Rechtsrahmen für mehr IT-Security!
In Zeiten fortschreitender digitaler Vernetzung und kontinuierlich ansteigender Cyberkriminalität ist die Gewährleistung der IT-Sicherheit längst zu einer Hauptaufgabe für den Staat, die Privatwirtschaft und die Gesellschaft geworden. Alldem ungeachtet wird dieser Entwicklung in der Arbeitsrealität längst noch nicht die notwendige Achtsamkeit eingeräumt, was signifikante rechtliche Auswirkunen nach sich ziehen kann. Welche gesetzlichen Regelungen und Erlasse Firmen im Hinblick auf die IT-Sicherheit beachten sowie einhalten müssen, lernen Sie in unserem untenstehenden Text.
Heutzutage sind die Integrität und der Zukunftsfähigkeit eines Geschäftsbetriebes ohne die Verwendung einer leistungsfähigen und hochverfügbaren IT-Infrastruktur nicht denkbar.
Im Sinne einer aktuellen Erhebung durch Riverbed sind heute 81 % der teilnehmenden Manager davon überzeugt, dass eine moderne IT-Umgebung Entwicklungspotential, Erfindungsreichtum wie auch Rentabilität steigert.
Obschon der Einsatz neuer IT-Lösungen wichtige und fortschrittsermöglichende Vorzüge für Unternehmungen bereithält, münden diese oft auch in einer zunehmenden IT-Abhängigkeit und erweitern so die Gefahr für moderne Internetattacken, Fehlkonfigurationen und Verletzungen des Datenschutzes.
Daher ist inzwischen in sämtlichen Wirtschaftssegmenten eine verstärkte gesetzliche Regulierung der IT-Sicherheit zu verzeichnen.
Internetbedrohungen mit Rechtsnormen Herr werden!
Das Kernthema IT-Sicherheit beschäftigt im Zuge der zunehmenden Vernetzung der Arbeitswelt immerzu eine größere Anzahl an Unternehmen. Allerdings sind die einschlägigen gesetzlichen Anforderungen an Geschäftsbetriebe erst einmal nicht gerade leicht überblickbar.
Denn bis heute gibt es kein Hauptgesetz, welches jegliche Regulierungen mit Wechselbeziehung zur IT-Security bündelt. Eigentlich walten diverse unterschiedliche Normen zusammen, um Betriebe zu verpflichten, ein IT-Risk Management einzusetzen und in die Implementation risikoangemessener IT-Securitymaßnahmen wie auch IT-Security Solutions zu investieren.
Wird dies jedoch verpasst, können im Falle eines IT-Securityvorfalls abgesehen von schweren Reputationsschäden auch noch Bußgelder in großer Höhe zu erwarten sein.
Allein im Jahre 2020 wurden in der Europäischen Union alles in allem 160 Mio Euro Bußgelder aufgrund von Übertretungen gegen die EU DSGVO verhängt. Hierzulande erging die größte Geldbuße mit 35,3 Mio. EUR an das H&M Servicecenter in Nürnberg, das die persönlichen Lebensumstände 100ter Beschäftigter ausgeforscht haben soll.
Die bedeutendsten rechtlichen Grundlagen zur IT-Sicherheit im Überblick:
Vor dem Hintergrund der ständig schwerer werdenden Bedrohungssituation sehen sich die Gesetzgeber genauso wie Geschäftsbetriebe mehr und mehr in der Verpflichtung zu agieren. Auf der einen Seite entstehen neuartige sowie innovativere IT-Securitylösungen und Dienste, welche das Sicherheitsniveau optimieren. Andererseits werden striktere Anforderungen an eine firmeninterne IT-Sicherheit formuliert, um so IT-Risiken über technische, organisatorische, strukturelle sowie personelle IT-Sicherheitsmaßnahmen zu verkleinern. Regularien, die vornehmlich die IT-Security berühren, haben hierbei vorwiegend die Intention, die IT-Infrastruktur eines Betriebes vor Cyberattacken, fremdem Zugriff und Missbrauch zu bewahren. Regelungen, welche den Datenschutz anbelangen, haben die Zielsetzung, einen verlässlichen Schutz für Betriebsdaten im Hinblick auf Verfügbarkeit, Vertraulichkeit, Integrität sowie Echtheit zu erreichen.
Damit Firmen vorschriftsmäßige IT-Sicherheitsmaßnahmen umsetzen können, sind u.a. die anschließend aufgeführten Gesetze und Vorschriften für sie maßgeblich:
• das IT-Sicherheitsgesetz:Bei dem IT-Sicherheitsgesetz, abgekürzt IT-SiG, handelt es sich um ein Artikelgesetz, dass die Zielsetzung hat, den Schutz von Datensammlungen und IT-Umgebungen zu schützen sowie zu gewährleisten. Bei dem Gesetz stehen insbesondere die Betreiber systemrelevanter Infrastrukturen aus den Sektoren Strom- und Wasserversorgung, Finance oder Ernährung im Fokus. Solche Betreiber sind gesetzlich in der Pflicht, ihre Unternehmens-IT geeignet zu schützen sowie min. alle 2 Kalenderjahre überprüfen zu lassen. Dazu kommen Pflichten zur Meldung an das BSI nach aufgetretenen IT-Sicherheitsvorfällen.
• die EU-DSGVO:Die EU-Datenschutzgrundverordnung ist wie das IT-SiG ein Artikelgesetz. Es hat die Intention, EU weit für einheitliche Bestimmungen zu sorgen, welche den Datenschutz tangieren. Somit erhöhen sich die Erfordernisse an die Datenschutz-Compliance sowie ein gut funktionierendes Datenschutz-Management-System. Die Vorschriften des inländischen Bundesdatenschutzgesetzes ,kurz BDSG, erweitern die europäische DSGVO, indem unterschiedliche Parameter konkretisiert werden.
• das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich: Das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich, kurz KonTraG, zielt auf die Optimierung der Grundlagen der Unternehmensführung ab. Überdies sollen Firmen motiviert werden, sich stärker mit dem Thema IT-Risikomanagement zu beschäftigen wie auch in ein unternehmensweites Früherkennungssystem zu investieren.
• die Grundsätze zur ordnungsgemäßen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff : Bei den Grundsätzen zur ordnungsgemäßen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff, abgekürzt GoBD, dreht sich alles um Vorgaben aus einer Anweisung des BMF für die Dokumentationsprozesse in Geschäfsbetrieben. Die GoBD stellen sicher, dass Geschäftsbetriebe, in welchen betriebliche Abläufe und Buchführungs-, Aufzeichnungs- und Aufbewahrungspflichten gegeben sind, unterschiedliche Sorgfaltspflichten bei der Weiterverarbeitung, Vorhaltung und Bereitstellung der Daten zu beachten. Jedoch sollten sämtliche Regeln durch ein betriebsinternes Kontrollsystem vollzogen werden. Gleichermaßen ist eine Dokumentierung als Beleg eines rechtskonformen Systembetriebs verlangt.
Nebst diesen 4 wesentlichen Normen sollten Firmen bei der Ausführung einer risikoadäquaten IT-Securitystrategie noch nachfolgende Gesetze einbeziehen:
• die Grundsätze für eine ordnungsmäßige Datenverarbeitung, kurz GoDV
• das Gesetz zum Schutz von Geschäftsgeheimnissen, kurz GeschGehG
• Telekommunikations-Überwachungsverordnung, kurz TKÜV
• Telekommunikationsgesetz, kurz TKG
• Telemediengesetz, abgekürzt TMG
• Beziehungsweise das Telekommunikation-Telemedien-Datenschutzgesetz, abgekürzt TTDSG, welches ab dem 01.12.2021 gültig ist.
• die §§ 69a ff.und der § 106 im Urheberrechtsgesetz, abgekürzt UrhG
Auch Rechtsnormen zur IT-Security schützen Ihren Unternehmenserfolg!
Heute müssen Geschäftsbetriebe bei uns eine Fülle juristischer Vorgaben in Bezug auf ihre IT-Security einhalten, andernfalls können hohe Sanktionen drohen.
Aus diesem Grund ist es wichtig, dass sich Unternehmungen früh genug mit den einschlägigen Gesetzesnormen ebenso wie Vorschriften, welche die IT-Security tangieren, beschäftigen.
Nur derart können sie eine dauerhaft hohe IT-Security ebenso wie die erforderliche IT-Compliance gewährleisten.
Möchten Sie noch mehr über die rechtlichen Fragestellungen der IT-Security erfahren oder brauchen Sie einen externen IT-Sicherheitsbeauftragten? Sprechen Sie uns an!
Telefonisch unter 0049 8284 99690-0 oder per E-Mail unter vertrieb@esko-systems.de