Dr. Dennis Kenji Kipker Dipl. Ing. Sven Müller. Dipl Ing Sven Müller. Gefördert vom FKZ: 16KIS0213 bis 16KIS0216

Ähnliche Dokumente
Nationale und internationale Rahmenbedingungen Dr. Dennis Kenji Kipker

Workshop zur 1. Jahreskonferenz des BMBF Förderschwerpunkts IT Sicherheit für Kritische Infrastrukturen

Die Bedeutung des IT- Sicherheitsgesetzes für den Straßenverkehr

IT-Sicherheitsgesetz:

- Konsequenzen für ecommerce- und epayment-unternehmen

Rechtliche Barrieren für ehealth und wie sie überwunden werden können!

Das IT-Sicherheitsgesetz

Rechtliche Aspekte der (revisions-) sicheren Administration von IT-Systemen Secure Linux Administration Conference, 07.

IT-Sicherheit in der Energiewirtschaft

Rechtsanwalt Dr. Mathis Hoffmann SUFFEL & DE BUHR, Jena. Workshop der ComputerDienst GmbH am 18. Oktober 2006 in Jena

Das neue IT-Sicherheitsgesetz: Welche Unternehmen sind betroffen? Was ist zu tun?

Ausgewählte Rechtsfragen der IT-Security

HerzlichWillkommen. ABI-Partnertage 2013, Vortrag Stefan Herold, Aarcon GbR Unternehmensberatung, München 1 von 16

Neue gesetzliche Anforderungen an Stadtwerke: Mindestanforderungen für die IT-Sicherheit

Datenschutz und Datensicherheit rechtliche Aspekte. 13. OSL-Technologietage 24. September 2015 PENTAHOTEL Berlin-Köpenick

Haftungsfalle Rechenzentrum?

Data Loss Prevention. Rechtliche Herausforderungen beim Kampf gegen Datenabfluss

IT-Grundschutz nach BSI 100-1/-4

EuGH Urteil: Safe-Harbour gewährt kein angemessenes Datenschutz Niveau.

6. Petersberg-Regulierungs-Konferenz Cybersicherheit und globale Bedrohung Was kann Regulierung leisten?

IPS-ENERGY ISMS Unterstützung für Information Security Management Systeme IPS GmbH

GÖRG Wir beraten Unternehmer.

(Text von Bedeutung für den EWR)

Datenschutzrecht im Digitalen Binnenmarkt. 16. Salzburger Telekom-Forum 27. August 2015

Die Umsetzung des IT-Sicherheitsgesetzes bei den privaten Banken in Deutschland. Jana Ehlers SRC Security Research & Consulting GmbH

Datenverwendung und Datenweitergabe - was ist noch legal?

Entwurf zum IT-Sicherheitsgesetz

Informationssicherheit in der Energieversorgung

Reformbedarf im UWG: Zur Umsetzung der UGP-Richtlinie. 10 Jahre UGP-Richtlinie: Erfahrungen und Perspektiven

Vorschlag einer europäischen Datenschutzverordnung aus Sicht der Beschäftigten

(EuGVVO) 5. Innerhalb des Insolvenzverfahrens werden nicht alle

Sicherer Systembetrieb in der Energiewirtschaft. Worum es geht zertifiziert und grundlegend. Von der Analyse bis zur Zertifizierung.

Jörg Schmitt Information Security Manager

DELEGIERTE VERORDNUNG (EU) Nr.../.. DER KOMMISSION. vom

Wo erweitert das IT-Sicherheitsgesetz bestehende Anforderungen und wo bleibt alles beim Alten?

HEUKING KÜHN LÜER WOJTEK Datenschutz Europa Was kommt auf die Schweiz zu?

Regierungsentwurf eines Gesetzes zur Umsetzung der Verbraucherrechterichtlinie 2011/83/EU (i. F. RegE )

12a HmbDSG - Unterrichtung bei der Erhebung

Freifunk Halle. Förderverein Freifunk Halle e.v. IT Sicherheitskonzept. Registernummer bei der Bundesnetzagentur: 14/234

Michael Halstenberg Rechtsanwalt und Ministerialdirektor a.d.

IT-LawCamp 2010 BIRD & BIRD, Frankfurt 20. März IT-Sicherheit und Datenschutz eine Beziehung mit Spannungen

Entwurf zum IT-Sicherheitsgesetz

Agenda: Richard Laqua ISMS Auditor & IT-System-Manager

IT Sicherheit für Industrieanlagen unter Berücksichtigung des IT Sicherheitsgesetzes

BITMi Stellungnahme zum

Auswirkungen des IT-Sicherheitsgesetzes für KRITIS in der Wirtschaft

CISO nur eine sinnlose Jobbezeichnung? Prof. Dr. Thomas Jäschke

... - nachstehend Auftraggeber genannt nachstehend Auftragnehmer genannt

Cloud-Computing - rechtliche Aspekte. Forum 7-it. RA Rainer Friedl

Wege zur IT-Sicherheit

Outsourcing. Projekte. Security. Service Management. Personal

IT-Sicherheitsgesetz und nun?

