Eckpunkte IT-Sicherheitsgesetz (Leseprobe / Auszug) Rechtsberatung. Steuerberatung. Luther.



Ähnliche Dokumente
IT-Sicherheitsgesetz:

Das IT-Sicherheitsgesetz

IT-Sicherheitsgesetz und IT- Sicherheitskatalog Anforderungen an Betreiber kritischer Infrastrukturen

Entwurf zum IT-Sicherheitsgesetz

Wo erweitert das IT-Sicherheitsgesetz bestehende Anforderungen und wo bleibt alles beim Alten?

Das neue IT-Sicherheitsgesetz: Welche Unternehmen sind betroffen? Was ist zu tun?

ITK Sicherheitsgesetz Umsetzung mit verinice.pro. verinice.xp- Grundschutztag

Die Bedeutung des IT- Sicherheitsgesetzes für den Straßenverkehr

Aktuelles zu Kritischen Infrastrukturen

First Climate AG IT Consulting und Support. Information Security Management System nach ISO/IEC 27001:2013 AUDIT REVISION BERATUNG

2.2. 8b Zentrale Meldestelle für die Sicherheit in der Informationstechnik für die Betreiber kritischer Infrastrukturen

Robert Grey, Symposium NLT / IT, Bautzen, 22. September 2015 Im Dschungel der IT-Sicherheitsrichtlinien Was sollten Energieversorgungsunternehmen

Brauchen wir wirklich soviel Datenschutz und IT-Sicherheit? Sicherheitskooperation Cybercrime

Resilien-Tech. Resiliente Unternehmen. Security Consulting. 08. Mai Burkhard Kesting

Informationssicherheit

Gesamtverband der Deutschen Versicherungswirtschaft e.v. IT-Sicherheitsstrategie der deutschen Versicherungswirtschaft

6. Petersberg-Regulierungs-Konferenz Cybersicherheit und globale Bedrohung Was kann Regulierung leisten?

Der Schutz von Patientendaten

Die Telematikinfrastruktur als sichere Basis im Gesundheitswesen

chancen der digitalisierung Überblick Rechtliche Aspekte des cloudcomputing

Das IT-Sicherheitsgesetz Pflichten und aktueller Stand Rechtsanwalt Dr. Michael Neupert

GPP Projekte gemeinsam zum Erfolg führen

IT-Sicherheit und Datenschutz

Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz)

Cloud Computing mit IT-Grundschutz

Häufig gestellte Fragen zum neuen IT-Sicherheitsgesetz

Guten Tag. Pflicht zur Durchführung eines Energieaudits für alle Nicht KMU * bis 12/2015

Datenschutz und Informationssicherheit

«Zertifizierter» Datenschutz

Entwurf zum IT-Sicherheitsgesetz

Das IT-Sicherheitsgesetz

DAS IT-SICHERHEITSGESETZ

Neue gesetzliche Anforderungen an Stadtwerke: Mindestanforderungen für die IT-Sicherheit

Geprüfter Datenschutz TÜV Zertifikat für Geprüften Datenschutz

IT-Sicherheit in der Energiewirtschaft

DATENSCHUTZBERATUNG. vertrauensvoll, qualifiziert, rechtssicher

Security & Safety in einer smarten Energiewelt. Ergebnisse der Breitenbefragung Stand März 2013

BIG Netz- und Informationssicherheits-RL. I/11/a

DAS NEUE IT-SICHERHEITSGESETZ

Verordnung zur Bestimmung der Beitragssätze in der gesetzlichen Rentenversicherung für das Jahr 2015

IT Sicherheitsgesetz und die Praxis

IT-Sicherheit der Netzleitstelle - Ausweitung auf Smart Meter

Häufig wiederkehrende Fragen zur mündlichen Ergänzungsprüfung im Einzelnen:

Trends und Prognosen zur IT-Sicherheit. Ausstellerbefragung zur it-sa 2015

Entwurf eines Gesetzes zur Festsetzung der Beitragssätze in der gesetzlichen Rentenversicherung für das Jahr 2014 (Beitragssatzgesetz 2014)

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter

Was sieht das Gesetz vor?

Änderung der ISO/IEC Anpassung an ISO 9001: 2000

Kooperationsgruppe Informationssicherheit des IT-PLR. Leitlinie für die Informationssicherheit. in der öffentlichen Verwaltung

Umsetzung und Fortschreibung des Nationalen Aktionsplans Schutz von Kindern und Jugendlichen vor sexueller Gewalt und Ausbeutung

Entwurf eines Gesetzes zur Änderung des Bundesdatenschutzgesetzes

Erläuterungen zur Untervergabe von Instandhaltungsfunktionen

IT-Compliance, IT-Sicherheit und Datenschutz

Gesetzentwurf. der Bundesregierung. A. Problem und Ziel. B. Lösung. C. Alternativen

Infrastruktur: Vertrauen herstellen, Zertifikate finden

Das neue it-sicherheitsgesetz - segen oder fluch? Jens Marschall Deutsche Telekom AG, Group Security Governance

Medizintechnik und Informationstechnologie im Krankenhaus. Dr. Andreas Zimolong

BSI-IGZ zum. Phoenix Videokonferenzsystem. der. Phoenix Software GmbH

ITIL & IT-Sicherheit. Michael Storz CN8

IT-SUPPORT: STÖRUNGSFREI ARBEITEN. 0,14 /Min. dt. Festnetz. Mobilfunk 0,42 /Min.

IT-Sicherheitspolitik. der teilnehmenden Hochschulen und Forschungseinrichtungen in Schleswig-Holstein

DurchführungdesVersteigerungsverfahrensfestzulegen.DieVerordnungbedarf der Zustimmung des Bundestages.

Nicht über uns ohne uns

Content Management System mit INTREXX 2002.

RSP International. Ihr Partner in Osteuropa und Zentralasien

Tabelle: Maßnahmen und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz

1 Abs. 1 a Satz 2 Nr. 1 a KWG definiert die Anlageberatung als die

Agenda: Richard Laqua ISMS Auditor & IT-System-Manager

Computer & Netzwerktechnik. Externer Datenschutzbeauftragter

1. Einführung. 2. Weitere Konten anlegen

IT-Beauftragter der Bayerischen Staatsregierung IT-Sicherheitsstrukturen in Bayern

Risikomanagement IT-vernetzter Medizinprodukte

Kriterienkatalog und Vorgehensweise für Bestätigungen und Konformitätsnachweise gemäß Signaturgesetz. datenschutz cert GmbH Version 1.

Ziel- und Qualitätsorientierung. Fortbildung für die Begutachtung in Verbindung mit dem Gesamtplanverfahren nach 58 SGB XII

Rechtliche Aspekte der (revisions-) sicheren Administration von IT-Systemen Secure Linux Administration Conference, 07.

Supportkonzept. Datum: Inhaltsverzeichnis: 1. Verwendungszweck Anforderungen 3

Einstieg in ein kommunales Informationssicherheits- Managementsystem (ISMS)

Sicherheitsanalyse von Private Clouds

IT-Grundschutz: Cloud-Bausteine

Deutscher Bundestag Drucksache 18/5122. Bericht. 18. Wahlperiode des Haushaltsausschusses (8. Ausschuss) gemäß 96 der Geschäftsordnung

MARSH CYBER-RISIKO-BEFRAGUNG 2015 ERGEBNISSE DEUTSCHLAND SEPTEMBER 2015

Informationssicherheit - Last oder Nutzen für Industrie 4.0

BEITRAGSORDNUNG DES BUNDESARBEITGEBERVERBANDES DER PERSONALDIENSTLEISTER E.V. (BAP)

