Die Adressaten des neuen IT-Sicherheitsrechts

Die Cyber-Sicherheit ist aktuell eine der wichtigsten Aufgaben für Unternehmen. Dies hat auch der Gesetzgeber erkannt: Zum Jahreswechsel ist auf EU-Ebene die sog. NIS-2-Richtlinie in Kraft getreten. Der deutsche Gesetzgeber bereitet derzeit die Umsetzung ins nationale Recht vor und hat einen Referentenentwurf vorgelegt. Der heutige Blog-Beitrag vertieft die Frage, wer von den neuen gesetzlichen Anforderungen in der Privatwirtschaft überhaupt adressiert wird. Wichtig ist: Das neue IT-Sicherheitsgesetz adressiert diverse Unternehmen und nicht nur die Betreiber von kritischen Infrastrukturen, den sog. KRITIS. (…) Weiterlesen

Neues IT-Sicherheitsrecht:

Auf Unternehmen und ihre Leitungsorgane kommen weitreichende Pflichten zu Die Cyber-Sicherheit ist aktuell eine der wichtigsten Aufgaben für Unternehmen. Dies hat auch der Gesetzgeber erkannt: Zum Jahreswechsel ist auf EU-Ebene die sog. NIS-2-Richtlinie in Kraft getreten, die „Network and Information Security 2.0“-Richtlinie. Der deutsche Gesetzgeber bereitet derzeit die Umsetzung ins nationale Recht vor. Vorgelegt hat er dafür einen Referentenentwurf, der es in sich hat: Er enthält umfangreiche Pflichten für viele Unternehmen. Hinzu kommt eine ausdrückliche Pflicht des Leitungsebene, Cyber-Sicherheit zu (…) Weiterlesen

Cybersecurity: Was Unternehmen jetzt tun sollten

Ein sicher aufgestelltes Unternehmen schützt sich gleich mehrfach: Cyber-Attacken werden eher vermieden. Kommt es zu einem Angriff, sind die Folgen oft weniger weitreichend, die Schäden geringer. Und schließlich hilft nur eine angemessene Informationssicherheit dem Management, persönliche Haftungsrisiken zu vermeiden. Der Cyber-Vorstand wird zunehmen wichtiger! Was genau es zu beachten gilt, welche Entwicklungen aktuell im Gang sind und wie Unternehmen und insbesondere der Cyber-Vorstand sich schützen können, durfte ich mit Dr. Christian Rosinus in seiner Podcastfolge #160 diskutieren. Ich freue mich, (…) Weiterlesen

Alles neu macht der Mai: Entscheidungswelle beim EuGH

Am 4. Mai und in den Tagen davor hat der EuGH mehrere datenschutzrechtlich höchst relevante Entscheidungen bzw. Schlussanträge veröffentlicht. Es geht unter anderem erneut um die Reichweite des Auskunftsrechts und Schadensersatzansprüche bei DSGVO-Verstößen, um den Adressaten von Bußgeldentscheidungen und vieles mehr. Wir haben Ihnen eine substantielle Übersicht erstellt mit den nach unserer Auswertung wichtigsten Aussagen. Angesichts der kürzlich veröffentlichten Entscheidungswelle wird deutlich, dass die Relevanz des Datenschutzrechts weiter steigt. Der EuGH schafft in diesem Bereich durch seine Urteile mehr Rechtssicherheit, (…) Weiterlesen

Wir brauchen einen Cyber-Vorstand!

Viele Unternehmen vernachlässigen die Informationssicherheit noch. Sie fällt hinter dem Tagesgeschäft zurück. Oft ist niemand „wirklich verantwortlich“. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) konstatiert: „Dadurch besteht bei unklarer Aufteilung der Zuständigkeiten die Gefahr, dass Informationssicherheit grundsätzlich zu einem ,Problem anderer Leute‘ wird. Damit wird die Verantwortung für Informationssicherheit so lange hin- und hergeschoben, bis keiner sie mehr zu haben glaubt“ (BSI, Standard 200-2 zur IT-Grundschutz-Methodik). Eine wegen einer fehlenden Priorisierung unzureichende Cyber-Security ist oft der Grund für (besonders (…) Weiterlesen

Erweiterte Führung: Cyber-Vorstände

Unternehmen werden von Hackerangriffen bedroht. Das ist Realität in Deutschland. Die Digitalisierung birgt nicht nur Chancen, sondern auch Risiken, die man im Blick behalten muss. Unternehmen, die auf Führungsebene vorsorgen, haben Vorteile. Der Cyber-Vorstand ist eine leitende Position (m/w/d), die für maximale Cyber- und Handlungssicherheit im Unternehmen sorgt – heute ein Muss. Schöne neue Welt? Die Digitalisierung macht vieles einfacher, was früher mühsam war. E-Mail-Kommunikation ist schnell. Künstliche Intelligenz und automatisierte Management-Systeme sorgen für Effizienz. Die Cloud ermöglicht das Arbeiten (…) Weiterlesen

Rechtliche Vorgaben zur IT-Sicherheit: Was kommt auf die Unternehmen zu?

Zum 1. Mai 2023 müssen Unternehmen nach dem BSIG die Angriffserkennung verbessern: Betreiber kritischer Infrastrukturen (KRITIS) müssen bis dahin Systeme zur Angriffserkennung implementieren. Derweil arbeitet der deutsche Gesetzgeber an der Umsetzung der NIS-2, die Richtlinie (EU) 2022/2555 ins deutsche Recht. Die Richtlinie ist Ende Dezember 2022 im Amtsblatt verkündet wurde und muss bis Oktober 2024 umgesetzt werden. Sie bringt einige Nachjustierungen für die KRITIS-Betreiber und insbesondere ganz neue Pflichten für wesentliche und wichtige Einrichtungen. Etliche Unternehmen werden dadurch erstmals in (…) Weiterlesen

Websites: Neues zur Gestaltung von Cookie-Bannern

Der Europäische Datenschutzausschuss (EDSA) hat sich mit der Zulässigkeit und Gestaltung von Cookies und Cookie-Bannern im Lichte der e-Privacy-Richtlinie und der DSGVO beschäftigt. In einem Bericht vom 17.01.2023 hat er eine gemeinsame Position zu Cookie-Bannern angenommen. Mit den vertretenen Positionen zaubert der EDSA keine unerwarteten Überraschungen aus dem Datenschutz-Hut, dennoch gilt es für Website-Betreiber bestimmte Punkte zu beachten. Ausgangspunkt für den EDSA-Bericht bilden die durch den Verein „NOYB – Europäisches Zentrum für digitale Rechte“ eingelegten Beschwerden gegen verschiedene Ausgestaltungen von (…) Weiterlesen

Risiko Datenschutzaufsichtsbehörden: Welche öffentlichen Äußerungen sind zulässig?

Datenschutzaufsichtsbehörden spielen bei der Anwendung und Auslegung des Datenschutzrechts eine entscheidende Rolle. Äußern sich diese kritisch ggü. der Datenschutzkonformität von (digitalen) Produkten, kann dies das Ende des Produkterfolgs bedeuten: Der Absatz wird gehemmt, die Risiken steigen auch für (potentielle) Investoren enorm. Der Fall Microsoft illustriert dies derzeit deutlich: Die Datenschutzaufsichtsbehörden veröffentlichten vernichtende Einschätzungen, nach denen ein Datenschutzkonformer Einsatz von MS365 unmöglich sei – und dies zunächst sogar ohne vorherige Anhörung von Microsoft. Gäbe es Alternativprodukte am Markt, so wäre MS365 (…) Weiterlesen

EuGH: Problematische Aussagen zu sensiblen Daten

Das Verwaltungsgericht Vilnius in Litauen legte dem Europäischen Gerichtshof im Rahmen eines Vorabentscheidungsverfahrens zwei Fragen zum Verhältnis einiger litauischer Regelungen zur Korruptionsbekämpfung zu den Bestimmungen der DSGVO vor. Im Rahmen seines Urteils hat der Europäische Gerichtshof eine Aussage zur Reichweite des Art. 9 Abs. 1 DSGVO getroffen, der sensible Datenkategorien unter besonderen Schutz stellt. Der Europäische Gerichtshof legte den Anwendungsbereich der (immer wieder problematischen) Vorschrift weit aus und erregt damit die Gemüter in datenschutzrechtlichen Foren nachhaltig. In dem Vorabentscheidungsverfahren ging es im (…) Weiterlesen