Der Schutz von Patientendaten

Datendienste und IT-Sicherheit am Cloud Computing und der Datenschutz (k)ein Widerspruch?

EU-DS-GVO: Folgen für die Wirtschaft. Die Europäische Datenschutz-Grundverordnung und ihre Folgen für die Wirtschaft

REFERENTEN: Dr. Dennis Voigt, Markus Faust MELCHERS, FRANKFURT AM MAIN Business-Frühstück Keine Website ohne Datenschutz

IT Sicherheit Haftungsrisiko der Geschäftsführung. Rechtsanwalt Dr. Klostermann

Sind wir auf dem Weg zu einem Weltrecht? Sind die Cyberrechtler Pioniere. für ein Weltrecht?

Rahmenvertrag. zwischen der

Titel der Präsentation

Bericht der Zentralen Verbindungsstelle gem. 3 Absatz 2 EG-Verbraucherschutzdurchsetzungsgesetz

Entwurf eines Gesetzes zur Erhöhung der Sicherheit informationstechnischer. von Wirtschaft und Gesellschaft.

Die Zukunft der IT-Sicherheit

Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz)

ACE Risikoforum Wie manage ich Cyberrisiken? RAin Dr. Gunbritt Kammerer-Galahn, Partnerin Taylor Wessing

Robert Grey, Symposium NLT / IT, Bautzen, 22. September 2015 Im Dschungel der IT-Sicherheitsrichtlinien Was sollten Energieversorgungsunternehmen

Mindeststandard des BSI für den Einsatz des SSL/TLS-Protokolls durch Bundesbehörden. nach 8 Abs. 1 Satz 1 BSIG

Internationaler Datenschutz / Europäischer Datenschutz - Schutzgefälle. IT-Anwaltskonferenz , Berlin RA Thomas Zerdick, LL.M.

Der/die Datenschutzbeauftragte in der EU- Datenschutzgrundverordnung

Cybersecurity Insurance Versicherbare rechtliche Cyber-Risiken

"RESISCAN durch Dritte Rechtliche Anforderungen an die Beauftragung" RA Karsten U. Bartels LL.M., HK2 Rechtsanwälte

Datenschutz in sozialen Netzwerken und das Safe Harbor-Urteil des EuGH

ITK Sicherheitsgesetz Umsetzung mit verinice.pro. verinice.xp- Grundschutztag

Wissenschaftlich begründetes KURZGUTACHTEN

Rechtliche Anforderungen an Cloud Computing in der Verwaltung

Rechtliche Anforderungen am Beispiel der -Archivierung

Befristung Inkrafttreten des TzBfG BeschFG Abs. 1; TzBfG 14 Abs. 2 Satz 1 und 2

Informations- / IT-Sicherheit Standards

Vorschlag für RICHTLINIE DES EUROPÄISCHEN PARLAMENTS UND DES RATES

AUSZUG AUS DEM BUNDESDATENSCHUTZGESETZ

Das Grundrecht auf Datenschutz im Unternehmen Auer

Man kommt schlecht weg, wenn man mit einem Mächtigen ein Geheimnis zu teilen hat.

Das Facebook Urteil des EuGH EuGH, Ut. v , Rs. C-352/14 (Schrems)

RFID Technologie im Gesundheitswesen aus rechtlicher Sicht

ISMS und Sicherheitskonzepte ISO und IT-Grundschutz

IT-Sicherheitsgesetz:

Was sieht das Gesetz vor?

Thementag Cloud Computing Datenschutzaspekte

Industrie 4.0 Rechtsrahmen für eine Datenwirtschaft im digitalen Binnenmarkt

EDI-Rahmenvertrag. Vereinbarung über den elektronischen Datenaustausch (EDI) im Elektrizitätsversorgungsnetz des Netzbetreibers

Vereinbarung über den elektronischen Datenaustausch (EDI)

Osnabrück,

IT Sicherheitsgesetz und die Praxis

Datenschutzbeauftragten bestellt.

Datenschutz Datenschutzberatung und externer DSB

1 Rechtliche und steuerrechtliche Betrachtung Der Entwurf der EU-Kommission zu einer einheitlichen europäischen Datenschutzverordnung...

17. Februar 2015

Haftung des Domain-Registrars in AT? Domain Pulse 2010 Luzern,

IT Sicherheitsleitlinie der DATAGROUP

- und Internetnutzung am Arbeitsplatz

Transkript:

Der Mensch an der Schnittstelle zur Technik: Der Mensch an der Schnittstelle zur Technik: Praxishilfe in der Umsetzung von Datensicherheit durch den IT Security Navigator d IT S it N i t 4. Forschungstag IT Sicherheit NRW am 26.06.2017 Dr. Dennis Kenji Kipker Dipl. Ing. Sven Müller Dipl Ing Sven Müller Gefördert vom FKZ: 16KIS0213 bis 16KIS0216

Ein Fall aus der Praxis: Sie sind 20 Jahre lang Wassermeister in einem kleineren Wasserwerk gewesen. In dieser Funktion waren und sind Sie für die Herstellung qualitativ hochwertigen Trinkwassers zuständig. Infolge des IT SiG/der BSI KritisV wird Ihr Arbeitgeber b noch knapp in KRITIS eingestuft. Er legt Ihnen einen Änderungsvertrag für Ihr bestehendes Beschäftigungsverhältnis vor, demzufolge Sie nunmehr (auch) die Funktion des IT Sicherheitsbeauftragten in Ihrem Betrieb wahrnehmen. Angenommen, Sie unterzeichnen das Dokument was können Sie nun tun?

IT Sicherheitsrecht h it ht ein Dilemma für den juristischen Laien!

Problem Nr. 1: Wie finde ich die richtigen Gesetze?

Deutsche Erkenntnisquellen für die IT Security Compliance Deutsche Erkenntnisquellen für die IT Security Compliance Beispiele von A bis Z : Z: AktG, 91 AtG, 7 ff., 44b BDSG, 9, 9a, 11, 42a BSIG, 3, 4, 7, 7a, 8a ff. EnWG, 11 ff., 21e, 49 GmbHG, 43 KWG, 25a TKG, 109, 109a TMG, 13 VAG, 64a WpHG, 33 Keine kodifizierte gesetzliche Regelung der IT Sicherheit! IT SiG (2015) A k l t! Ä d t ä d t R ih IT SiG (2015) Ar kelgesetz! Änderungsgesetz ändert nur Reihe von Fachgesetzen

EU ErkenntnisquellenErkenntnisquellen für die IT Security Compliance Europäische Erkenntnisquellen für die IT Security Compliance Beispiele von alt nach neu : RL 2002/58/EG über elektronische Kommunikationsnetze (E Privacy RL) und 2009/136/EG (Cookie RL) RL 2006/32/EG zu Energieeffizienz i und Energiedienstleistungen i RL 2008/114/EG über die Ermittlung und Ausweisung europäischer kritischer Infrastrukturen und die Bewertung der Notwendigkeit, ihren Schutz zu verbessern RL 2009/72/EG zum Elektrizitätsbinnenmarkt RL 2013/40/EU über Angriffe auf Informationssysteme RL 2014/53/EU über die Harmonisierung der Rechtsvorschriften der Mitgliedstaaten über die Bereitstellung von Funkanlagen auf dem Markt (RED) VO (EU) Nr. 910/2014 über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt (eidas VO) VO (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG, Art. 5 Abs. 1 lit. f und Art. 32 (EU DS GVO, anzuwenden ab 25.05.2018) 2018) EU NIS RL (2016) + nationales Umsetzungsgesetz (2017)

NIS RL Rechtsnatur: Europäische Rechtsakte EU Richtlinie (RL) EU Verordnung (VO) Art. 288 AEUV (Vertrag über die Arbeitsweise der EU): Die VO hat allgemeine Geltung. Sie ist in allen ihren Teilen verbindlich und gilt unmittelbar in jedem Mitgliedstaat. Kein nationales Umsetzungsgesetz zur Wirksamkeit notwendig (z.b. EU DS GVO) Die RL ist für jeden Mitgliedstaat [ ] hinsichtlich des zu erreichenden Ziels verbindlich, überlässt jedoch den innerstaatlichen Stellen die Wahl der Form und dder Mittel. l Nationales Umsetzungsgesetz t zur Wirksamkeit k itnotwendig Deutschland: Nationales Umsetzungsgesetz ändert Einzelgesetze ab ( Gesetz zur Umsetzung der EU RL 2016/1148 ), Bundestagsbeschluss am 27.04.2017 erfolgt Mindestharmonisierung: Deutschland kann auch ein höheres g IT Sicherheitsniveau schaffen, als es die EU NIS RL vorgibt

Der europäische Blick auf die rechtliche Regulierung von IT Sicherheit hat somit vornehmlich h( (nur) eine deutsche Perspektive, indem das EU Recht deutsche Gesetzgebungsakte initiiert!

Problem Nr. 2: Wie wende ich die gefundenen Gesetze richtig an?

Gesetzesbeispiel IT Sicherheitsrecht Nr. 1: BSIG 8a BSIG Sicherheit in der Informationstechnik Kritischer Infrastrukturen: (1) Betreiber Kritischer Infrastrukturen sind verpflichtet, spätestens zwei Jahre nach Inkrafttreten der Rechtsverordnung nach 10 Absatz 1 angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind. Dabei soll der Stand der Technik eingehalten werden. Organisatorische und technische Vorkehrungen sind angemessen, wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung der betroffenen Kritischen Infrastruktur steht.

Gesetzesbeispiel IT Sicherheitsrecht Nr. 2: BDSG 9 BDSG Technische und organisatorische Maßnahmen: Öffentliche und nicht öffentliche Stellen, die selbst oder im Auftrag personenbezogene Daten erheben, verarbeiten oder nutzen, haben die technischen h und organisatorischen i Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften dieses Gesetzes, insbesondere die in der Anlage zu diesem Gesetz genannten Anforderungen, zu gewährleisten. Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht.

Gesetzesbeispiel IT Sicherheitsrecht Nr. 3: GmbHG 43 GmbHG Haftung der Geschäftsführer: (1) Die Geschäftsführer haben in den Angelegenheiten g der Gesellschaft die Sorgfalt eines ordentlichen Geschäftsmannes anzuwenden. (2) Geschäftsführer, welche ihre Obliegenheiten verletzen, haften der Gesellschaft solidarisch für den entstandenen Schaden.

IT Security Compliance als interdisziplinäres Themenfeld IT Security Compliance als interdisziplinäres Themenfeld: IT Security Bezug bei gesetzlichen Vorschriften nicht immer klar erkennbar bzw. Erwartungshorizont nicht hinreichend konkretisiert Unbestimmte Rechtsbegriffe bzw. Generalklauseln führen zu Sh Schwierigkeiten ikit in der Anwendungspraxis insb. für KMUs Bezugnahme auf außerhalb des Rechts liegende technische h Sachverhalte Noch nicht abgeschlossene Konkretisierung insb. für neue Gesetze, vgl. g g, g Stand der Technik gem. IT SiG (2015)

Wie kann man unbestimmte Rechtsbegriffe/Generalklauseln konkretisieren und damit Anwendersicherheit h im Umgang mit Cyberlaw schaffen? Durch technische Normen und Standards!

Unbestimmte Rechtsbegriffe und deren Konkretisierung Beispiel: Konkretisierung des Standes der Technik beispielsweise nach 8a BSIG durch das ISMS: Information Security Management System (ISMS) nach ISO/IEC 27001 setzt voraus, dass laufend neue Bedrohungslagen erfasst und wirksame und aktuelle Gegenmaßnahmen implementiert werden Dies umfasst auch technisch neue Situationen, die teils im Anwenderkreis angelangt sind (Stand der Technik gem. Definition nach Handbuch der Rechtsförmlichkeit des BMJV) Durch laufende und aktuelle Anpassung (PDCA + BCM) technischer Systeme wird dafür Sorge getragen, dass deren Stand nicht auf das Niveau der allgemein anerkannten Regel der Technik zurückfällt, Aktualität braucht aber auch nicht Stand von Wissenschaft und Technik zu genügen Somit wichtig: Zuordnung einer getroffenen TOV/TOM zu einer Stufe kann sich im Laufe der Zeit ändern, sodass diese ggf. nicht mehr dem gesetzlich geforderten Standard entspricht!

Wer effektive IT Security betreiben b will, muss deshalb einen Blick sowohl auf die Gesetze wie auch auf die technischen Normen werfen!

Unsere Praktiker Lösung zur interdisziplinären Zusammenführung von Recht und Technik auch für den Wassermeister aus dem Eingangsbeispiel lautet deshalb: IT Security Navigator

Dr. Dennis Kenji Kipker Wissenschaftlicher Geschäftsführer IGMR Universität Bremen Universitätsallee GW1 28359 Bremen 28359 Bremen Tel.: 0421 218 66049 Mail: kipker@uni bremen.de Dipl. Ing. Sven Müller Projektmanager VDE Kompetenzzentrum Informationssicherheit VDE e.v. Stresemannallee 15 60596 Frankfurt am Main 60596 Frankfurt am Main Tel.: 069 6308 395 Mail: sven.mueller@vde.com Besuchen Sie unsere Website: www.itskritis.de Folgen Sie uns auf Twitter: @itskritis

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback