Rechtsrahmen für IT-Sicherheit

Ähnliche Dokumente
Das neue it-sicherheitsgesetz - segen oder fluch? Jens Marschall Deutsche Telekom AG, Group Security Governance

DuD Jahresfachkonferenz Datenschutz und Datensicherheit. Was bedeutet die EU-DSGVO für die Auftragsdatenverarbeitung?

Das IT-Sicherheitsgesetz Pflichten und aktueller Stand Rechtsanwalt Dr. Michael Neupert

IT-Sicherheitsgesetz: Haben Sie was zu melden?

Entwurf zum IT-Sicherheitsgesetz

IT-Sicherheitsgesetz

Rechtliche Aspekte der Digitalisierung

Die Bedeutung des IT- Sicherheitsgesetzes für den Straßenverkehr

Durchführung der eidas-verordnung - eidas-durchführungsgesetz

Wer schreibt, der bleibt Dokumentationspflichten in der neuen Datenschutz-Grundverordnung RA Jens Nebel, LL.M.

chancen der digitalisierung Überblick Rechtliche Aspekte des cloudcomputing

Die erheblichen Einflüsse der Datenschutz-Grundverordnung auf die IT

Entwurf zum IT-Sicherheitsgesetz

Data Loss Prevention. Rechtliche Herausforderungen beim Kampf gegen Datenabfluss

Arbeitsrecht 4.0 aus Sicht des Verbandsjuristen

IT-Sicherheitsgesetz:

Verantwortung und Haftung des Koordinators insbesondere unter dem Aspekt der Regressnahme

Workshop zu Praxisfragen des IT-Sicherheitsrechts

IT-Sicherheitsgesetz.

Das IT-Sicherheitsgesetz

Bevorzugte Vergabe an Integrationsprojekte bei Aufträgen der öffentlichen Hand?

Brauchen wir wirklich soviel Datenschutz und IT-Sicherheit? Sicherheitskooperation Cybercrime

Grundlagen des Datenschutzes und der IT-Sicherheit (10) Vorlesung im Sommersemester 2005 von Bernhard C. Witt

Das neue IT-Sicherheitsgesetz: Welche Unternehmen sind betroffen? Was ist zu tun?

Wie gut kennen Sie Ihren Kunden? Chancen und Risiken bei der Nutzung digitaler Unternehmensdatenbestände

IT-Sicherheitsrecht für Behörden. Praxisseminar. 8. November 2016, Berlin. Aus der Praxis für die Praxis.

NIS-Richtlinie. und ihre Umsetzung in Österreich. Bundeskanzleramt/Präsidium Abt. I/11 Digitales und E-Government Recht, Strategie und Internationales

6. Petersberg-Regulierungs-Konferenz Cybersicherheit und globale Bedrohung Was kann Regulierung leisten?

Stellungnahme der Verbraucherzentrale Nordrhein- Westfalen e.v.

ZTG Zentrum für Telematik und Telemedizin GmbH Dipl.-Soz.Wiss. Lars Treinat. ZTG GmbH. Partner des

Datenschutzrecht im Digitalen Binnenmarkt. 16. Salzburger Telekom-Forum 27. August 2015

Workshop Perspektiven einer soziale gerechten Beschaffung in Nordrhein-Westfalen 27. Januar 2015, Düsseldorf

Inhaltsübersicht. Bibliografische Informationen digitalisiert durch

Die Zukunft der IT-Sicherheit

Datenschutz und Datensicherheit rechtliche Aspekte. 13. OSL-Technologietage 24. September 2015 PENTAHOTEL Berlin-Köpenick

Code of Conduct Compliance. Verhaltensrichtlinien für die Vöhringer GmbH & Co. KG. und. ihre Kunden, Lieferanten und Geschäftspartner

12.1 Netzbetriebsordnung

TÜV NORD Akademie Personenzertifizierung. Zertifizierungsprogramm: Merkblatt Datenschutzbeauftragter (TÜV )

- Welche Auswirkungen hat die neue Verordnung für den Mittelstand? -

Datenschutzgestaltung durch Technik Eine Kurzeinführung

Neue gesetzliche Anforderungen an Stadtwerke: Mindestanforderungen für die IT-Sicherheit

Kirstin Brennscheidt. Cloud Computing und Datenschutz. o Nomos

Die einzelnen Verstöße gegen das Geldwäschegesetz

Das IT-Sicherheitsgesetz (IT-SiG)

Grundlagen des Datenschutzes und der IT-Sicherheit

Quo vadis, Datenschutz?