BCM Schnellcheck. Referent Jürgen Vischer

Datenschutzconsulting.info. Verfahrensbeschreibung, Verfahrensverzeichnisse und das Jedermannsrecht

Sicherheitsaspekte der kommunalen Arbeit

Softwareland Mecklenburg-Vorpommern. Bedarf für ein Datenschutz-Gütesiegel für die IT-Firmen des Landes. Dipl.-Inf. Andreas Scher

IT-Sicherheit IDS-Fernzugriff gesichert

Bestimmungen zur Kontrolle externer Lieferanten. BCM (Business Continuity Management)


Pensionskasse des Bundes Caisse fédérale de pensions Holzikofenweg 36 Cassa pensioni della Confederazione

Maßnahmenbereich Green-IT Maßnahmenblock C-1. Aufbau eines Kompetenz- und Musterrechenzentrums Green-IT

Deutscher Industrie- und Handelskammertag

BEKANNTMACHUNG ÜBER ZUSÄTZLICHE INFORMATIONEN, INFORMATIONEN ÜBER NICHTABGESCHLOSSENE VERFAHREN ODER BERICHTIGUNG

Personal- und Kundendaten Datenschutz bei Energieversorgern

Sicherheits- und Risikomanagement auf der Ebene des Zugführers

CISO nur eine sinnlose Jobbezeichnung? Prof. Dr. Thomas Jäschke

IT-Sicherheitsgesetz.

Transkript:

Eckpunkte IT-Sicherheitsgesetz (Leseprobe / Auszug) Rechtsberatung. Steuerberatung. Luther.

Timeline Entwurf IT-Sicherheitsgesetz (1/3) 5.3.2013 7.7.2013 18.3.2014 4.11.2014 Entwurf BMI KPMG-Studie im Auftrag Bitkom BMI Referentenentwurf Neuer BMI Referentenentwurf

Timeline (2/3) 17.12.2014 29.12.2014 27.1.2015 6.2.2015 Beschluss der Bundesregierung Zuleitung Bundesrat Empfehlung der Ausschüsse Stellungnahme Bundesrat

Timeline (3/3) 13.2.2015 27.2.2015 Stellungnahme ULD Vorlage Gesetzesentwurf im Bundestag Beschluss Erlass Rechtsverordnung

EU-Richtlinie zur Netz- und IT-Sicherheit Entwurf: Richtlinie über Maßnahmen zur Gewährleistung einer hohen gemeinsamen Netz- und Informationssicherheit in der Union (2013) Pflicht der Mitgliedstaaten, Abwehrbereitschaft zu erhöhen und Zusammenarbeit zu verbessern NIS-Strategie: Maßnahmen zur Erhöhung der Sicherheit, Risikobewertung, Reaktionsund Notfallpläne, Sensibilisierung, Schulung Gründung und Unterhaltung eines nationales Computer Emergency Response Team (CERT), Ausstattung mit sicherer Kommunikations- und Informationsinfrastruktur Unternehmen und öffentliche Verwaltungen müssen technische und organisatorische Maßnahmen umsetzen, um Sicherheit ihrer Netze und Informationssystems zu erreichen Maßnahmen nach Stand der Technik und Angemessenheit bzgl. Risiko Maßnahmen zur Minimierung der Auswirkungen von Sicherheitsvorfällen Ausnahme: Kleinunternehmer (weniger als 10 Personen oder Jahresumsatz < 2 Mio.) Sanktionen bei Nichteinhaltung

Entwurf IT-Sicherheitsgesetz Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme Verbesserung der IT-Sicherheit bei Unternehmen zur Sicherung Vertraulichkeit, Integrität, Authenzität und Verfügbarkeit (z.b. einheitliche Mindeststandards, Meldepflichten bei Sicherheitsvorfällen) Schutz der Bürgerinnen und Bürger in einem sicheren Netz (z.b. Erhöhung der Sicherheitsstandards bei Telekommunikations- und Telediensteanbieter) Schutz der IT des Bundes (z.b. Verbindliche Vorgaben für die IT des Bundes) Stärkung des Bundesamtes für Sicherheit in der Informationstechnik (z.b. stärkere Warnbefugnisse, internationale Zentralstelle, Audit-Rechte) Erweiterung Ermittlungszuständigkeiten des BKA bei Cybercrime (z.b. Ausweitung der Befugnisse bei der Strafverfolgung)

Bundesamt für Sicherheit in der IT (BSI) Zentrale Meldestelle, 8b BSIG Einführung einer IT-Aufsicht BSI als zentrale Meldestelle und Koordinator, erstellt Lagebild Aufsichtsbehörde: BMI Warn- und Alarmierungskontakte bei KI-Betreiber mit jederzeitiger Erreichbarkeit Gemeinsame Ansprechstellen möglich ( SPOC des UP KRITIS) Kontaktstelle bereits 6 Monate nach Inkrafttreten notwendig Jederzeitige Erreichbarkeit Auskunftsrechte Dritter (kritisch)

Kritische Infrastrukturen (1/2) Vor-Definition : Kritische Infrastruktur Einrichtungen, Anlagen oder Teile von Einrichtungen und Anlagen, 1. aus den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen 2. die von hoher Bedeutung für das Funktionieren des Gemeinwesens sind, weil durch ihren Ausfall oder ihre Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit eintreten würden. Die Konkretisierung der Kritischen Infrastrukturen erfolgt erst durch Rechtsverordnung (zuständig: BMI) Ausnahmen Kultur & Medien, Verwaltung der Länder und Kommunen Kleinstunternehmer (< 10 Mitarbeiter, Jahresumsatz max. 2 Mio. EUR) werden nur noch von den Regelungen 8a und 8b ausgenommen.

Kritische Infrastrukturen (2/2) Methodik zur Einteilung der Kritischen Infrastrukturen Qualität: Wird mittels der Einrichtung/Anlage eine für die Gesellschaft kritische Dienstleistung erbracht? SEKTOR ENERGIE Stromversorgung (Branche: Elektrizität) Versorgung mit Kraftstoff (Branche: Mineralöl) SEKTOR INFORMATIONSTECHNIK UND TELEKOMMUNIKATION Verarbeitung und Speicherung von Daten (Branche: Informationstechnik) -> sogar Schlüsselrolle?? SEKTOR ERNÄHRUNG Versorgung mit Lebensmitteln (Branchen: Ernährungswirtschaft, Lebensmittelhandel) SEKTOR FINANZ- UND VERSICHERUNGSWESEN Zahlungsverkehr und Kartenzahlung (Branchen: Banken, Finanzdienstleister) Bargeldversorgung (Branche: Banken) SEKTOR TRANSPORT UND VERKEHR Transport von Gütern (Branchen: Luftfahrt, Seeschifffahrt, Binnenschifffahrt, Schienenverkehr, Straßenverkehr, Logistik) SEKTOR GESUNDHEIT Medizinische Versorgung (Branchen: Medizinische Versorgung, Labore) Quantität: Hat ein Ausfall oder eine Beeinträchtigung der Einrichtung/Anlage unmittelbar oder mittelbar wesentliche negative Folgen für wichtige Schutzgüter (Leib, Leben, Gesundheit, Eigentum etc.) und die Funktionsfähigkeit des Gemeinwesens (= eine entsprechend große Zahl an Personen)? Definition eines spezifischen Schwellenwerts pro Sektor/Branche (Risikoabwägung) erst in der Rechtsverordnung

