IT-Sicherheitsgesetz:



Ähnliche Dokumente
Das IT-Sicherheitsgesetz

Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz)

Die Bedeutung des IT- Sicherheitsgesetzes für den Straßenverkehr

IT-Sicherheitsgesetz und IT- Sicherheitskatalog Anforderungen an Betreiber kritischer Infrastrukturen

Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz)*

2.2. 8b Zentrale Meldestelle für die Sicherheit in der Informationstechnik für die Betreiber kritischer Infrastrukturen

Rechtsgrundlagen für eine Online-Präsenz

Entwurf zum IT-Sicherheitsgesetz

Das neue IT-Sicherheitsgesetz: Welche Unternehmen sind betroffen? Was ist zu tun?

Das IT-Sicherheitsgesetz Pflichten und aktueller Stand Rechtsanwalt Dr. Michael Neupert

DAS IT-SICHERHEITSGESETZ

DAS NEUE IT-SICHERHEITSGESETZ

Synopse Entwürfe IT-Sicherheitsgesetz Stand

Was sieht das Gesetz vor?

chancen der digitalisierung Überblick Rechtliche Aspekte des cloudcomputing

Der Schutz von Patientendaten

Datendienste und IT-Sicherheit am Cloud Computing und der Datenschutz (k)ein Widerspruch?

Neue gesetzliche Anforderungen an Stadtwerke: Mindestanforderungen für die IT-Sicherheit

Die Zukunft der IT-Sicherheit

Brauchen wir wirklich soviel Datenschutz und IT-Sicherheit? Sicherheitskooperation Cybercrime

ÜBER DIE ANWENDUNG DER GRUNDSÄTZE DER SUBSIDIARITÄT UND DER VERHÄLTNISMÄSSIGKEIT

Synopse Entwürfe IT-Sicherheitsgesetz Stand

IT-Sicherheitsgesetz:

1 D -Dienste. 2 Zuständige Behörde

ITK Sicherheitsgesetz Umsetzung mit verinice.pro. verinice.xp- Grundschutztag

Artikel 1 Änderung des Telemediengesetzes

CERT-Bund, dem IT-Lagezentrum sowie in besonderen Einzelfällen auch in dem

GPP Projekte gemeinsam zum Erfolg führen

Wo erweitert das IT-Sicherheitsgesetz bestehende Anforderungen und wo bleibt alles beim Alten?

IT Sicherheitsgesetz und die Praxis

Rechtliche Barrieren für ehealth und wie sie überwunden werden können!

Website-Abmahnungen wegen Datenschutzverstößen Eine Renaissance?

Datenschutz und Datensicherung (BDSG) Inhaltsübersicht

Gesamtverband der Deutschen Versicherungswirtschaft e.v. IT-Sicherheitsstrategie der deutschen Versicherungswirtschaft

Tabelle: Maßnahmen und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz

Die Novelle des ElektroG Was Unternehmen jetzt beachten müssen ElektroG & ElektroStoffV: Abgemahnt was tun?

Reformbedarf im UWG: Zur Umsetzung der UGP-Richtlinie. 10 Jahre UGP-Richtlinie: Erfahrungen und Perspektiven

Facebook und Datenschutz Geht das überhaupt?

- Konsequenzen für ecommerce- und epayment-unternehmen

Entwurf eines Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz)

Gesetzentwurf der Bundesregierung

First Climate AG IT Consulting und Support. Information Security Management System nach ISO/IEC 27001:2013 AUDIT REVISION BERATUNG

Häufig gestellte Fragen zum neuen IT-Sicherheitsgesetz

Datenschutz (Info-Veranstaltung f. Administratoren) H. Löbner Der Datenschutzbeauftragte. Was heißt denn hier Datenschutz?

Aktueller Stand der Umsetzung des IT- Sicherheitsgesetz aus Sicht des BSI

Agenda: Richard Laqua ISMS Auditor & IT-System-Manager

Robert Grey, Symposium NLT / IT, Bautzen, 22. September 2015 Im Dschungel der IT-Sicherheitsrichtlinien Was sollten Energieversorgungsunternehmen

Inhalt. Datenschutz ist Grundrechtsschutz 4. Wessen Daten werden geschützt? 5. Wer muss den Datenschutz beachten? 6

Weisung 2: Technische Anbindung

Datenschutzconsulting.info. Verfahrensbeschreibung, Verfahrensverzeichnisse und das Jedermannsrecht

Das neue it-sicherheitsgesetz - segen oder fluch? Jens Marschall Deutsche Telekom AG, Group Security Governance

An den Vorsitzenden des Innenausschusses Herrn Wolfgang Bosbach MdB. Per Berlin, den 01.

Das IT-Sicherheitsgesetz

Social Media Monitoring Rechtliche Fallstricke und Lösungsansätze

Ausgewählte Rechtsfragen der IT-Security

IT-Sicherheitsgesetz.

Sicherheitsleistung nach 19 DepV durch eine Fondslösung Vortrag im Rahmen der 1. Abfallrechtstagung SH am 7. September 2007

Personal-Vorsorgestiftung der Aluminium-Laufen AG Liesberg Liesberg. Bericht der Revisionsstelle an den Stiftungsrat zur Jahresrechnung 2014

Weisung 2: Technische Anbindung

IT-Sicherheit im Energie-Sektor

D i e n s t e D r i t t e r a u f We b s i t e s

1 Abs. 1 a Satz 2 Nr. 1 a KWG definiert die Anlageberatung als die

Formale Rahmenbedingungen für Websites

Pensionskasse der Burkhalter Gruppe Zürich. Bericht der Revisionsstelle an den Stiftungsrat zur Jahresrechnung 2013

Die Haftung des Geschäftsführers für Organisationsmängel

Verordnung über Medizinprodukte (Medizinprodukte-Verordnung - MPV)

6. Petersberg-Regulierungs-Konferenz Cybersicherheit und globale Bedrohung Was kann Regulierung leisten?

Häufig wiederkehrende Fragen zur mündlichen Ergänzungsprüfung im Einzelnen:

Vorläufige Regeln für die Zuteilung von Herstellerkennungen für Telematikprotokolle

Satzung über den Anschluss der Grundstücke an die öffentliche Wasserversorgungsanlage und deren Benutzung in der Stadt Freiburg i. Br.

Weisung 2: Technische Anbindung

Diese Website und das Leistungsangebot von werden von der. Anke Reincke - Häusliche Krankenpflege und Seniorenbetreuung

Kirchengesetz über den Einsatz von Informationstechnologie (IT) in der kirchlichen Verwaltung (IT-Gesetz EKvW ITG )

Entwurf zum IT-Sicherheitsgesetz

Änderungen der MPBetreibV 2014

Sind wir auf dem Weg zu einem Weltrecht? Sind die Cyberrechtler Pioniere. für ein Weltrecht?

Risikomanagement in der Praxis Alles Compliance oder was?! 1. IT-Grundschutz-Tag

DFN-AAI Sicherheitsaspekte und rechtliche Fragen

M e r k b l a t t. Neues Verbrauchervertragsrecht 2014: Beispiele für Widerrufsbelehrungen

IT-Beauftragter der Bayerischen Staatsregierung IT-Sicherheitsstrukturen in Bayern

DenAufwendungenvonUnternehmenfüreinenüberdasgesetzlichvorgeschriebeneDatenschutzniveauhinausgehendenDatenschutzsolleinadäquater

Mediation im Arbeitsrecht

Gesetz zur Bekämpfung der Kinderpornographie in Kommunikationsnetzen

BSI-IGZ zum. Phoenix Videokonferenzsystem. der. Phoenix Software GmbH

Verordnung zur Änderung medizinprodukterechtlicher Vorschriften vom 16. Februar 2007

Rechtsanwalt. Arbeitsverhältnis

Reglement. Entlastungsleistungen bei der Pflege zu Hause

Stand: Stadt: Absichtserklärung. zwischen. Landeshauptstadt Mainz. einerseits. und ECE. sowie PANTA. andererseits

BSI Technische Richtlinie

Haftungsfalle Rechenzentrum?

«Zertifizierter» Datenschutz

Datenschutz und IT-Sicherheit in. Smart Meter Systemen. Unser Angebot für Smart Meter Gateway Administrator und Smart Meter CA

Freifunk Halle. Förderverein Freifunk Halle e.v. IT Sicherheitskonzept. Registernummer bei der Bundesnetzagentur: 14/234

Anleitung WLAN BBZ Schüler

Abschnitt 1 Anwendungsbereich und Allgemeine Anforderungen an die Konformitätsbewertung 1 Anwendungsbereich

Geprüfter Datenschutz TÜV Zertifikat für Geprüften Datenschutz

Verordnung über Medizinprodukte (Medizinprodukte-Verordnung - MPV)

Transkript:

IT-Sicherheitsgesetz: Neue Herausforderungen für Unternehmen und Behörden Rechtsanwalt Thomas Feil Fachanwalt für IT-Recht und Arbeitsrecht Datenschutzbeauftragter TÜV Thomas Feil 09/2015 1

Thomas Feil 09/2015 2

Aufreger (Bundestag) Gerüchte Neues Gesetz: IT-Sicherheitsgesetz Thomas Feil 09/2015 3

Das Gesetzgebungsverfahren März 2013 Entwurf IT-SiG 17. Dezember 2014 Entwurf von Bundesregierung beschlossen und dem Bundesrat zugeleitet. Am 27. Februar 2015 wurde der Entwurf des IT-SiG dem Bundestag zugleitet. Am 12.06.2015 wurde das Gesetz in 2. und 3. Lesung im Bundestag verabschiedet. Am 24. Juli 2015 wurde das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) im Bundesgesetzblatt veröffentlicht. Das Gesetz trat am Samstag, den 25. Juli 2015 in Kraft. Thomas Feil 09/2015 4

Ausgangslage Thomas Feil 09/2015 5

Ziel des Gesetzes Sicherheit informationstechnischer Systeme in Deutschland vorantreiben Aktuellen und zukünftigen Gefährdungen wirksam begegnen Verstärkter Schutz der Bürger im Internet Stärkung des BSI und des BKA Hohes Sicherheitsniveau bei Kritischen Infrastrukturen (KRITIS) soll erreicht werden Betreiber von Kritischen Infrastrukturen sollen zur Einhaltung eines Mindestniveaus angehalten werden. Thomas Feil 09/2015 6

Keine 100%-ige IT-Sicherheit möglich, sondern nur Risikomanagement. Michael Hanke, Präsident BSI Thomas Feil 09/2015 7

Überblick über die rechtlichen Neuerungen IT-Sicherheitsgesetz ist ein Artikel-Gesetz Folgende Gesetze werden geändert: BSI-Gesetz Telemediengesetz Telekommunikationsgesetz Atomgesetz Betroffen sind maximal 2.000 Unternehmen?! Es werden 7 Meldungen von IT-Sicherheitsvorfällen pro Jahr erwartet. Thomas Feil 09/2015 8

2 Begriffsbestimmungen BSIG (10) Kritische Infrastrukturen im Sinne dieses Gesetzes sind Einrichtungen, Anlagen oder Teile davon, die 1. den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen angehören und 2. von hoher Bedeutung für das Funktionieren des Gemeinwesens sind, weil durch ihren Ausfall oder ihre Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit eintreten würden. Die Kritischen Infrastrukturen im Sinne dieses Gesetzes werden durch die Rechtsverordnung nach 10 Absatz 1 näher bestimmt. Thomas Feil 09/2015 9

Umsetzung Verordnungsgebung Die nächsten Schritte 2015 2016 2017 Ende 2018 VO 1. Korb VO 2. Korb Energie IKT Ernährung Wasser Transport & Verkehr Finanzen Gesundheit (Studien 2. Korb) Umsetzung 1. Korb Weitere Umsetzung IT-SiG in allen Sektoren umgesetzt Thomas Feil 09/2015 10

KRITIS Pflichten Mindeststandards Meldepflichten Audits Thomas Feil 09/2015 11

Meldepflichten aus 8b BSIG neu 8b Zentrale Stelle für die Sicherheit in der Informationstechnik Kritischer Infrastrukturen (3) Die Betreiber Kritischer Infrastrukturen haben dem Bundesamt binnen sechs Monaten nach Inkrafttreten der Rechtsverordnung nach 10 Absatz 1 eine Kontaktstelle für die Kommunikationsstrukturen nach 3 Absatz 1 Satz 2 Nummer 15 zu benennen. Die Betreiber haben sicherzustellen, dass sie hierüber jederzeit erreichbar sind. Die Übermittlung von Informationen durch das Bundesamt nach Absatz 2 Nummer 4 erfolgt an diese Kontaktstelle. (4) Betreiber Kritischer Infrastrukturen haben erhebliche Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse, die zu einem Ausfall oder einer Beeinträchtigung der Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen 1. führen können oder 2. geführt haben, über die Kontaktstelle unverzüglich an das Bundesamt zu melden. Die Meldung muss Angaben zu der Störung sowie zu den technischen Rahmenbedingungen, insbesondere der vermuteten oder tatsächlichen Ursache, der betroffenen Informationstechnik, der Art der betroffenen Einrichtung oder Anlage sowie zur Branche des Betreibers enthalten. Die Nennung des Betreibers ist nur dann erforderlich, wenn die Störung tatsächlich zu einem Ausfall oder einer Beeinträchtigung der Funktionsfähigkeit der Kritischen Infrastruktur geführt hat. Thomas Feil 09/2015 12

Thomas Feil 09/2015 13

8a Sicherheit in der Informationstechnik Kritischer Infrastrukturen (1) Betreiber Kritischer Infrastrukturen sind verpflichtet, spätestens zwei Jahre nach Inkrafttreten der Rechtsverordnung nach 10 Absatz 1 angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind. Dabei soll der Stand der Technik eingehalten werden. Organisatorische und technische Vorkehrungen sind angemessen, wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung der betroffenen Kritischen Infrastruktur steht. (2) Betreiber Kritischer Infrastrukturen und ihre Branchenverbände können branchenspezifische Sicherheitsstandards zur Gewährleistung der Anforderungen nach Absatz 1 vorschlagen. Das Bundesamt stellt auf Antrag fest, ob diese geeignet sind, die Anforderungen nach Absatz 1 zu gewährleisten. Die Feststellung erfolgt 1. im Benehmen mit dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe, 2. im Einvernehmen mit der zuständigen Aufsichtsbehörde des Bundes oder im Benehmen mit der sonst zuständigen Aufsichtsbehörde. Thomas Feil 09/2015 14

8a Sicherheit in der Informationstechnik Kritischer Infrastrukturen (3) Die Betreiber Kritischer Infrastrukturen haben mindestens alle zwei Jahre die Erfüllung der Anforderungen nach Absatz 1 auf geeignete Weise nachzuweisen. Der Nachweis kann durch Sicherheitsaudits, Prüfungen oder Zertifizierungen erfolgen. Die Betreiber übermitteln dem Bundesamt eine Aufstellung der durchgeführten Audits, Prüfungen oder Zertifizierungen einschließlich der dabei aufgedeckten Sicherheitsmängel. Das Bundesamt kann bei Sicherheitsmängeln verlangen: 1. die Übermittlung der gesamten Audit-, Prüfungs- oder Zertifizierungsergebnisse und 2. im Einvernehmen mit der zuständigen Aufsichtsbehörde des Bundes oder im Benehmen mit der sonst zuständigen Aufsichtsbehörde die Beseitigung der Sicherheitsmängel. (4) Das Bundesamt kann zur Ausgestaltung des Verfahrens der Sicherheitsaudits, Prüfungen und Zertifizierungen nach Absatz 3 Anforderungen an die Art und Weise der Durchführung, an die hierüber auszustellenden Nachweise sowie fachliche und organisatorische Anforderungen an die prüfende Stelle nach Anhörung von Vertretern der betroffenen Betreiber und der betroffenen Wirtschaftsverbände festlegen. Thomas Feil 09/2015 15

13 Telemediengesetz (TMG) Nach Absatz 6 wird folgender Absatz 7 eingefügt: (7) Diensteanbieter haben, soweit dies technisch möglich und wirtschaftlich zumutbar ist, im Rahmen ihrer jeweiligen Verantwortlichkeit für geschäftsmäßig angebotene Telemedien durch technische und organisatorische Vorkehrungen sicherzustellen, dass 1. kein unerlaubter Zugriff auf die für ihre Telemedienangebote genutzten technischen Einrichtungen möglich ist und 2. diese a) gegen Verletzungen des Schutzes personenbezogener Daten und b) gegen Störungen, auch soweit sie durch äußere Angriffe bedingt sind, gesichert sind. Vorkehrungen nach Satz 1 müssen den Stand der Technik berücksichtigen. Eine Maßnahme nach Satz 1 ist insbesondere die Anwendung eines als sicher anerkannten Verschlüsselungsverfahrens. Thomas Feil 09/2015 16

Wer ist vom TMG betroffen? Diensteanbieter definiert in 2 TMG Im Sinne dieses Gesetzes 1.ist Diensteanbieter jede natürliche oder juristische Person, die eigene oder fremde Telemedien zur Nutzung bereithält oder den Zugang zur Nutzung vermittelt; bei audiovisuellen Mediendiensten auf Abruf ist Diensteanbieter jede natürliche oder juristische Person, die die Auswahl und Gestaltung der angebotenen Inhalte wirksam kontrolliert, Telemedien: (nahezu) alle Angebote im Internet, beispielsweise Webshops, Online-Auktionshäuser, Suchmaschinen, Webmail-Dienste, Informationsdienste (z. B. zu Wetter, Verkehrshinweisen), Podcasts, Chatrooms, Dating-Communitys und Webportale. Auch private Websites und Blogs gelten als Telemedien. Thomas Feil 09/2015 17

Konkrete Pflichten für Unternehmen und Behörden Was ist zu tun? Thomas Feil 09/2015 18

TMG und Wettbewerbsrecht 13 TMG wird als das Marktverhalten regelnde Norm gemäß 4 Nr. 11 UWG angesehen OLG Hamburg WRP 2013, 1203ff; OLG Köln vom 14.08.2009, 6 U 70/09 Die Normen des Telemediengesetzes berechtigen im Allgemeinen zur Abmahnung (BGH vom 20.07.2006, Az: I ZR 228/03) Allerdings bezieht sich die bisherige Rechtsprechung auf die Informationspflichten zur Anbieterkennzeichner Thomas Feil 09/2015 19

Thomas Feil 09/2015 20

Rechtsanwalt Thomas Feil Fachanwalt für Informationstechnologierecht und Arbeitsrecht Datenschutzschutzbeauftragter TÜV - Geschäftsführer Döhrbruch 62 30559 Hannover Tel 0511 / 473906-0 Fax 0511 / 473906-7 feil @ recht-freundlich.de Thomas Feil 09/2015 21

2026 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback