Neues Diskussionspapier zur NIS-2 – Analyse und Key Facts 

Neues Diskussionspapier zur NIS-2 – Analyse und Key Facts 

Nach dem Inkrafttreten der NIS-2 Richtlinie Anfang dieses Jahres warten viele Unternehmen gespannt auf deren Umsetzung in deutsches Recht. Klar ist bisher, dass der Anwendungsbereich der neuen Regelungen deutlich erweitert wird, sodass künftig auch viele mittelständische Unternehmen betroffen sind.  Derzeit unterliegen die Details zur Umsetzung der NIS-2 Vorgaben noch einem dynamischen Veränderungsprozess. Das zeigt sich vor allem daran, dass im September ein neuer Referentenentwurf veröffentlicht wurde, welcher als Diskussionspapier diente und auf den mehr als 30 Verbände und Institutionen mit Stellungnahmen reagiert haben. Diese wurden schließlich vom Bundesministerium für Inneres („BMI“) in einem Werkstattgespräch Ende Oktober 2023 mit den Beteiligten Verbänden und Institutionen aufgenommen und fließen in die kommende Ressortabstimmung des BMI mit ein.  

Die wichtigsten Veränderungen im Vergleich zum zweiten Referentenentwurf werden nachfolgend kurz dargestellt:  

I. Nachweispflichten 

Eine der wohl wichtigsten Änderungen des Diskussionspapiers besteht im Bereich der Nachweispflichten. Statt der anfänglich vorgesehenen zwei-jährlichen Prüfungen für KRITIS-Betreiber und besonders wichtige Einrichtungen, wurde die Spanne nun auf drei Jahre angehoben. Zudem sollen nur noch die Betreiber kritischer Anlagen der Pflicht unterliegen. Der letzte Referentenentwurf sah noch eine Nachweispflicht für besonders wichtige Einrichtungen vor. Für diese soll die Nachweispflicht jedoch nur noch auf Verlangen des Bundesamtes für Sicherheit in der Informationstechnik bestehen. Die Form der Nachweispflichten in Form von Audits, Prüfungen und Zertifizierungen bleibt laut dem Diskussionspapier weiter bestehen. Die Änderung des Nachweiszeitraums hat zur Folge, dass die ersten Prüfungen frühestens im Oktober 2027 stattfinden werden. 

Von diesen Nachweispflichten zu unterscheiden ist die vom Gesetzgeber angestrebte Rechenschaftspflicht im Sinne von Art. 5 Abs. 2 DSGVO analog. Während die Nachweispflicht betroffene Unternehmen dazu verpflichtet, die Einhaltung von Risikomanagementmaßnahmen innerhalb eines bestimmten Zeitraums unaufgefordert nachzuweisen, ist die Umsetzung von Maßnahmen bei der Rechenschaftspflicht beständig zu dokumentieren. Die Vorlage dieser Dokumente hat nach Aufforderung durch das BSI zu erfolgen, beispielsweise bei Stichproben oder im Anschluss eines Vorfalls, sodass diese stets auf aktuellem Stand bereitzuhalten sind. 

II. Betreiber & Sektoren  

In dem Diskussionspapier wurden zudem die betroffenen Betreiber & Sektoren weitergehend konkretisiert. Anlage 1 und 2 des Entwurfs nennen zum einen „Sektoren mit hoher Kritikalität“ (Anlage 1) und zum anderen „Sonstige kritische Sektoren“ (Anlage 2). Auf dieser Basis soll die Einteilung in die Einrichtungskategorien stattfinden. Zu den besonders wichtigen Einrichtungen sollen alle Unternehmen zählen, die den Sektoren in Anlage 1 angehören und mehr als 250 Mitarbeiter oder über 50 Mio. EUR Jahresumsatz und über 43 Mio. EUR Bilanzsumme vorweisen können. Hingegen sollen zu den wichtigen Einrichtungen alle solche Unternehmen zählen, die den Sektoren in Anlage 1 und 2 angehören und über mehr als 50 Mitarbeiter oder über 10 Mio. EUR Jahresumsatz und Bilanzsumme verfügen. Eine Übersicht der in Anlage 1 und 2 genannten Sektoren im Folgenden:  

Anlage 1 Anlage 2 
Energie  Stromversorgung, Fernwärme/-kälte, Kraftstoff, Heizöl, Gas Transport/Verkehr Post und Kurier 
Transport/Verkehr Luftverkehr Schienenverkehr, Schifffahrt, Straßenverkehr Entsorgung Abfallbewirtschaftung 
Finanz/Versicherungen Banken, generelle Finanzmarktinfrastruktur Chemie Herstellung, Handel, Produktion 
Wasserwirtschaft Trinkwasser, Abwasser Lebensmittel Großhandel, Produktion, Verarbeitung 
IT und Telekommunikation Internet Exchange Points, Domain Name Systems, TLD, Cloud Provider, Rechenzentrumsdienste, Content Delivery Networks, Trust Service Provider, elektronische Kommunikation und Dienste, Managed Services und Security Services Verarbeitendes Gewerbe Medizin/Diagnostika, Hersteller von Datenverarbeitungsgeräten, elektronischen und optischen Erzeugnissen, Hersteller von elektronischen Erzeugnissen, Maschinenbau, Kfz/Teile, Fahrzeugbau  
Weltraum Bodeninfrastrukturen Digitale Dienste Marktplätze, Suchmaschinen, soziale Netzwerke 
Gesundheit Dienstleistungen, Referenzlabore, Forschungs- und Entwicklungsanbieter, Hersteller pharmazeutischer Erzeugnisse, Medizinprodukthersteller Forschung Forschungseinrichtungen 

Zu begrüßen ist, dass im Werkstattgespräch mit dem BMI hervorgehoben wurde, dass sich der Betrieb einer kritischen Anlage nicht auf sämtliche Teile eines Unternehmens auswirkt. Vorbehaltlich der Ressortabstimmung würde das bedeuten, dass die speziellen Anforderungen für kritische Anlagen nicht für das gesamte Unternehmen oder den gesamten Konzern gelten, mithin die übrigen Unternehmensteile nicht „infiziert“ werden. 

III. Änderung der Mindestanforderungen 

In dem Diskussionspapier wurden zudem die Kriterien für die Auswahl der Mindestanforderungen konkretisiert. Wie auch schon im letzten Referentenentwurf  

festgelegt, muss bei der Auswahl der Maßnahmen das Ausmaß der Risikoexposition, die Größe der Einrichtung, etwaige Umsetzungskosten, sowie die Eintrittswahrscheinlichkeit und die Schwere von Sicherheitsvorfällen berücksichtigt werden.  

Geändert wurden hingegen die Anforderungen an die Sicherheit in der Lieferkette. Laut dem letzten Referentenentwurf mussten die Einrichtungen die bestehende Cybersicherheitspraxis ihrer Partner bei der Auswahl der Maßnahmen berücksichtigen und diese in die Entscheidung einfließen lassen. Zwar wurden diese Anforderung nunmehr im Gesetzestext gestrichen, finden sich allerdings in der Gesetzesbegründung wieder. Daher können sie künftig durch Auslegung mittelbar in den das Umsetzungsgesetz mit einfließen. 

IV. Pflichten & Haftung für Geschäftsleiter 

Der Referentenentwurf aus dem Juli 2023 statuierte weitreichende Pflichten für die Geschäftsleiter betroffener Unternehmen. So hieß es in dem Entwurf, dass die Geschäftsleiter Risikomanagementmaßnahmen billigen und zusätzlich deren Umsetzung selbstständig überwachen müssen. Ein Delegieren der Überwachungstätigkeit an Dritte war laut dem Referentenentwurf nicht zulässig. Der Entwurf sah für die Verletzung der Überwachungspflicht eine persönliche Haftung der Geschäftsführer besonders wichtiger und wichtiger Einrichtungen vor. 

Das Diskussionspapier aus dem September 2023 kippt diese Anforderungen nun wieder. Anders als in dem Entwurf aus dem Juli 2023 dürfen sich Geschäftsführer zukünftig eines Dritten bedienen, um die Umsetzung der Risikomanagementmaßnahmen zu überwachen. Auch die vorgesehene Klarstellung bezüglich der Geschäftsführerhaftung bei Unterlassung der Überwachungspflicht wurde aus dem Papier entfernt. Dies ändert jedoch nichts an der grundsätzlichen Haftung des Geschäftsführers gegenüber seiner Organisation, da seine Binnenhaftung auch weiterhin besteht.  

Entfernt wurde außerdem die Schulungspflicht für Mitarbeiter betroffener Einrichtungen, welche im letzten Referentenentwurf noch vorgesehen war. Die Schulungspflicht für Geschäftsleiter von besonders wichtigen und wichtigen Einrichtungen bleibt hingegen bestehen. 

V. Erste Einordnung 

Aus dem neuen Diskussionspapier gehen nochmals zahlreiche zum Teil tiefgreifende Veränderungen hervor. Einige Änderungen vereinfachen die Handhabe des neuen Gesetzes. Zugleich wurden aber auch einige Sicherheitsvorgaben maßgeblich entschärft. Ob die neuen Regelungen des Diskussionsentwurfes auch in Zukunft Bestand haben werden, wird sich in den nächsten Monaten zeigen. Die Lage bleibt dynamisch. 

Es gilt nun abzuwarten, wie die Entwürfe tatsächlich umgesetzt werden. Diese Unsicherheit bringt viele Unternehmen zu Recht in eine Zwangslage. Denn eines ist klar: Von dem neuen Gesetz werden viele große und mittelständige Unternehmen betroffen sein und es braucht einige Vorlaufzeit, um die neuen Regelungen im Unternehmen umzusetzen. Daher ist es wichtig, sich zum jetzigen Zeitpunkt schon auf die neuen Regelungen einzustellen und Vorbereitungsmaßnahmen zu treffen. 

VI. Was Sie jetzt tun können 

Sie sollten sich auf die Umsetzung der NIS-2 Richtlinie vorbereiten, da eine durchdachte Umsetzung Qualitätseinbußen verhindert, die Resilienz Ihres Unternehmens stärkt und eine schnellere Eingliederung neuer Maßnahmen in das Unternehmensumfeld ermöglicht. Ist die Lage so dynamisch wie bei der Umsetzung der NIS-2 Richtlinie, stellt sich die Frage, wie eine solche Vorbereitung aussehen kann. Um Ihnen die Antwort auf diese Frage zu erleichtern, haben wir Ihnen die wichtigsten Punkte einer guten Vorbereitung auf die Umsetzung der NIS-2 Richtlinie zusammengefasst: 

  1. Betroffenheit klären 

Zuallererst gilt es herauszufinden, ob Ihr Unternehmen in den Anwendungsbereich der neuen Regelungen fällt. Sie müssen nur dann Maßnahmen ergreifen, wenn Sie zu den betroffenen Einrichtungen gehören. Prüfen Sie, ob die Kriterien zur Einordnung auf Ihr Unternehmen oder bestimmte Anlagen Ihres Unternehmens zutreffen.  

  1. Ressourcen einplanen 

Wenn Ihr Unternehmen oder Bereiche Ihres Unternehmens in den Anwendungsbereich der neuen Regelungen fallen, sollten Sie für die Umsetzung der Anpassungen Ressourcen einplanen. Dabei sollten einerseits Budgets festgelegt und andererseits personelle Ressourcen bereitgestellt werden. 

  1. Verantwortlichkeit klären 

Für die Umsetzung der neuen Anforderungen sollten Verantwortliche bestimmt werden. Bestimmen Sie eine oder mehrere Personen, die für die Umsetzung der Regelung operativ als Hauptverantwortliche gelten. Suchen Sie Sich zudem frühzeitig kompetente externe Partner, die Sie bei der Umsetzung unterstützen. 

  1. Risikoanalyse  

Nachdem die Verantwortlichkeit geklärt wurden, sollte im nächsten Schritt eine Risikoanalyse durchgeführt werden. Ermitteln Sie die größten Risiken Ihres Unternehmens und legen Sie dabei einen besonderen Fokus auf Risiken, welche die Cybersicherheit Ihres Unternehmens betreffen. 

  1. Maßnahmen ermitteln 

Die durchgeführte Risikoanalyse gibt Ihnen Hinweise auf die zu ergreifenden Maßnahmen. Der Referentenentwurf zum Umsetzungsgesetz der NIS-2 Richtlinie kann dazu eine Hilfestellung geben. Beachten Sie bei der Auswahl der Maßnahmen stets die persönliche Risikolage Ihres Unternehmens.  

Nachdem die geeigneten Maßnahmen ausgewählt wurden, müssen diese umgesetzt werden. Dabei ist darauf zu achten, dass die Geschäftskontinuität bestehen bleibt. Ist die Umsetzung erfolgt müssen die Maßnahmen laufend auf ihre Wirksamkeit überprüft werden.  

VII. Fazit  

Die Entwicklung rund um die Umsetzung der NIS-2 Richtlinie bleibt in Bewegung. Bis zur Umsetzung der neuen Richtlinie wird es wohl immer wieder neue Veränderungen geben, die Unternehmen die Planung zur Umsetzung erschwert. Trotz dessen ist es wichtig, dass man frühzeitig beginnt, sich auf die neuen Regelungen vorzubereiten und die Betriebsstrukturen dementsprechend anzupassen. Verlieren Sie in dieser Hinsicht keine Zeit, da eine frühzeitige Umsetzung Ihr Unternehmen resilienter macht.  

Durch das Werkstattgespräch ist das Bemühen des Gesetzgebers deutlich geworden, die Schwellenwerte, Nachweis- sowie Meldefristen aus den Referentenentwürfen an die Übrigen IT-Sicherheitsgesetze anzupassen und eine Vereinheitlichung mit dem geplanten KRITIS-Dachgesetz und der EU-Verordnung „Digital Operational Resilience Act“ (DORA) zu erreichen. Eine solche Harmonisierung zwischen den IT-Sicherheitsgesetzen würde den betroffenen Unternehmen die Umsetzung der umfassenden Vorgaben zumindest ein wenig erleichtern und wäre daher zu begrüßen. 

ByteLaw – Ihr Ansprechpartner für alle Fragen rund um NIS-2 und Cybersicherheit.

Verantwortlicher oder Auftragsverarbeiter oder…? – Selbstfindung im Datenschutz

Die Einordnung der an einer Datenverarbeitung beteiligten Akteure kann im Einzelfall zu komplizierten Abgrenzungsfragen führen, auch wenn die von der DSGVO vorgegebene Rollenverteilung überschaubar ist. So können Verantwortliche und Auftragsverarbeiter an der Verarbeitung personenbezogener Daten involviert sein. Da sich das Pflichtenprogramm dieser Akteure unterschiedlich ausgestaltet und der Haftungsumfang voneinander unterscheidet, ist es für Unternehmen bzw. Organisationen essenziell festzustellen, welche datenschutzrechtliche Rolle sie einnehmen. 

Haftungsrisiken bei fehlender oder unzureichender Rollenverteilung

Das Fehlen einer oder die unzutreffende Einordnung als Verantwortlicher oder Auftragsverarbeiter offenbart sich spätestens, wenn ein meldepflichtiger Datenschutzverstoß festgestellt wird. In diesem Fall ist die zuständige Aufsichtsbehörde über den Vorfall zu benachrichtigen sowie anzugeben, wer Verantwortlicher ist und damit bspw. nach Art. 82 Abs. 2 S. 1 DSGVO für eine unterbliebene Meldung nach Art. 33 DSGVO haften würde. 

Demgegenüber beschränkt sich die Haftung des Auftragsverarbeiters auf die Verletzung gesetzlicher Pflichten, die er in seiner Funktion wahrnimmt. Haben die Beteiligten bis zu diesem Zeitpunkt die datenschutzrechtliche Rollenverteilung jedoch nicht transparent dokumentiert, kommt es zu zeitintensiven Konflikten über Verantwortlichkeiten bei der Datenverarbeitung, obwohl die zeitnahe Meldung einer Datenpanne – innerhalb von 72 Stunden – zu erfolgen hat. 

Verstreicht die Frist, droht ein empfindliches Bußgeld, was seitens der Aufsichtsbehörde zum Anlass genommen werden kann, weitere Nachforschungen anzustellen und auf Grundlage dessen ggf. weitere Bußgelder zu verhängen. Um möglichen Nachforschungen durch die Aufsichtsbehörde schon von Beginn an die Grundlage zu entziehen, sollte jeder einzelne Akteur seine Stellung als (gemeinsam) Verantwortlicher oder Auftragsverarbeiter nachweisbar dokumentieren.

Verantwortliche sind Entscheider 

Im Wesentlichen bestimmt ein Verantwortlicher das „ob“ und „wie“ der Datenverarbeitung, er entscheidet mithin über die Zwecke der Datenverarbeitung und gibt die Mittel vor, mit denen diese erreicht werden sollen. 

Entscheidet sich beispielsweise ein Unternehmen zur Beauftragung eines Dienstleisters, welcher unter Einsatz Künstlicher Intelligenz („KI“) die künftige Personalentwicklung auswerten lässt, wird er als Verantwortlicher tätig. Neben der oben genannten Meldepflicht obliegen dem Verantwortlichen weitere Pflichten, unter anderem

  • Informationspflichten nach Art. 13 und 14 DSGVO,
  • Umsetzung der Betroffenenrechte, z.B. Recht auf Auskunft und Löschung,
  • Erstellung eines umfassenden Verarbeitungsverzeichnisses,
  • Durchführung einer Datenschutz-Folgenabschätzung, die vor allem bei KI-Anwendungen von erheblicher Bedeutung ist,
  • Abschluss eines Auftragsverarbeitungsvertrags mit einem Auftragsverarbeiter und Prüfung des Bestehens geeigneter technischer und organisatorischer Maßnahmen.

Gemeinsam Verantwortliche teilen sich die Entscheidungsgewalt

Entscheiden sich mehrere Unternehmen eines Konzerns aus Gründen der Kostensenkung gemeinsam für den Einsatz der KI-Anwendung und gründen hierfür beispielsweise eine paritätisch besetzte Projektgruppe zum Implementieren der KI, liegen Indizien für eine gemeinsame Verantwortlichkeit vor. Denn eine gemeinsame Verantwortlichkeit ist gegeben, wenn die Zwecke und Mittel der Datenverarbeitung durch gemeinsames Zusammenwirken festgelegt werden, sodass jeder Verantwortliche einen bestimmenden Einfluss auf die Datenverarbeitung hat.

Gemeinsam Verantwortliche haben die Pflicht, des Abschlusses einer Vereinbarung über die gemeinsame Verantwortlichkeit nach Art. 26 DSGVO.

Im Kern dient eine solche Vereinbarung dazu, dass die Verantwortlichen in transparenter Form ihre Pflichten untereinander aufteilen, insbesondere wer die Betroffenenrechte wahrnimmt und wer den Informationspflichten nachkommt.

Auftragsverarbeiter unterstützt den bzw. die Verantwortlichen

Während der Verantwortliche die Zwecke und Mittel der Datenverarbeitung bestimmt, bleibt der Auftragsverarbeiter ohne eigene Entscheidungskompetenzen. Er ist an die Weisungen des Verantwortlichen bei der Verarbeitung gebunden und wird lediglich als dessen „verlängerter Arm“ tätig.

Entscheiden sich die erwähnten Unternehmen mit der Beauftragung eines Dienstleisters zur Implementierung der KI-Anwendung, ist der Dienstleister als Auftragsverarbeiter einzuordnen. Der Pflichtenkatalog des Auftragsverarbeiters ist nicht so umfangreich wie der des Verantwortlichen und beinhaltet unter anderem die

  • Erstellung eines Verarbeitungsverzeichnisses,
  • Mitteilung an den Verantwortlichen bei Kenntnis von einer Datenschutzverletzung,
  • Unterstützung des Verantwortlichen bei Umsetzung von Betroffenenrechten,
  • Datenverarbeitung nur auf Weisung des Verantwortlichen und die übrigen Pflichten aus Art. 28 Abs. 3 DSGVO.

Anhaltspunkte für eine erste Einordnung

Sind bei der Verarbeitung von personenbezogenen Daten noch andere Akteure beteiligt, sollte die datenschutzrechtliche Rollenverteilung einer näheren Betrachtung unterzogen werden. Die im Folgenden genannten Indizien sollen eine erste Hilfestellung zur Selbsteinschätzung geben.

Fazit

Wie wichtig eine korrekte bzw. vertretbare Einordnung ist, zeigt sich spätestens dann, wenn es zu Unregelmäßigkeiten bei der Datenverarbeitung kommt und die sich durch die DSGVO und zwischen den Akteuren der Zwang entsteht, die ihnen auferlegten Pflichten datenschutzkonform umzusetzen. Daher ist es unabdingbar, von Beginn an die Rollenverteilung, insbesondere bei mehrdeutigen Sachverhalten, zu diskutieren, um im Notfall keinen zusätzlichen Zeitdruck durch eine Reevaluierung der Rollenverteilung zu schaffen.

Gerne stehen wir Ihnen bei sämtlichen Fragen hierzu zur Verfügung.

Ist Ihre Organisation gegen Cyberangriffe gesichert? – 5 Fragen eines CEO an sein Unternehmen

In einer Ära, in der digitale Technologien das Rückgrat zahlloser Unternehmen bilden, stehen Firmen weltweit vor der wachsenden Herausforderung, ihre Organisationen vor den vielfältigen Bedrohungen durch Cyberangriffe zu schützen. Als CEO oder Geschäftsführer tragen Sie nicht nur die Verantwortung für die Wettbewerbsfähigkeit und Rentabilität Ihres Unternehmens, sondern auch für dessen Sicherheit und Integrität. Angesichts der zunehmenden Komplexität und Raffinesse der Bedrohungslandschaft ist es unerlässlich, dass Sie sich aktiv mit der Cybersicherheit Ihrer Organisation auseinandersetzen. Aufgrund der hohen Anforderungen an den Bereich der Cybersicherheit kann es jedoch eine Herausforderung sein alle sicherheitsrelevanten Vorgänge zu kennen. Damit Sie trotzdem einen Überblick über die Ressourcen Ihres Unternehmens im Bereich der IT-Sicherheit bekommen, haben wir Ihnen fünf Fragen vorbereitet, die Sie als CEO in Ihrer Organisation stellen sollten, um einen schnellen Überblick über den Stand Ihrer Sicherheit zu erhalten.

Der Fragenkatalog soll dabei eine Indikation über den Stand Ihrer IT-Sicherheit gewährleisten. Die Fragen sind strategisch so gewählt, dass sie alle Kernbereiche der IT-Sicherheit abdecken. Zur Beantwortung der Fragen sollen Ihre Mitarbeiter eine vorgegebene Zeitspanne von 24h erhalten. Wichtig ist, dass es weniger darauf ankommt, welche Antwort Sie nach Ablauf der Frist erhalten, sondern vielmehr, dass Ihre Mitarbeiter innerhalb der 24 Stunden überhaupt in der Lage sind die aufgeworfenen Fragen zu beantworten. Außerdem sollten Ihre Mitarbeiter in der Lage sein, Ihnen zu erklären, warum die Ihnen vorgelegten Schritte so geplant worden sind.

Ist Ihre Organisation nicht in der Lage, die aufgeworfenen Fragen innerhalb von 24 Stunden zu beantworten, fehlt Ihrem Unternehmen eine Übersicht über Hauptfaktoren jeglicher Risikobewertung. Dies spricht dafür, dass Sie sich bisher nicht mit den Risiken durch Cyberbedrohungen auseinandergesetzt haben und Ihre Organisation infolgedessen erhebliche Mängel in ihrer IT-Sicherheitsstruktur aufweist. Solche Indikatoren könnten Ihnen als CEO im Falle eines IT-Vorfalls im Sinne eines Organisationsverschuldens zugerechnet werden. Als CEO ist es zwar nicht Ihre Aufgabe die detaillierten Abläufe zu kennen, aber Ihre Mitarbeiter müssen in die Lage versetzt werden jede der Fragen ausführlich zu beantworten.

Um den Stand Ihrer IT-Sicherheit einordnen zu können, haben wir für Sie fünf Fragen entworfen, die wir mit Ihnen im Einzelnen durchgehen und Ihnen erklären, was die vorgelegte Antwort über die IT-Sicherheit Ihres Unternehmens aussagt:

Antwort:

Ein Großteil der Hackerangriffe erfolgt heutzutage über technische Schwachstellen. Dabei ist es wichtig zwischen bekannten Schwachstellen und den dazu passenden Exploits zu unterscheiden. Der Begriff Schwachstelle meint bekannte technische Schwächen in einem System, die theoretisch zu dessen Kompromittierung ausgenutzt werden können. Die Anzahl bekannter Schwachstellen zu verschiedenen Applikationen kann groß sein, diese Schwachstellen müssen dabei jedoch nicht immer erheblich für die Sicherheit sein. Gefährlich wird es in der Regel erst dann, wenn ein Dritter in der Lage ist diese Schwachstellen auszunutzen, um z. B. Zugang oder erhöhte Rechte in der Umgebung zu erhalten. Dies wird dann als Exploit bezeichnet. Grundsätzlich sollte alle Systeme so regelmäßig geupdatet werden, dass es möglichst wenige Schwachstellen gibt, zwingend erforderlich ist dies jedoch für Systeme, für die es Exploits gibt. Die von Ihnen angeforderte Auflistung der verwendeten Systeme und Applikationen ist dabei unbedingt erforderlich, um Schwachstellen und eventuell dazu passende Exploits zu überwachen. Auch für den Fall, dass kein aktives Schwachstellen-Management durchgeführt werden soll oder kann, ist es für Sie von großer Bedeutung Ihre verwendeten Systeme und Applikationen auf dem neusten Stand zu halten, um das Risiko eines Angriffs zu minimieren.

Ist Ihre IT-Abteilung jedoch gar nicht in der Lage eine solche Auflistung zu erstellen und somit auch keinen Überblick über Update- und Patchstände zu erhalten, dann erfüllen Sie die Mindestanforderung einer geeigneten Cybersicherheitsstrategie nicht. Versetzen Sie die IT-Abteilung in die Lage eine Liste der Systeme und Applikationen zu generieren und aktualisieren Sie diese regelmäßig.

Antwort:

Im Idealfall sollten Sie für alle betriebsrelevanten Systeme ein Backup besitzen, welchen aufgrund von Berechtigungen oder physikalischer Trennung vom System unabhängig ist. Ist ein solches Backup-System nicht vorhanden muss davon ausgegangen werden, dass Systeme im Falle eines Defektes oder einer vorsätzlichen Manipulation vollständig verloren gehen. Daher muss unbedingt getestet werden, ob Backups erstellt wurden und ob diese auch zeitnah nach einem Defekt oder Angriff abgerufen werden können. Häufig entstehen vor allem auch Probleme bei Backups von Inhaltsdaten. Nicht selten kommt es vor, dass den Zuständigen bei der Wiederherstellung auffällt, dass der alte Softwarestand des Betriebssystems, auf welchem die Daten eingestellt werden sollen, nicht mehr verfügbar sind. Dies kann im Falle eines Angriffs auf Ihre Organisation zu erheblichen Verzögerungen bei der Wiederherstellung Ihrer Systeme führen, die durch ein ausgefeiltes Backup-Management vermieden werden können.

Ein oft vernachlässigtes Thema in IT-Abteilungen ist die Erstellung von Backupstrategien und deren Umsetzung. Im Falle eines Angriffs kann dies jedoch weitreichende finanzielle Folgen für Ihr Unternehmen haben und den Wiederaufbau Ihrer IT-Landschaft erschweren.

Antwort:

Jede Organisation benötigt ein gewisses Maß an Überwachung ihrer IT-Systeme. Es ist notwendig Ihre Endgeräte und Server auf das Vorhandensein von Viren, Malware oder anderer Schadsoftware zu prüfen und diese auch vor dem Eindringen solcher Schadsoftware zu schützen. Im Bereich der Antivirensysteme haben sich in den letzten Jahren unterschiedliche Ansätze herausgebildet. Wichtig zu unterscheiden sind dabei sogenannte Legacy-Anti-Viren-Programme und neuere verhaltensanalysierende Lösungen. Während es in der Vergangenheit oft ausreichend war, in der Umgebung nach schadhaften Dateien zu suchen, ist dies heute nicht mehr hinlänglich, da die heutigen Angriffsmethoden weit darüber hinaus gehen. Um in der Lage zu sein, Angreifer aktiv zu erkennen, bedarf es einer Analyse der Prozesse und Verhaltensweisen auf dem zu untersuchenden Gerät. Oft verwenden Angreifer nur „legale“ administrative Programme, um sich auf Ihren IT-Strukturen zu bewegen, was die Unterscheidung zwischen einer normalen Verwendung der Systeme und einem Angriff schwierig macht. Aus diesem Grund ist es notwendig, ein modernes EDR-System zur Schadsoftware-Erkennung zu betreiben, welches eine zuverlässige Unterscheidung treffen kann. Wichtig ist zudem, dass diese Systeme flächendeckend eingesetzt werden. Kann Ihr Unternehmen nur eine Abdeckung von unter 80% der vorhandenen Endgeräte aufweisen, so ist dies in der Regel ein starker Indikator für eine mangelnde Absicherung und Sie sollten die Abdeckung erhöhen. Für den Fall, dass Systeme mit Ihrer Sicherheitslösung nicht kompatibel sind, müssen diese Systeme durch andere ausgleichende Maßnahmen abgesichert werden, um einen größtmöglichen Schutz zu gewährleisten.

Antwort:

Im Bereich der Cybersicherheit sind Multi-Faktor-Authentifizierungen heutzutage state of the art. Diese Systeme sollen gewährleisten, dass die Person, die vorgibt sich in einem System anzumelden, auch tatsächlich die anmeldende Person ist. Sichergestellt wird dies dadurch, dass technische Systeme wie z. B. Token oder Codes auf personenbezogenen Endgeräten angezeigt werden und bei der Anmeldung verwendet werden müssen. Den Grad der Häufigkeit einer solchen Identitätsüberprüfung kann man dabei individuell regeln, im Idealfall sollte jedoch die Häufigkeit mit einer erhöhten Stufe an Berechtigung steigen, um besonders sensible Daten bestmöglich vor einem illegalen Zugriff zu schützen. Zusätzlich dazu sollten im Hintergrund Konzepte angewendet werden, welche die Entstehung sogenannter Super-User vermeiden, also Konten, die aufgrund Ihrer besonders weitreichenden Zugriffsrechte ein ideales Ziel für Angreifer darstellen. Ist ein Großteil Ihrer Systeme nicht an eine Multi-Faktor-Authentifizierung geknüpft, so besteht ein erhöhtes Risiko für die Kompromittierung dieser Systeme durch einen Angriff. Hinterfragen Sie daher, ob die Abdeckung Ihrer Systeme mit Multi-Faktor-Authentifizierungen als ausreichend zu erachten ist und in welchen Bereichen die Etablierung von MFA-Systemen vorgenommen werden sollte, um das Schutzniveau Ihrer Organisation zu erhöhen.

Antwort:

Im Falle eines Sicherheitsvorfalls sind detaillierte und strukturierte IT-Notfallpläne essenziell, um einen schnellen Wiederaufbau zu garantieren und zu gewährleisten, dass eine Organisation auch in Notfallsituationen handlungsfähig bleibt. Die Auskunft über die Ablaufplanung im Falle eines IT-Vorfalls soll sicherstellen, dass Sie als Management der Organisation in solchen Situationen weiterhin risikobasiert und unternehmerisch entscheiden können. Es ist notwendig, dass Ihnen Vorfälle größeren Ausmaßes unmittelbar zur Kenntnis gebracht werden, gleichzeitig, aber auch kleine IT-Vorfälle auf der Ebene der IT gelöst werden. Es muss daher im Vorhinein geklärt werden, wer und vor allem wie im Falle eines Vorfalls vorgegangen werden muss. Umso wichtiger ist dies, wenn Sie z.B. durch die hier genannten Indikatoren festgestellt haben, dass ihre Organisation nicht über die erforderlichen Übersichten verfügt. Betrachten Sie daher das genaue Vorgehen in einem IT-Notfall und werfen Sie ein besonderes Augenmerk auf die Zuständigkeiten.

Die oben aufgeführten Indikatoren geben Ihnen einen Anhaltspunkt wie gut die IT-Sicherheit Ihres Unternehmens ausgearbeitet ist. Zu beachten ist dabei, dass diese Indikatoren keine vollständige Analyse durch Experten ersetzen kann, sondern Ihnen lediglich einen schnellen Überblick über die IT-Sicherheit Ihres Unternehmens verschaffen soll. Falls Sie durch die aufgeführten Indikatoren schwere Missstände in der IT-Umgebung Ihres Unternehmens aufgedeckt haben, sollten Sie dringend einen Experten zu Rate ziehen, der Ihre gesamte IT-Umgebung analysiert und vorhandene Schwachstellen behebt. Nur so kann gewährleistet werden, dass Ihr Unternehmen in Zukunft gegen Angriffe geschützt ist und Sie möglichen Haftungsrisiken gekonnt ausweichen können.

Falls Sie Lücken in Ihrer IT-Sicherheit entdeckt haben sollten, zögern Sie nicht uns zu kontaktieren. Unsere Experten im Bereich der IT-Sicherheit stehen Ihnen gerne jederzeit zur Seite und beraten Sie zur Verbesserung Ihrer IT-Sicherheit.

Digital Operational Resilience Act (DORA) – Banken, Versicherungen und deren Dienstleister sind betroffen

Executive Summary 

  • Die Europäische Union hat am 17.01.2023 die DORA-Verordnung für Finanzunternehmen und Drittanbieter von Informations- und Kommunikationstechnik („IKT“) erlassen. 
  • Ziel der Verordnung ist es, Geschäftsunterbrechungen und wirtschaftliche Verluste durch Cyberbedrohungen und IT-Zwischenfälle vorzubeugen. 
  • Die neue Verordnung statuiert Compliancevorgaben in fünf zentralen Bereichen: Risikomanagement; Behandlung, Klassifizierung und Berichterstattung IKT-bezogener Vorfälle; Tests der digitalen operationellen Resilienz; Management des IKT-Drittparteienrisikos; Austausch von Informationen und Kenntnissen. 
  • Die DORA-Anforderungen müssen von den betroffenen Unternehmen bis zum 17.01.2025 umgesetzt werden.  

Einleitung: 

Die Digitalisierung des europäischen Finanzsektors bietet Anbietern von Bank- und Finanzdienstleistungen zahlreiche neue Möglichkeiten. Gleichzeitig steigt jedoch, angesichts der wachsenden Gefahr durch Cyberangriffe, auch die Anzahl der Risiken. Um Geschäftsunterbrechungen und wirtschaftliche Verluste durch Cyberbedrohungen und IT-Zwischenfälle vorzubeugen, hat die Europäische Union am 17.01.2023 mit dem Digital Operational Resilience Act („DORA“) einen unionsweiten Rechtsrahmen erlassen, welcher die digitale Widerstandsfähigkeit und Cybersicherheit im Finanzdienstleistungssektor stärken soll.  

Was ist DORA? 

Bei DORA handelt es sich um eine von der Europäischen Union erlassene Verordnung, welche Teil eines größeren Gesetzespaketes zur Digitalisierung des Finanzsektors ist (Digital Finance Package). Ziel von DORA ist es, die Stabilität des Finanzmarktes auch im Falle von schwerwiegenden Störungen zu gewährleisten und alle Marktteilnehmer zu schützen, indem sichergestellt wird, dass Finanzunternehmen alle notwendigen Maßnahmen zur Absicherung gegen Cyberrisiken und -angriffe treffen. Zudem vereinheitlicht DORA bestehende europäische und nationale Standards und Vorgaben, um den Binnenmarkt störende doppelte Anforderungen und uneinheitliche Regelungen für europaweit tätige Finanzunternehmen in Zukunft zu vermeiden.  Der Anknüpfungspunkt der neuen Verordnung ist dabei die Verwendung von Informations- und Kommunikationstechnologie (“IKT”). Darunter versteht die Europäische Kommission “alle technischen Medien, die für die Handhabung von Informationen und zur Unterstützung der Kommunikation eingesetzt werden”, Beispiele dafür sind vor allem Computer- und Netzwerkhardware und die dazugehörige Software. An die betroffenen Unternehmen stellt DORA neue Compliance-Anforderungen, welche die Verarbeitung und Speicherung von Informationen betreffen. 

Welche Unternehmen sind von DORA betroffen?  

Die DORA-Verordnung ist auf Finanzunternehmen und Drittanbieter von Informations- und Kommunikationstechnik („IKT“) anzuwenden, welche innerhalb der Europäischen Union tätig sind. Neben Kreditinstituten, Versicherungsunternehmen und Zahlungsinstituten, die bisher in Deutschland bereits durch BAIT, VAIT und ZAIT im Bereich IT und Informationssicherheit reguliert waren, wird die Anzahl der Organisationen massiv ausgeweitet. Nunmehr werden folgende Organisationen vom Anwendungsbereich der DORA erfasst:  

  • Kreditinstitute    
  • Zahlungsinstitute   
  • Kontoinformationsdienstleister  
  • E-Geld-Institute  
  • Wertpapierfirmen 
  • Zentralverwahrer  
  • Zentrale Gegenparteien  
  • Handelsplätze  
  • Transaktionsregister 
  • Verwalter alternativer Investmentfonds  
  • Verwaltungsgesellschaften  
  • Datenbereitstellungsdienste  
  • Versicherungs- und Rückversicherungsunternehmen  
  • Einrichtungen der betrieblichen Altersvorsorge  
  • Ratingagenturen  
  • Administratoren kritischer Referenzwerte  
  • Schwarmfinanzierungsdienstleister  
  • Verbriefungsregister 
  • Versicherungsvermittler, Rückversicherungsvermittler und Versicherungsvermittler in Nebentätigkeit 
  • IKT-Drittdienstleister 
  • Anbieter von Krypto-Vermögenswerten, die gemäß einer Verordnung des Europäischen Parlaments und des Rates über Märkte für Krypto-Vermögenswerte zugelassen sind, und Emittenten wertreferenzierter Token 

Was regelt die DORA-Verordnung? 