Umsetzung IT-SiG in den Ländern

12. Fachtag IV / IT des BeB - Datenschutz Fragestellungen aus dem tatsächlichen IT-Leben

Rechtspolitische Thesen zur Reform des Arbeitnehmerdatenschutzes

Korruptionsprävention bei Beteiligungsgesellschaften des Bundes

Nationale und internationale Rahmenbedingungen Dr. Dennis Kenji Kipker

Einblick ins IT-Sicherheitsgesetz. Monika Sekara Rechtsanwältin in Hamburg Fachanwältin für IT-Recht

TÜV NORD CERT Normenkompass 2016/17

Die neue Grundverordnung des europäischen Datenschutzes

SC124 Kritische Infrastrukturen gem. ISO u. ISO 27019

DIE NEUE IT-SICHERHEITSVERORDNUNG IN DER PRAXIS. Umsetzungspflichten, Standards und Best Practices für die Wasserwirtschaft

Arbeitsrecht-Newsletter 01/07 Schwerpunkt Betrieblicher Datenschutzbeauftragter

EU-DatenschutzGrundverordnung. in der Praxis

BIG Netz- und Informationssicherheits-RL. I/11/a

ITK Sicherheitsgesetz Umsetzung mit verinice.pro. verinice.xp- Grundschutztag

DAS NEUE IT-SICHERHEITSGESETZ

Inhaltsverzeichnis. Vorwort zur zweiten Auflage... Vorwort zur ersten Auflage... Bearbeiterverzeichnis... Abkürzungsverzeichnis...

Trends und Prognosen zur IT-Sicherheit. Online-Ausstellerbefragung zur it-sa 2016

Cloud-Computing/SaaS und Datenschutz: zwei Gegensätze?

Netzsicherheit. Die NIS-Richtlinie und ihr Beitrag zur Netzsicherheit

Webseiten Aushängeschild und Angriffsziel Nummer Eins zugleich

Anforderungen der Maschinenrichtlinie 2006/42/EG

IT-Sicherheitsgesetz:

Hamburgisches Gesetz zum Schutz gegen Lärm (Hamburgisches Lärmschutzgesetz - HmbLärmSchG) Vom 30. November 2010

Datenschutzreform in der EU und der Schweiz: Neuer Fokus Datensicherheit (Schutzmassnahmen und «Data Breach Response»)

Datenschutz von A-Z. Ausgabe Taschenbuch. 272 S. Paperback ISBN

Datenschutz in der Cloud Datenschutzrechtliche Besonderheiten bei Services aus der Cloud und der Vertragsgestaltung

Datenschutz & Industrie 4.0

Grundlagen des Datenschutzes Einführung in das Datenschutzrecht Grundschulung nach 46 Abs.6 BPersVG

Datensicherheit. Datenschutz-Forum Schweiz. Dr. Esther Hefti, CLCC 5 Datenschutzbeauftragte / Archivierungsverantwortliche der Credit Suisse Juni 2005

Zertifizierung gemäß ISO/IEC 27001

Vergabesanktionen und Selbstreinigung: aktuelle Praxis und das künftige Korruptionsregister BUJ Kartellrechtsummit

IT-Sicherheit in der Energiewirtschaft

Datenschutzzertifizierung für Auftragsdatenverarbeitung - Nutzen für Auftraggeber und Auftragnehmer. Dr. Niels Lepperhoff (Geschäftsführer)

Cybersicherheit als Wettbewerbsvorteil und Voraussetzung wirtschaftlichen Erfolgs

Energiedatenerfassung durch Smart Meter

Internationale Bestechung (IntBestG, 299 Absatz 3 StGB, Entwurf neues Korruptionsbekämpfungsgesetz)

Cybersicherheitsstrategie des Landes Niedersachsen

Inhouse-Verkabelung - Stand der Überlegungen i.r.d. TKG-Novelle

7. Fachtagung Baurecht der Handwerkskammer Dresden

BvD. Management-Summary. Überblick in 10 Schritten

EW Medien und Kongresse GmbH

Aktuelle Herausforderungen im Datenschutz

Aktuelles zur Entwicklung der regulativen Anforderungen an die Medizinprodukteaufbereitung aus juristischer Sicht. Inhalt

Schutz von IT-Dienststrukturen durch das DFN-CERT. Jürgen Brauckmann DFN-CERT Services GmbH

Datenschutz Hilfe oder Hemmnis beim Kinderschutz

H F K R E C H T S A N W Ä L T E L L P W W W. H F K. D E. Ausgewählte Rechtsfragen zur Elektro-Ladeinfrastruktur

Cybersecurity Insurance Versicherbare rechtliche Cyber-Risiken

I. Allgemeine Anmerkungen zum Gesetzentwurf. Berlin 16. Dezember 2016

Das neue IT-Sicherheitsgesetz

Was sieht das Gesetz vor?

Dienstvereinbarung. zwischen der. Hochschule Bochum - vertreten durch den Präsidenten - und dem

Auswirkungen des IT- Sicherheitsgesetzes auf die Betreiber von kritischen Infrastrukturen

Pragmatischer Umgang mit den wandelnden Anforderungen in KMU

Vergaberechtliche Rahmenbedingungen der nachhaltigen Beschaffung

Transkript:

IT-Sicherheit als Wettbewerbsvorteil für Unternehmen Cyberkonferenz 2017 Dienstag, 27. Juni 2017 Rechtsanwalt Dr. Benjamin Wübbelt (www.twobirds.com) Rechtsrahmen für IT-Sicherheit 1

Ausgangssituation Rechtsrahmen für IT-Sicherheit nimmt immer konkretere Formen an. Noch vor wenigen Jahren keine nennenswerten regulatorischen Vorgaben bzgl. Architektur und Betrieb von IT-Anlagen. Vereinzelte sektorspezifische Normen mit erheblichem Vollzugsdefizit Derzeit Trendwende zu beobachten IT Sicherheitsrecht hat erheblichen rechtspolitischen Auftrieb erfahren. Stärkere branchenübergreifende Vernetzung führt zu immer neueren Innovationssprüngen (e-health, Car Connectivity, Smart Grid, Smart Home). Kehrseite ist stärkere Abhängigkeit und damit auch Verwundbarkeit. Häufigere Angriffswellen von immer professionelleren Angreifern IT-Sicherheit ist Voraussetzung für nachhaltige Digitalisierung. Bedrohungslage erfordert Tätigwerden des Gesetzgebers 3 Aktueller Rechtsrahmen für IT-Sicherheit IT-Sicherheit Datensicherheit NIS-RL IT-SiG DSAnpUG DS-GVO BSI-G Sektorspezifische Gesetze BSI-KritisV I BSI-KritisV II 4 2

BSI-G (geltende Fassung) vor Umsetzung der NIS-Richtlinie 25.07.2015 in Kraft getreten; Nukleus der heutigen IT-Regulierung Betrifft (noch) Betreiber von kritischen Infrastrukturen (sog. KRITIS- Betreiber) aus den genannten Sektoren (Energie, ITK, Wasser, Ernährung, Gesundheit, Transport/Verkehr sowie Finanz- Versicherungswesen) Welche Anlage/Einrichtung eine kritische Infrastruktur ist, regelt die BSI- KritisV (Korb 1 bereits im Mai 2016 in Kraft getreten; Korb 2. in Q2 2017). Achtung: Umsetzungsfristen laufen schon bzw. sind bereits abgelaufen. Unternehmen im Anwendungsbereich haben zahlreiche Pflichten zu erfüllen: Pflicht zur angemessenen Absicherung prozessrelevanter IT-Anlagen unter Berücksichtigung des Stands der Technik ( 8a Abs. 1 BSI-G) Nachweispflichten ggü dem BSI durch IT-Audits ( 8a Abs. 1 BSI-G) Einrichtung einer Kontaktstelle, die für das BSI jederzeit erreichbar ist ( 8b Abs. 3 BSI-G) Meldepflicht bei wesentlichen IT-Vorfällen ( 8b Abs. 4 BSI-G) 5 BSI-G (künftige Fassung) nach Umsetzung der NIS-Richtlinie NIS-Richtlinie ist im August 2016 in Kraft getreten. Starke Parallelen zum IT-Sicherheitsgesetz; verbleibender Umsetzungsbedarf erfolgt durch Anpassung des neuen BSI-G. Gesetzgebungsverfahren läuft derzeit, ist aber bereits weit fortgeschritten. Vorarbeit des Gesetzgebers zahlt sich aus; Umsetzung erfolgt ohne grundlegende Änderungen weit vor Ende der Umsetzungsfrist (Mai 2018). Zeugnis hoher rechtspolitischer Bedeutung des Themenkomplexes Wesentliche Änderungen: Einführung neuer Adressaten: Anbieter digitaler Dienste (Online-Marktplätze, Suchmaschinen, oder Cloud-Computing-Dienste) ( 8c BSI-G n. F.) Ausweitung der BSI-Befugnisse ( 8a Abs. 4 BSI-G n.f.) Mobile Incident Response Team (MIRT) ( 5a BSI-G n.f.) 6 3

Datenschutzrecht Regelungen zur IT-Sicherheit finden sich nicht nur im BSI-G. IT-Sicherheit auch im Datenschutzrecht immer bedeutsamer Grundsatz: Kein Datenschutz ohne IT-Sicherheit Noch 9 BDSG Verpflichtung zur Umsetzung von technischen und organisatorischen Maßnahmen (nicht bußgeldbewährt) Art. 5 und 32 DS-GVO messen IT-Sicherheit deutlich höheren Stellenwert zu. Personenbezogene Daten müssen nachhaltiger durch geeignete Sicherheitsmaßnahmen flankiert werden (zukünftig bußgeldbewährt). Zudem erweiterte Pflicht zur Meldung von Hacking Vorfällen an Behörde und Betroffene gem. Art. 33 f. DS-GVO, wenn personenbezogene Daten betroffen (sog. Data Breach Notification) 7 Künftige rechtliche Entwicklungen Rechtsrahmen befindet sich in vorläufiger Finalisierungsphase. Dem wird sich eine Bewertungsphase anschließen. Aber: Krypto-Trojaner WannaCry hat sichtbar gemacht, dass der Rechtsrahmen der IT-Sicherheit noch Anpassungsbedarf bereithält. Herstellerhaftung in Bezug auf Sicherheitsmängel, die beim Käufer oder deren Vertragspartner Schäden verursachen (bislang nur 7a BSI-G) Gütesiegel/Mindesthaltbarkeit für Cybersicherheit mit rechtsverbindlichen Leistungszusagen, die dann auch von Kunden eingefordert werden können 8 4

Wettbewerbsnachteile bei Non-Compliance Drohkulissen bei Non-Compliance Begehung von Ordnungswidrigkeiten (Bußgeldtatbestände) Verstoß gegen BSI-G Geldbuße bis zu EUR 100.000 Verstoß gegen DS-GVO Geldbuße bis zu EUR 20 Mio. oder bis zu 4 % des weltweit erzielten Jahresumsatzes u.u. Verwirklichung strafrechtlicher Tatbestände (z.b. 13, 27 StGB) 10 5

Drohkulissen bei Non-Compliance Erhöhtes zivilrechtliches Haftungsrisiko gegenüber Vertragspartnern/Kunden Die Einhaltung vertraglicher Pflichten ist infolge fahrlässig (mit- )verursachten IT-Sicherheitsvorfalls nicht mehr möglich. vertraglicher Schadensersatzanspruch/Vertragsstrafe gegenüber anderen Angegriffenen Es werden erfolgreiche Angriffswellen gegenüber Dritten gefahren, die bei Einhaltung gesetzlicher Verpflichtungen hätten gestoppt werden können. deliktischer Schadensersatzanspruch/Unterlassungsanspruch 11 gegenüber sonstigen Betroffenen Der IT-Sicherheitsvorfall resultiert aus einem Verstoß gegen die DS-GVO oder führt zu einem Verstoß gegen die DS-GVO (Meldepflicht) gesetzlicher Schadensersatzanspruch (materiell/immateriell) Drohkulissen bei Non-Compliance Nachteile im Wettbewerb um Aufträge IT-Sicherheit ist im B2B-Geschäftsverkehr zunehmend wichtiger und wird bei Vertragserstellung immer stärker nachgefragt. Nachteile im Wettbewerb um öffentliche Aufträge IT-Sicherheit spielt in förmlichen Vergabeverfahren immer wichtigere Rolle (Rechnungshof). IT-Vergabeverfahren entscheiden sich zunehmend im Bereich der IT-Sicherheit. Vergaberechtliche Einfallstore: Eignungskriterium (Vorlage von Zertifikaten) Vertragliche Ausführungsbestimmung gem. 128 GWB Bei klaren Vorstellungen des öffentlichen Auftraggebers auch als Bewertungskriterium (Umsetzungskonzepte) fakultativer Ausschlussgrund gem. 124 Abs. 1 Nr. 3 GWB (schwere Verfehlung im Rahmen beruflicher Tätigkeit) 12 6

Drohkulissen bei Non-Compliance Beispiele in EVB-IT Musterverträgen (hier: EVB-IT Systemvertrag): IT-Sicherheit ist damit nicht nur reines Compliance-Thema, sondern echter Wettbewerbsvorteil. 13 Dr. Benjamin Wübbelt Rechtsanwalt Carl-Theodor-Straße 6 40213 Düsseldorf www.twobirds.com Mail: Telefon: +49 (211) 2005-6224 Telefax: +49 (211) 2005-6011 benjamin.wuebbelt@twobirds.com 7

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback