Welche gesetzlichen Vorgaben sind im Umfeld der IT-Sicherheit besonders bedeutend?
Im Zeitalter fortschreitender globaler Vernetzung sowie fortlaufend wachsender Internetkriminalität ist die Gewährleistung der IT-Sicherheit schon lange zu einer Hauptaufgabe für den Staat, die Wirtschaft ebenso wie die Gesellschaft avanciert. Jedoch wird ihr in der Arbeitsrealität längst noch nicht die notwendige Achtsamkeit entgegengebracht, was signifikante rechtliche Auswirkunen haben kann. Welche Gesetze sowie Verordnungen Unternehmen im Hinblick auf die IT-Security, beachten sowie befolgen müssen, lernen Sie in unserem nachstehenden Blog.
Heute sind die Betriebsfähigkeit wie auch der ökonomische Erfolg eines Geschäftsbetriebes ohne den Einsatz einer leistungsstarken und hochverfügbaren IT-Umgebung nicht denkbar.
Nach einer aktuellen Auswertung von Riverbed (https://www.riverbed.com/de/) sind inzwischen 81 % der teilnehmenden Manager der Meinung, dass eine zeitgemäße IT-Infrastruktur Innovation, Einfallsreichtum wie auch Produktivität begünstigt. Wenngleich der Einsatz neuer Systeme elementare und fortschrittsermöglichende Vorteile für Firmen bereithält, münden sie oftmals ebenso in einer zunehmenden IT-Abhängigkeit und erweitern so das Risiko für modernste Cyberattacken, fehlerhaften Konfigurationen sowie Verletzungen des Datenschutzes. Folglich ist mittlerweile in allen Wirtschaftssegmenten eine zunehmende juristische Reglementierung der IT-Security zu verzeichnen.
Wie die Einhaltung der gesetzlichen Vorschriften bei der Generierung von IT-Sicherheit unterstützen können:
Das Themenfeld IT-Sicherheit betrifft im Zusammenhang der zunehmenden Vernetzung des Geschäftsalltages immerzu eine größere Anzahl an Geschäftsbetrieben. Allerdings sind die einschlägigen staatlichen Anforderungen an Betriebe erstmal alles andere als überschaubar.
Denn bis heute besteht kein Hauptgesetz, das jegliche Bestimmungen mit Verbindung zur IT-Security zusammenfasst. Vielmehr walten mehrere unterschiedliche Vorschriften gemeinsam, um Firmen zu verpflichten, ein IT-Risk Management durchzuführen sowie in die Umsetzung risikoadäquater IT-Sicherheitsmaßnahmen und IT-Security Solutions zu investieren.
Wird dies hingegen verpasst, können im Falle eines IT-Securityvorfalls außer gravierenden Reputationsschäden auch noch Bußgelder in immenser Höhe fällig werden.
Nur im Jahr 2020 wurden in der Europäischen Union zusammen 160 Millionen Euro Bußgelder (https://www.heise.de/news/Fast-160-Millionen-Euro-DSGVO-Bussgelder-im-Jahr-2020-5029037.html) im Zuge von Zuwiderhandlungen gegen die EU Datenschutzgrundverordnung verhängt. In der Bundesrepublik ging die größte Geldstrafe mit 35,3 Mio € (https://datenschutz-hamburg.de/pressemitteilungen/2020/10/2020-10-01-h-m-verfahren) an das H&M Servicecenter in Nürnberg, welches die persönlichen Lebensumstände 100ter Mitarbeiter ausgespäht haben soll.
Die entscheidenden Normen zur IT-Security im Gesamtüberblick:
In Anbetracht der andauernd komplizierter werdenden Bedrohungslage sehen sich die Gesetzgeber gleichermaßen wie Firmen mehr und mehr in der Verpflichtung zu agieren. Auf der einen Seite entstehen brandneue und effektive IT-Sicherheitslösungen und Services, welche das IT-Sicherheitslevel steigern. Zum anderen werden schärfere Anforderungen an eine betriebsinterne IT-Sicherheit definiert, um so IT-Risiken über elektronische, administrative, strukturelle und personelle IT-Securitymaßnahmen zu reduzieren. Gesetze, welche im Besonderen die IT-Sicherheit berühren, haben im Zuge dessen in erster Linie die Absicht, die IT-Umgebung eines Unternehmens vor Cyberattacken, fremdem Zugriff und Missbrauch zu schützen. Gesetze, die den Datenschutz betreffen, haben die Intention, einen verlässlichen Schutzmechanismus für Unternehmensdaten im Zusammenhang mit Nutzbarkeit, Vertraulichkeit, Integrität sowie Echtheit zu realisieren. Damit Unternehmen gesetzeskonforme IT-Sicherheitsmaßnahmen etablieren können, sind u.a. die nachfolgenden Gesetze und Verordnungen für sie entscheidend:
- Das IT-Sicherheitsgesetz
(https://www.bgbl.de/xaver/bgbl/start.xav?startbk=Bundesanzeiger_BGBl&jumpTo=bgbl115s1324.pdf#__bgbl__%2F%2F*%5B%40attr_id%3D%27bgbl115s1324.pdf%27%5D__1633511250922)
Beim IT-Sicherheitsgesetz, abgekürzt IT-SiG, handelt es sich um ein Artikelgesetz, welches die Intention hat, den Schutz von Datensammlungen und IT-Systemen zu sichern sowie zu gewährleisten. Beim Gesetz stehen gerade die Betreiber systemkritischer Infrastrukturen aus den Sparten Strom- und Wasserversorgung, Finanzen oder Nahrung im Zentrum. Die Provider sind nach dem Gesetz in der Verpflichtung, ihre Firmen-IT adäquat zu schützen ebenso wie mindestens alle 2 Jahre kontrollieren zu lassen. Dazu kommen Pflichten zur Meldung an das BSI nach aufgetretenen IT-Securityvorfällen. - Die EU-DSGVO
(https://dsgvo-gesetz.de)
Die EU-Datenschutzgrundverordnung ist so wie das IT-Sicherheitsgesetz ein Artikelgesetz. Es hat die Intention, europaweit für uniforme Regulierungen zu sorgen, die den Datenschutz beeinflussen. Damit steigen die Ansprüche an die Datenschutz-Compliance und ein funktionales Datenschutz-Verwaltungs-System. Die Regelungen des deutschen Bundesdatenschutzgesetzes (http://www.gesetze-im-internet.de/bdsg_2018/),abgekürzt BDSG, ergänzen die europäische DSGVO, indem verschiedene Aspekte konkretisiert werden. - Das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich
(https://www.bgbl.de/xaver/bgbl/start.xav?start=//*%5B@attr_id=%27bgbl198s0786.pdf%27%5D#__bgbl__%2F%2F*%5B%40attr_id%3D%27bgbl198s0786.pdf%27%5D__1633511324051)
Das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich, kurz KonTraG, zielt auf die Verbesserung der Grundlagen der Unternehmensführung ab. Noch dazu sollen Betriebe motiviert werden, sich mehr mit dem Themengebiet IT-Risikomanagement auseinanderzusetzen wie auch in ein firmenweites Risikofrüherkennungssystem zu investieren. - Die Grundsätze zur ordnungsgemäßen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (https://www.bundesfinanzministerium.de/Content/DE/Downloads/BMF_Schreiben/Weitere_Steuerthemen/Abgabenordnung/2019-11-28-GoBD.pdf?__blob=publicationFile&v=13)
Bei den Grundsätzen zur ordnungsgemäßen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff, abgekürzt GoBD, handelt es sich um Vorgaben aus einer Verwaltungsanweisung des Finanzministeriums für die rechtskonforme Dokumentation in Unternehmen. Die GoBD zielen darauf ab, dass Geschäftsbetriebe, in welchen betriebliche Abläufe wie auch Buchführungs-, Aufzeichnungs- und Aufbewahrungspflichten gegeben sind, diverse Sorgfaltspflichten bei der Bearbeitung, Speicherung sowie Zurverfügungstellung der Daten zu beachten. Gleichwohl müssen alle Vorgaben über ein internes System umgesetzt werden. Ebenfalls wird eine Prozessdokumentation als Beweis eines ordnungsgemäßen Systembetriebs vorgeschrieben.
Nebst diesen 4 bedeutenden Rechtsnormen sollten Firmen bei der Umsetzung einer risikoadäquaten IT-Securitystrategie noch folgende Regelungen einbeziehen:
Auch Rechtlichen Grundlagen zur IT-Security gewährleisten Ihren Unternehmenserfolg!
Inzwischen müssen Unternehmungen in der Bundesrepunlik eine Fülle rechtlicher Vorgaben im Hinblick auf ihre IT-Sicherheit beherzigen, anderenfalls können hohe Geldbußen drohen. Aufgrund dessen ist es essentiell, dass sich Geschäftsbetriebe rechtzeitig mit den wichtigsten Gesetzgebungen wie auch Verordnungen, die die IT-Sicherheit betreffen, auseinandersetzen. Nur auf diese Weise können sie eine durchgängig hohe IT-Security ebenso wie die notwendige IT-Compliance sicherstellen.
Möchten Sie mehr über die juristischen Aspekte der IT-Security erfahren oder benötigen Sie einen externen IT-Sicherheitsbeauftragten? Sprechen Sie uns an!