Sicherheitsstandards und TOM Sicherheitsstandards, 8a BSIG Angemessene organisatorische und technische Vorkehrungen Schutz der informationstechnischen Systeme, Komponenten und Prozesse: überall dort Absicherungsmaßnahmen, wo Informationstechnik Einfluss auf die Erbringung der Dienstleistung hat Ggfls. auch infrastrukturelle oder personelle Maßnahmen erforderlich Bei besonders kritischen Prozessen sogar Abschottung notwendig (keine Verbindung mit Internet oder öffentlichen Netzen) Maßstab: Risikoadäquanz und Stand der Technik Verpflichtung bleibt auch bei einem Outsourcing bestehen Dokumentation insbesondere durch Sicherheits- und Notfallkonzepte (bzw. Datenschutzkonzept) Branchenspezifische Sicherheitsstandards können auf Antrag anerkannt werden ( kooperativer Ansatz ) ISO 27001-Familie als Best Practice?

Standards und Dokumentation Sicherheitsstandards, 8a BSIG Nachweispflicht Mindestens alle zwei Jahre Auflistung durchgeführter Sicherheitsaudits, Prüfungen oder Zertifizierungen von nachweislich qualifizierten Prüfern (etwa ISO-zertifiziert oder bspw. Wirtschaftsprüfer) Dokumentation 1. Umsetzung branchen- und technologiespezifischer Maßnahmen einschließlich etwaiger Sicherheitsmängel 2. Information Security Management System 3. Identifikation kritischer Cyber-Assets 4. Angriffsprävention und erkennung 5. Business Continuity Management

Aktive Meldepflichten Meldepflicht bei erheblichen Störungen Meldepflichten nach 8b BSIG Definition: Die eingesetzte Technik kann die ihr zugedachte Funktion nicht mehr richtig oder nicht mehr vollständig erfüllen kann oder es wurde versucht, entsprechend auf sie einzuwirken) Beispiele: Sicherheitslücken, Schadprogramme, versuchte oder abgewehrte Angriffe, außergewöhnliche und unerwartete technische Defekt Meldungen sollen stufenweise erfolgen, also zunächst Meldung der Informationen, die ohne Rechercheaufwand zur Verfügung stehen Nicht meldepflichtig, wenn die Störungen nicht zu einer Beeinträchtigung der Funktionsfähigkeit führen können (also bspw. automatisiert oder mit geringem Aufwand beseitigt werden können), keine Meldung bei tagtäglich vorkommenden Ereignissen wie Spam, übliche Schadsoftware, Hardwareausfälle in üblichem Rahmen etc. Wenn kein (konkreter) Ausfall oder tatsächliche Beeinträchtigung der KI ist auch pseudonyme Meldung möglich (BSI soll Kriterien für Meldepflicht weiterentwickeln) Nichteinhaltung der Meldepflichten derzeit nicht sanktioniert

Ausblick? Studie zur Umsetzung des IT-Sicherheitsgesetzes von KPMG im Auftrag des BDI (6/2014) Monetäre Folgen des IT-Sicherheitsgesetzes 1,1 Mrd. zusätzliche Bürokratiekosten nur durch die Einführung der Meldepflichten (Schätzung) Personalkosten (erhöhter Personalaufwand) IT-Infrastrukturkosten Kostenrisiken durch Reputationsschäden Kosten durch Mindestsicherheitsstandards Änderungsbedarf? - Schon teilweise umgesetzt Präzisierung der Meldepflichten erforderlich ( wer, wann, wie genau zu melden hat) Pseudonymisierung der Meldung (via Treuhänder?) Mehr Transparenz zur Verwendung der Meldungen Betreffend die einzuführenden IT- Mindestsicherheitsstandards u.a.: Berücksichtigung der Rolle der Zulieferer und Ausrüster Sanktionen?

Ihr Ansprechpartner Dr. Michael Rath Rechtsanwalt Fachanwalt für IT-Recht Partner Luther Rechtsanwaltsgesellschaft mbh Anna-Schneider-Steig 22 50678 Köln Phone: +49 221 9937 25795 Fax: +49 221 9937 110 E-Mail: michael.rath@luther-lawfirm.com 14

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback