Produkthaftung für Software und Sicherheitsupdates

Die EU hat sich politisch auf eine Anpassung der Produkthaftungsrichtlinie verständigt. Für Softwarehersteller sind diese weitreichend. Software ist künftig „Produkt“. Für Schäden nach dem Produkthaftungsrecht wird dann verschuldensunabhängig gehaftet, die Produkte müssen fortlaufend überwacht werden. Auch müssen rechtzeitig Sicherheitsupdates bereitgestellt werden, wenn CVEs (Common Vulnerabilities and Exposures) bekannt werden. Die fortschreitende Digitalisierung bringt neue Risiken, die von dem seit 40 Jahren bestehenden Haftungsrecht nicht mehr ausreichend abgedeckt werden. Ob „Software“ als Produkt erfasst ist, ist seit langem umstritten. Die wohl (…) Weiterlesen

Cyber Security und Informationssicherheit für Unternehmen

Das Wichtigste im Überblick Was ist Informationssicherheit (Cyber Security)? Bei der Informationssicherheit (Cyber Security) geht es für Unternehmen darum, (unternehmensinterne) Informationen zu schützen. Der Schutz gilt: Es geht um Vertraulichkeit, Integrität und Verfügbarkeit der Informationen. Auch wenn Unternehmen dabei regelmäßig direkt an digitale Informationen denken, bezieht sich der Begriff auch auf physische und nicht nur auf elektronische Informationen. Der Gewährleistung der digitalen Informationssicherheit (Cyber Security) kommt dabei ein besonderer Stellenwert zu. Dieser Bereich wird in Deutschland regelmäßig als IT-Sicherheit bezeichnet. (…) Weiterlesen

Die Adressaten des neuen IT-Sicherheitsrechts

Die Cyber-Sicherheit ist aktuell eine der wichtigsten Aufgaben für Unternehmen. Dies hat auch der Gesetzgeber erkannt: Zum Jahreswechsel ist auf EU-Ebene die sog. NIS-2-Richtlinie in Kraft getreten. Der deutsche Gesetzgeber bereitet derzeit die Umsetzung ins nationale Recht vor und hat einen Referentenentwurf vorgelegt. Der heutige Blog-Beitrag vertieft die Frage, wer von den neuen gesetzlichen Anforderungen in der Privatwirtschaft überhaupt adressiert wird. Wichtig ist: Das neue IT-Sicherheitsgesetz adressiert diverse Unternehmen und nicht nur die Betreiber von kritischen Infrastrukturen, den sog. KRITIS. (…) Weiterlesen

Neues IT-Sicherheitsrecht:

Auf Unternehmen und ihre Leitungsorgane kommen weitreichende Pflichten zu Die Cyber-Sicherheit ist aktuell eine der wichtigsten Aufgaben für Unternehmen. Dies hat auch der Gesetzgeber erkannt: Zum Jahreswechsel ist auf EU-Ebene die sog. NIS-2-Richtlinie in Kraft getreten, die „Network and Information Security 2.0“-Richtlinie. Der deutsche Gesetzgeber bereitet derzeit die Umsetzung ins nationale Recht vor. Vorgelegt hat er dafür einen Referentenentwurf, der es in sich hat: Er enthält umfangreiche Pflichten für viele Unternehmen. Hinzu kommt eine ausdrückliche Pflicht des Leitungsebene, Cyber-Sicherheit zu (…) Weiterlesen

Cybersecurity: Was Unternehmen jetzt tun sollten

Ein sicher aufgestelltes Unternehmen schützt sich gleich mehrfach: Cyber-Attacken werden eher vermieden. Kommt es zu einem Angriff, sind die Folgen oft weniger weitreichend, die Schäden geringer. Und schließlich hilft nur eine angemessene Informationssicherheit dem Management, persönliche Haftungsrisiken zu vermeiden. Der Cyber-Vorstand wird zunehmen wichtiger! Was genau es zu beachten gilt, welche Entwicklungen aktuell im Gang sind und wie Unternehmen und insbesondere der Cyber-Vorstand sich schützen können, durfte ich mit Dr. Christian Rosinus in seiner Podcastfolge #160 diskutieren. Ich freue mich, (…) Weiterlesen

Wir brauchen einen Cyber-Vorstand!

Viele Unternehmen vernachlässigen die Informationssicherheit noch. Sie fällt hinter dem Tagesgeschäft zurück. Oft ist niemand „wirklich verantwortlich“. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) konstatiert: „Dadurch besteht bei unklarer Aufteilung der Zuständigkeiten die Gefahr, dass Informationssicherheit grundsätzlich zu einem ,Problem anderer Leute‘ wird. Damit wird die Verantwortung für Informationssicherheit so lange hin- und hergeschoben, bis keiner sie mehr zu haben glaubt“ (BSI, Standard 200-2 zur IT-Grundschutz-Methodik). Eine wegen einer fehlenden Priorisierung unzureichende Cyber-Security ist oft der Grund für (besonders (…) Weiterlesen