Was man zu DSGVO, NIS 2, IT-SIG und Co wissen muss
Datenschutz 2023 – Haftungsfallen der IT-Security: Das neue europäische Datenschutz- und Datensicherheitsrecht und seine Konsequenzen für Unternehmen und Organisationen
Auflagen für den Datenschutz und die Datensicherheit – und gerade auch die Anforderungen für Backups wurden seit 2018 kontinuierlich erweitert
SEP hat erneut mit Dr. Jens Bücking, Rechtsanwalt und Fachanwalt für IT-Recht, zusammengearbeitet. Dabei ist ein Whitepaper entstanden, das den aktuellen Stand der Gesetzgebung darstellt. In einem Webinar, das auch bei SEP zum Download bereitsteht, erklärt Dr. Bücking die Sachverhalte und stellt Haftungsfallen der IT-Security und aktuelle Fälle dar. Dabei stellt er fest, dass lediglich 35 Prozent der kleinen und mittelständischen (KMU) in Deutschland grundlegende Pläne für den Umgang mit IT-Desaster-Szenarien haben. Wenn man dabei auf die gestiegenen Zahlen der Cybercrime-Schäden sieht – eine Verdoppelung von 2019 auf 2021 auf laut Bitkom 223,5 Milliarden Euro - ist dies mehr als fahrlässig und unverständlich.
Vielen Unternehmen ist auch nicht bewusst, was es bedeutet, wenn sie die Regularien der DSGVO, die seit 2018 gültig ist, sowie den Aktualisierungen des IT-Sicherheitsgesetzes nicht folgen. Das neue Cyber- und IT-Sicherheitsrecht gemäß der NIS 2-Richtlinie wird der Anforderungskatalog für Unternehmen und öffentlich-rechtliche Betreiber von kritischen Intrastrukturen (KRITIS) nochmals erheblich erweitert. Ferner hat die EU auch eine Resilienz-Richtlinie auf den Weg gebracht, die mit der NIS 2-Richtlinie in Deutschland über das KRITIS-Dachgesetz umgesetzt wird.
Der EU-Cyber Resilience Act (CRA) schließlich überträgt die IT-Sicherheit auf den Produktlebenszyklus, von der Entwicklung über die Lieferkette bis zum Anwender. Hauptziele sind hier wie dort die Sicherstellung der Infrastrukturen, der Schutz bedeutender Wirtschaftsgüter und der Anwender von digitalen Produkten, sowie - natürlich - die Bekämpfung von Cyberkriminalität. Denn im Verhältnis zum Bruttoinlandsprodukt sind die Schäden im Bereich Wirtschaftsspionage und Cyberkriminalität weiterhin nirgends so hoch wie in Deutschland.
Was das Desaster-Management anbelangt, verlangen die Gesetze als allgemeine Schutz- und Sorgfaltspflicht, dass regelmäßig und zuverlässig zeitgemäße, lückenlose Datensicherungsroutinen im Bereich Produktivsystem, Archivsystem und Backup eingesetzt werden. Datensicherungsmaßnahmen wie insbesondere Backups sind verpflichtend durchzuführen. Außerdem zählen zu den unternehmerischen IT-Schutzpflichten unter anderem revisionssichere Archivierungsprozesse, Firewalls, Filter- und Überwachungssysteme, eine Verschlüsselung jedenfalls bei besonders sensitiven Daten sowie eben auch ein Kontinuitätsmanagement, das einen Wiederanlauf nach Wiederherstellung von System und Daten im Schadensfall gewährleistet.
Download Whitepaper "Das europäische Datenschutz- und Datensicherheitsrecht" und Aufzeichnung des Webinars mit Dr. Jens Bücking, Fachanwalt für IT-Recht, finden Sie auf der Website von SEP. (SEP: ra)
eingetragen: 06.04.23
Newsletterlauf: 14.07.23
SEP: Kontakt und Steckbrief
Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.