürzen oder ganz verweigern. Werden Daten beispielsweise unter Verstoß gegen rechtliche Vorgaben erhoben, können sie vor Gericht beispielsweise in einem Arbeitsgerichtsprozess- nicht als Beweismittel eingesetzt werden. Die im IT-Sicherheitsgesetz verankerten hohen Geldbußen bei Verstößen gegen die Mindestanforderungen sind nur ein Aspekt der dramatischen Folgen für ein betreffendes Unternehmen bei Nichteinhaltung gesetzlicher Vorgaben zur IT-Sicherheit. So können Gewerbeämter bei Verletzung der IT-Sicherheit die Gewerbeerlaubnis entziehen oder Datenschutz-Aufsichtsbehörden einschreiten. Kann das Management seine Sorgfaltspflichten nicht ausreichend belegen, können darüber hinaus Betriebshaftpflichtversicherungen Leistungen kürzen oder ganz verweigern. In diesem Falle ist es nur ein kurzer Schritt zur persönlichen Haftung des verantwortlichen Managers. Schadensersatzsprüche des Arbeitgebers gegen den Arbeitnehmer wegen sogenannter Schlechterfüllung arbeitsvertraglicher Pflichten ergeben sich aus 280 Absatz 1 BGB. Immer dann, wenn der Arbeitnehmer, in diesem Fall der CIO, "seine Pflichten aus dem Arbeitsverhältnis verletzt, indem er schuldhaft seine Arbeit nicht ordnungsgemäß erbringt und den Arbeitgeber hierdurch schädigt", greift dieser Paragraph. Kurzfristige Umsetzungsempfehlungen Damit auch Ihr Unternehmen diese Mindestanforderungen an eine sichere IT optimal erfüllen kann, empfehlen wir folgende Maßnahmen zeitnah umzusetzen:

Management SummaryIT-Sicherheitsgesetz 1. Risikoanalyse Mit dem Werkzeug der Risikoanalyse identifizieren Sie die Sicherheitsrisiken im Unternehmen. Neben technischen Risiken stehen hier auch organisatorische und die Sicherstellung der Funktionsfähigkeit aller wesentlichen Geschäftsprozesse, auch in Krisensituationen, im Vordergrund. 2. Maßnahmen ableiten Aus der Risikoanalyse werden im folgenden Schritt konkrete Maßnahmen abgeleitet. Dabei spielen die gesetzlichen Vorgaben eine wesentliche Rolle. In jedem Falle sollten hier bereits Personen im Unternehmen definiert sein, die für die jeweilige Umsetzung der Maßnahmen verantwortlich sind. 3. Einhaltung von Datenschutz und Datensicherheit Das IT-Sicherheitsgesetz verschärft noch einmal die Notwendigkeit des Schutzes sensibler Daten. Neben einem Datenklassifizierungskonzept steht insbesondere der Schutz personenbezogener Daten im Vordergrund. Natürlich ist völlige Datensicherheit aufgrund der rasanten technologischen Entwicklung mit vertretbarem technischem und personellem Einsatz nicht möglich. Unternehmen müssen aber dafür sorgen, dass ihre IT-Systeme, die sensible Daten verarbeiten, soweit sicher vor digitalen Angriffen sind, wie es dem jeweiligen Stand der Technik entspricht. 4. Regelkreislauf für das IT-Sicherheitsmanagement Eine zentrale Kontaktstelle im Unternehmen für Fragen der IT-Sicherheit wird mit dem IT-Sicherheitsgesetz zwingend erforderlich. Unternehmen sollten darüber hinaus einen Regelkreislauf für IT-Sicherheit implementieren, da eine regelmäßige Überprüfung der Funktionsfähigkeit des IT-Sicherheitsmanagements mindestens alle zwei Jahre ebenfalls verbindlich gefordert wird. Management und Aufsichtsbehörden (intern und extern) müssen jederzeit über den aktuellen Zustand der IT-Sicherheit informiert werden können. Best-Practice ist hier weiterhin das PDCA - Lebenszyklusmodell nach dem Standard ISO 27001 und den abgeleiteten BSI- Standards: Plan (Einrichten eines IT-Sicherheitsmanagements) ->Do (Implementieren und Verwalten von Ressourcen)->Check (Laufende Überwachung und Erfolgskontrolle)->Act (kontinuierliche Verbesserungsmaßnahmen). IT-Sicherheit stellt in immer größerem Maße einen entscheidenden Wettbewerbsvorteil dar: Vor dem Hintergrund fast täglicher Berichte in den Medien von Sicherheitslücken und Datenlecks in Unternehmen und Behörden wird IT-Sicherheit immer mehr zu einer wesentlichen Entscheidungsgrundlage für Ihre Kunden und Partner. Warten Sie also nicht bis andere die Führung übernehmen, sondern handeln Sie proaktiv! Wie können wir Sie unterstützen? Ganzheitlich oder modular, wir sind für Sie da. Severn hilft Ihnen optimal bei der Umsetzung der gesetzlichen Vorgaben aus dem IT-Sicherheitsgesetz. Unsere Berater sind praxiserfahrene Spezialisten bei der Analyse, Umsetzung von IT-Sicherheitsanforderungen bis zur kompletten Konzeption, Implementierung und Überprüfung eines IT- Sicherheitsmanagements.

Management SummaryIT-Sicherheitsgesetz Unsere Leistungen Business Impact Analyse durch Einsatz bewährter Methoden und Best-Practice Erfahrungen aus bereits erfolgreich abgeschlossenen Projekten: Status Quo der IT-Sicherheit im Unternehmen: Wir analysieren Ihre Strategien, organisatorischen Regelungen, Prozesse und Systeme vor dem Hintergrund auf Konformität mit den bestehenden gesetzlichen Regelungen. Überblick über den Stand der IT-Sicherheit gemäß den Vorgaben des BSI sichert Konformität der Risikoanalysen mit gängigen Standards: Entwicklung und Bewertung von Optimierungspotentialen, Lösungsalternativen für noch umzusetzende Schritte bzw. Optimierung / Einführung eines aufsichtsrechtlich entsprechenden IT- Sicherheitsmanagements. Dies schließt neben den Geschäftsprozessen auch die Prüfung der fachlichen Voraussetzungen der Keyholder im IT-Sicherheitsmanagement mit ein. Individuelle Beratung (Verbesserungspotentiale der bestehenden Strukturen personell, organisatorisch, technisch, Berücksichtigung der Rollen von Outsourcingpartnern, funktionsfähige Datenklassifizierungskonzepte, etc.) mit dem klaren Ziel einer gesamtheitlichen Umsetzung der gesetzlichen Vorgaben, abgestimmt auf die Anforderungen Ihres Unternehmens: Wir begleiten auf Wunsch alle Projektphasen im IT- Sicherheitsmanagement. Ausgehend von der strategischen Entscheidung über die taktischen Vorgehensweisen bis hin zur zeit- und anforderungsgerechten Implementierung sämtlicher notwendiger Regelungen für Mitarbeiter. Weiterhin liefern wir Vorgaben für die notwendigen Steuerungskomponenten, die dem verantwortlichen Management jederzeit einen Überblick des IT-Sicherheitsmanagements im Unternehmen ermöglicht. Ihr zusätzlicher Mehrwert: Unsere Vorgehensweise stellt die Zertifizier- und Prüfbarkeit durch sachkundigen Dritten sicher (z.b. in Form eines Audit Cyber-Security- Check gemäß BSI). Wir unterstützen Sie in allen Phasen des Regelkreislaufs im IT- Sicherheitsmanagement.

Management SummaryIT-Sicherheitsgesetz Ihr Partner Next Generation Consulting für Finanzunternehmen. Severn Consultancy ist eine auf den nationalen und internationalen Finanzmarkt spezialisierte Unternehmensberatung. Exzellente Beratung und sofort wirksame Lösungen für unsere Mandanten mit diesem Anspruch wurde Severn Consultancy 1987 in London gegründet. Mittlerweile ist der Hauptsitz in Frankfurt, die Philosophie ist gleich geblieben. Kompetente Fach- und Managementberatung gepaart mit effektivem Projekt-Management, wirkungsvoller Organisationsentwicklung und zukunftssicherem IT-Management sind die Säulen des "Severn way to get it done". In mehr als 20 Jahren Beratungspraxis haben wir eine Vielzahl renommierter Unternehmen bei der effizienten Durchführung ihrer Projekte und der Optimierung unternehmensinterner Prozesse unterstützt. Unsere Mandanten schätzen unsere innovativen Beratungskonzepte, das methodische Know-how sowie unsere fundierten Marktund Branchenkenntnisse. Ansprechpartner Christian Moerler Geschäftsführer / Managing Director Dr. Achim Stein Manager Severn Consultancy GmbH Hansa Haus, Berner Straße 74 60437 Frankfurt am Main T +49 (0)69 / 950 900-0 F +49 (0)69 / 950 900-50 welcome@severn.de www.severn.de Disclaimer Die Inhalte der Seiten wurden von Severn mit größter Sorgfalt angefertigt. Severn übernimmt jedoch keinerlei Gewähr für die Aktualität, Korrektheit und Vollständigkeit der bereitgestellten Informationen. Haftungsansprüche gegenüber Severn, welche sich auf Schäden materieller oder ideeller Art beziehen, die durch die Nutzung oder Nichtnutzung der dargebotenen Informationen bzw. durch die Nutzung fehlerhafter und unvollständiger Informationen verursacht wurden, sind grundsätzlich ausgeschlossen, sofern vonseiten Severns kein nachweislich vorsätzliches oder grob fahrlässiges Verschulden vorliegt. Severn behält sich ausdrücklich vor, Teile der Seiten ohne gesonderte Ankündigung zu verändern, zu ergänzen und/oder zu löschen. Alle Rechte vorbehalten. Die Reproduktion oder Modifikation ganz oder teilweise ohne schriftliche Genehmigung von Severn ist untersagt.

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback