Artikel mit dem Schlagwort #Cybersecurity

Produkthaftung für Software und Sicherheitsupdates

Die EU hat sich politisch auf eine Anpassung der Produkthaftungsrichtlinie verständigt. Für Softwarehersteller sind diese weitreichend. Software ist künftig „Produkt“. Für Schäden nach dem Produkthaftungsrecht wird dann verschuldensunabhängig gehaftet, die Produkte müssen fortlaufend überwacht werden. Auch müssen rechtzeitig Sicherheitsupdates bereitgestellt werden, wenn CVEs (Common Vulnerabilities and Exposures) bekannt werden. Die fortschreitende Digitalisierung bringt neue Risiken, die von dem seit 40 Jahren bestehenden Haftungsrecht nicht mehr ausreichend abgedeckt werden. Ob „Software“ als Produkt erfasst ist, ist seit langem umstritten. Die wohl (…) Weiterlesen

Cyber Security und Informationssicherheit für Unternehmen

Das Wichtigste im Überblick Was ist Informationssicherheit (Cyber Security)? Bei der Informationssicherheit (Cyber Security) geht es für Unternehmen darum, (unternehmensinterne) Informationen zu schützen. Der Schutz gilt: Es geht um Vertraulichkeit, Integrität und Verfügbarkeit der Informationen. Auch wenn Unternehmen dabei regelmäßig direkt an digitale Informationen denken, bezieht sich der Begriff auch auf physische und nicht nur auf elektronische Informationen. Der Gewährleistung der digitalen Informationssicherheit (Cyber Security) kommt dabei ein besonderer Stellenwert zu. Dieser Bereich wird in Deutschland regelmäßig als IT-Sicherheit bezeichnet. (…) Weiterlesen

Die Adressaten des neuen IT-Sicherheitsrechts

Die Cyber-Sicherheit ist aktuell eine der wichtigsten Aufgaben für Unternehmen. Dies hat auch der Gesetzgeber erkannt: Zum Jahreswechsel ist auf EU-Ebene die sog. NIS-2-Richtlinie in Kraft getreten. Der deutsche Gesetzgeber bereitet derzeit die Umsetzung ins nationale Recht vor und hat einen Referentenentwurf vorgelegt. Der heutige Blog-Beitrag vertieft die Frage, wer von den neuen gesetzlichen Anforderungen in der Privatwirtschaft überhaupt adressiert wird. Wichtig ist: Das neue IT-Sicherheitsgesetz adressiert diverse Unternehmen und nicht nur die Betreiber von kritischen Infrastrukturen, den sog. KRITIS. (…) Weiterlesen

Neues IT-Sicherheitsrecht:

Auf Unternehmen und ihre Leitungsorgane kommen weitreichende Pflichten zu Die Cyber-Sicherheit ist aktuell eine der wichtigsten Aufgaben für Unternehmen. Dies hat auch der Gesetzgeber erkannt: Zum Jahreswechsel ist auf EU-Ebene die sog. NIS-2-Richtlinie in Kraft getreten, die „Network and Information Security 2.0“-Richtlinie. Der deutsche Gesetzgeber bereitet derzeit die Umsetzung ins nationale Recht vor. Vorgelegt hat er dafür einen Referentenentwurf, der es in sich hat: Er enthält umfangreiche Pflichten für viele Unternehmen. Hinzu kommt eine ausdrückliche Pflicht des Leitungsebene, Cyber-Sicherheit zu (…) Weiterlesen

Cybersecurity: Was Unternehmen jetzt tun sollten

Ein sicher aufgestelltes Unternehmen schützt sich gleich mehrfach: Cyber-Attacken werden eher vermieden. Kommt es zu einem Angriff, sind die Folgen oft weniger weitreichend, die Schäden geringer. Und schließlich hilft nur eine angemessene Informationssicherheit dem Management, persönliche Haftungsrisiken zu vermeiden. Der Cyber-Vorstand wird zunehmen wichtiger! Was genau es zu beachten gilt, welche Entwicklungen aktuell im Gang sind und wie Unternehmen und insbesondere der Cyber-Vorstand sich schützen können, durfte ich mit Dr. Christian Rosinus in seiner Podcastfolge #160 diskutieren. Ich freue mich, (…) Weiterlesen

Wir brauchen einen Cyber-Vorstand!

Viele Unternehmen vernachlässigen die Informationssicherheit noch. Sie fällt hinter dem Tagesgeschäft zurück. Oft ist niemand „wirklich verantwortlich“. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) konstatiert: „Dadurch besteht bei unklarer Aufteilung der Zuständigkeiten die Gefahr, dass Informationssicherheit grundsätzlich zu einem ,Problem anderer Leute‘ wird. Damit wird die Verantwortung für Informationssicherheit so lange hin- und hergeschoben, bis keiner sie mehr zu haben glaubt“ (BSI, Standard 200-2 zur IT-Grundschutz-Methodik). Eine wegen einer fehlenden Priorisierung unzureichende Cyber-Security ist oft der Grund für (besonders (…) Weiterlesen

Erweiterte Führung: Cyber-Vorstände

Unternehmen werden von Hackerangriffen bedroht. Das ist Realität in Deutschland. Die Digitalisierung birgt nicht nur Chancen, sondern auch Risiken, die man im Blick behalten muss. Unternehmen, die auf Führungsebene vorsorgen, haben Vorteile. Der Cyber-Vorstand ist eine leitende Position (m/w/d), die für maximale Cyber- und Handlungssicherheit im Unternehmen sorgt – heute ein Muss. Schöne neue Welt? Die Digitalisierung macht vieles einfacher, was früher mühsam war. E-Mail-Kommunikation ist schnell. Künstliche Intelligenz und automatisierte Management-Systeme sorgen für Effizienz. Die Cloud ermöglicht das Arbeiten (…) Weiterlesen

Rechtliche Vorgaben zur IT-Sicherheit: Was kommt auf die Unternehmen zu?

Zum 1. Mai 2023 müssen Unternehmen nach dem BSIG die Angriffserkennung verbessern: Betreiber kritischer Infrastrukturen (KRITIS) müssen bis dahin Systeme zur Angriffserkennung implementieren. Derweil arbeitet der deutsche Gesetzgeber an der Umsetzung der NIS-2, die Richtlinie (EU) 2022/2555 ins deutsche Recht. Die Richtlinie ist Ende Dezember 2022 im Amtsblatt verkündet wurde und muss bis Oktober 2024 umgesetzt werden. Sie bringt einige Nachjustierungen für die KRITIS-Betreiber und insbesondere ganz neue Pflichten für wesentliche und wichtige Einrichtungen. Etliche Unternehmen werden dadurch erstmals in (…) Weiterlesen

Interoperabilität im Data Act

Interoperabilität im Data Act Wenn das „Potential von Daten“ verbessert, die Datenwirtschaft gestärkt und zugunsten von Verbrauchern und alternativen Anbietern der Wechsel zwischen diversen Services vereinfacht werden soll, kommt es vor allem auf eines an: Interoperabilität, also die Fähigkeit verschiedener digitaler Produkte (Cloud, Anwendungen, Komponenten, …) miteinander zu interagieren, jenseits der üblicherweise erwarteten und zur Verwendung notwendigen Kompatibilität z.B. mit dem Betriebssystem des Smartphones – sei es der einfache Wechsel zwischen zwei Cloud-Anbietern, von einer zur anderen Social Media Plattform (…) Weiterlesen

Zwingende Datensicherheit: Keine Einwilligung Betroffener in eine unsichere Datenverarbeitung?

Die Datenschutzkonferenz hat dem am 24.11.2021 mit einem neuen Beschluss eine recht klare Absage erteilt. Relevant ist dies z.B. für die Übermittlung sensibler Daten per Email stößt immer wieder auf datenschutzrechtliche Bedenken. Im Frühjahr 2021 hatte der der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit sich dazu noch abweichend positioniert  und die Möglichkeiten für eine Einwilligung in ein niedrigeres Datensicherheitsniveau dargelegt. Was gilt nun?    „Die vom Verantwortlichen nach Art. 32 DSGVO vorzuhaltenden technischen und organisatorischen Maßnahmen beruhen auf objektiven Rechtspflichten, (…) Weiterlesen