Die Compliancevorgaben, die DORA statuiert, lassen sich in fünf verschiedene Kategorien einteilen, welche im Folgenden näher beleuchtet werden: 

  1. Risikomanagement 

Im Bereich des Risikomanagements statuiert die neue Verordnung, dass Finanzunternehmen belastbare IKT-Systeme einrichten und pflegen müssen. Dabei ist besonders darauf zu achten, dass bestehende IKT-Risiken minimiert werden, die Risikoquellen identifiziert werden und Schutz- und Präventionsmaßnahmen vorhanden sind. Zudem muss ein System zur Erkennung anomaler Aktivitäten etabliert werden. Finanzunternehmen müssen weiterhin umfassende Business-Continuity-Richtlinien/Notfall- und Wiederherstellungspläne einführen. Außerdem sollten betroffene Unternehmen die Aufgaben und Verantwortlichkeiten für alle IKT-bezogenen Funktionen festlegen, interne IKT-Revisionspläne erstellen sowie Leitlinien zu Vereinbarungen über die Nutzung von IKT-Dienstleistungen anfertigen. Die IKT-Risikomanagementmaßnahmen müssen in die Geschäftsstrategie implementiert werden. Die Verantwortung für die Umsetzung trägt dabei der Vorstand oder der Geschäftsführer als Leitungsorgan des Finanzunternehmens.  

  1. Behandlung, Klassifizierung und Berichterstattung IKT-bezogener Vorfälle 

DORA enthält zudem eine Verpflichtung zur Meldung von IKT-bezogenen Vorfällen. In Zukunft sind Finanzunternehmen verpflichtet einen Managementprozess zur Überwachung und Protokollierung von IKT-Vorfällen zu implementieren. Etwaige Vorfälle sind dann nach Kriterien, die in der Verordnung dargelegt sind, zu klassifizieren. Dazu gehören beispielsweise Dauer, geographische Ausbreitung und wirtschaftliche Auswirkungen des Vorfalls. Bei schwerwiegenden IKT-Vorfällen muss das betroffene Unternehmen mehrere Meldungen an die europäischen Behörden vornehmen: 

  • Eine Erstmeldung  
  • Eine Zwischenmeldung, wenn eine Statusänderung des ursprünglichen Vorfalls gegeben ist  
  • Eine Abschlussmeldung, nach Beendigung der Ursachenanalyse. 
  1. Tests der digitalen operationalen Resilienz 

Eine weitere Anforderung der DORA-Verordnung sind Tests der digitalen operationalen Resilienz eines Unternehmens. Die Risikomanagementmaßnahmen müssen dabei mindestens einmal pro Jahr durch interne oder externe Prüfer auf seine Schwachstellen kontrolliert werden. Dies erfolgt durch den Einsatz bekannter Verfahren wie z.B. Leistungstests, End-to-End-Tests oder Penetrationstests. Bei der Auswahl der Testverfahren ist die Größe und die individuelle Risikolage des Unternehmens zu berücksichtigen. 

  1. Management des IKT-Drittparteienrisikos 

DORA legt im Rahmen des Risikomanagements von Finanzunternehmen auch einen großen Fokus auf die Risiken durch Drittanbieter. Oft lagern Unternehmen ihre IT an große Technologieanbieter aus. Dadurch entstehen potenzielle Risiken, welche im Rahmen des Risikomanagements berücksichtigt werden müssen. Diese Risiken müssen Finanzunternehmen zukünftig bewerten und in ihrem Risikomanagementrahmen berücksichtigen. Dazu gibt DORA wesentliche Mindestbestandteile von Auslagerungsverträgen vor, wie z.B. Kündigungsrechte und umfassende Überwachungsrechte des Finanzunternehmens.  

Zudem erschafft DORA einen europäischen Aufsichtsrahmen für kritische IKT-Drittanbieter. Danach dürfen die Aufsichtsbehörden bei kritischen IKT-Drittanbietern Unterlagen anfordern, Vor-Ort Prüfungen durchführen und Zwangsgelder verhängen.  

  1. Austausch von Informationen und Kenntnissen 

Ein weiterer zentraler Bestandteil ist der Informationsaustausch zwischen Finanzunternehmen. Nach der DORA-Verordnung dürfen Finanzdienstleister zukünftig relevante Informationen bezüglich Cyberbedrohungen austauschen. Dies gilt insbesondere für Erkenntnisse über Techniken und Verfahren, sowie aktuelle Beeinträchtigungen. Der Austausch ist dabei nur zulässig, wenn er auf die Stärkung der digitalen operationalen Resilienz der Unternehmen abzielt, innerhalb einer vertrauenswürdigen Gemeinschaft stattfindet und durch Vereinbarungen umgesetzt wird, die den sensiblen Charakter der Informationen schützen. 

Was ist jetzt zu tun? 

Mit der Veröffentlichung im Amtsblatt der Europäischen Union am 27.12.2022 wurde das formelle Gesetzgebungsverfahren zur DORA-Verordnung abgeschlossen. Am 17.01. 2023 trat die Verordnung in Kraft, allerdings ist für die Anwendung der neuen Regelungen eine Übergangsfrist von 2 Jahren vorgesehen. Somit müssen die betroffenen Unternehmen die Anforderungen ab dem 17.01.2025 erfüllen. Dies heißt jedoch keineswegs, dass Unternehmen sich mit der Implementierung noch Zeit lassen können, denn das Treffen geeigneter Maßnahmen kann ein langwieriger und aufwendiger Prozess sein. Gerade in großen Unternehmen wird es einige Zeit brauchen, um eine derartige Compliancestruktur aufzubauen, die den DORA-Anforderungen genügt. Zudem wird sich die Umsetzung der vorgeschriebenen Maßnahmen von Organisation zu Organisation unterscheiden. 

Gerade deshalb ist es wichtig sich frühzeitig mit den Anforderungen von DORA auseinanderzusetzen und diese zeitnah zu implementieren. 

Damit Ihnen die Vorbereitung gelingt haben wir im Folgenden die wichtigsten Schritte einer guten Vorbereitung zusammengefasst: 

  1. Betroffenheit klären 

Zunächst sollten Sie klären, ob Ihr Unternehmen in den Anwendungsbereich der DORA-Verordnung fällt.  

  1. Risikobewertung  

Bewerten Sie im nächsten Schritt Ihr derzeitiges IKT-Risiko, sowie aktuelle Meldeverfahren und Ihre Fähigkeit zur Bedrohungserkennung. Dies kann mittels einer Resilienz-Prüfung wichtiger Funktionen und Systeme geschehen. Auch eine Überprüfung Ihres derzeitigen Security-Awareness-Programms ist an dieser Stelle von Vorteil. 

  1. Kritische IKT-Drittdienstleister bestimmen 

Zusätzlich zu der Bestimmung Ihrer eigenen Risiken muss eine Identifikation der kritischen IKT-Drittdienstleister vorgenommen werden. Dabei ist ein besonderer Fokus auf deren Schwachstellen und den daraus resultierenden Risiken für Ihr Unternehmen zu legen. Vor diesem Hintergrund sind besonders die vertraglichen Anforderungen an Vereinbarungen mit IKT-Drittleistern zu beachten. Überprüfen Sie an dieser Stelle bestehende Verträge und achten Sie bei der Aufsetzung von neuen Verträgen darauf, dass die gesetzlichen Mindestelemente enthalten sind. 

  1. Budgets zuweisen 

Nach der Bewertung der einschlägigen Risiken lässt sich bestimmen, wie hoch der Arbeitsaufwand und somit auch das Budget für die Umsetzung der Maßnahmen sein sollte. Beachten Sie dabei sowohl die Kosten für die Umsetzung von DORA-Anforderungen als auch Kosten für die Implementierung eines effektiven Security-Awareness-Programms bzw. -trainings 

  1. Maßnahmenauswahl 

Nun gilt es zusammen mit den Entscheidungsträgern geeignete Maßnahmen auszuwählen, welche zu dem Risikoprofil Ihres Unternehmens passen. Bei der Auswahl der Maßnahmen sollte ein besonderer Fokus auf die IKT-Drittdienstleister gelegt werden. Einigen Sie sich mit Ihren Partnern gemeinsam auf Maßnahmen und wechseln Sie notfalls Ihren Dienstleister. 

  1. Umsetzung der Maßnahmen & Gap-Analyse  

Konnten Sie sich mit Ihren Partnern auf ein geeignetes Maßnahmenportfolio einigen, so müssen die Maßnahmen im nächsten Schritt umgesetzt werden. Ist dies geschehen, so sollten Sie erneut eine Gap-Analyse durchführen, um sicherzustellen, dass die gesetzlichen Anforderungen eingehalten werden. 

Prüfungskompetenz nationaler Wettbewerbsbehörden bei DSGVO-Verstößen



Nach der Rechtsprechung des EuGH dürfen nationale Wettbewerbsbehörden im Rahmen Ihrer wettbewerbsrechtlichen Prüfung auch auf Verstöße gegen die DSGVO prüfen. 

Stellungnahme des Gerichts
Dazu führt der EuGH in einer Pressemitteilung zum Urteil in der Sache C-252/21 Tage aus:
„In seinem heute verkündeten Urteil führt der Gerichtshof aus, dass es sich für die Wettbewerbsbehörde des betreffenden Mitgliedstaats im Rahmen der Prüfung, ob ein Unternehmen eine beherrschende Stellung missbraucht, als notwendig erweisen kann, auch zu prüfen, ob das Verhalten dieses Unternehmens mit anderen als den wettbewerbsrechtlichen Vorschriften, etwa mit den Vorschriften der DSGVO, vereinbar ist.“ 

Ergänzend führt der EuGH zum Prüfungsrahmen aus:  
“Die Prüfung, ob die DSGVO eingehalten wird, erfolgt … ausschließlich, um den Missbrauch einer beherrschenden Stellung festzustellen und gemäß den wettbewerbsrechtlichen Vorschriften Maßnahmen zur Abstellung dieses Missbrauchs aufzuerlegen.” 

Damit erweitert der EuGH die Prüfungskompetenz der nationalen Wettbewerbsbehörden. Allerdings stellt diese Entscheidung für viele Unternehmen auf der zweiten Ebene eine positive Entscheidung dar, denn der EuGH erteilt damit der teilweise vertretenen Rechtsansicht, dass die DSGVO eine Wettbewerbsnorm ist, eine Absage.  

Klare Aufgabenzuordnung für Behörden
Weiterhin hat der EuGH in der Entscheidung die Kompetenz der nationalen Wettbewerbsbehörden klar umrissen, und insoweit die Prüfungshoheit der Datenschutzaufsichtsbehörden gestärkt.  
„Wenn die nationale Wettbewerbsbehörde einen Verstoß gegen die DSGVO feststellt, tritt sie allerdings nicht an die Stelle der durch diese Verordnung eingerichteten Aufsichtsbehörden.“ 

Hinsichtlich der Fragestellung, wie verhindert werden kann, dass die Kartellbehörden den Sachverhalt anders einschätzen als die Aufsichtsbehörden und es damit zu gegensätzlichen Entscheidungen kommt, hat der EuGH auch eine Feststellung pro Unternehmen getroffen:   


„Um eine kohärente Anwendung der DSGVO zu gewährleisten, sind die nationalen Wettbewerbsbehörden verpflichtet, sich abzustimmen und loyal mit den Behörden, die die Einhaltung dieser Verordnung überwachen, zusammenzuarbeiten.“ 

Fazit
Insgesamt lässt sich festhalten, dass die Entscheidung des EuGH zwar einerseits den Wettbewerbsbehörden ein Prüfungsrecht hinsichtlich potentieller DSGVO-Verstößen einräumt, andererseits die im Urteil genannten Einschränkungen für Unternehmen zur Rechtssicherheit beiträgt. 

Regulierung künstlicher Intelligenz („KI“) – Aktueller Stand der KI-Verordnung und Handlungsempfehlungen für Unternehmen  

Es gibt kaum ein Unternehmen oder eine Institution, die KI nicht anwendet, wenn man bedenkt, dass Spam-Filter, Virenschutz und automatisierten Sprachübersetzungen auf KI-Technologien basieren. Während KI-Anwendungen unternehmensinterne Prozesse verschlanken und damit Kosten gespart werden können, gehen auch Gefahren damit einher, welche der europäische Gesetzgeber einheitlich adressieren will. Der vorliegende Blog-Beitrag gibt einen Überblick über den Regelungsgehalt der KI-Verordnung und formuliert konkrete Handlungsempfehlungen, damit Unternehmen die kommenden KI-Regularien reibungslos umsetzen können. 

 
Was wird Regelungsinhalt der KI-Verordnung? 
 
Einer der wichtigsten Aspekte der andauernden Diskussionen war in Anbetracht der strengen Regulierung die Festlegung einer gemeinsamen Definition des Begriffs „künstliche Intelligenz“. Diese ist aktuell recht weitgehend: 

KI-System ist eine Software, die mit einer oder mehreren der in Anhang I aufgeführten Techniken und Konzepte entwickelt worden ist und im Hinblick auf eine Reihe von Zielen, die vom Menschen festgelegt werden, Ergebnisse wie Inhalte, Vorhersagen, Empfehlungen oder Entscheidungen hervorbringen kann, die das Umfeld beeinflussen, mit dem sie interagieren (vgl. Art. 3 Nr. 1 KI-Verordnung). 

Kurzum, nach der aktuellen Definition ist ein „System mit künstlicher Intelligenz“ ein maschinelles System, das mit unterschiedlichem Grad an Autonomie arbeitet und Ergebnisse wie Vorhersagen, Empfehlungen oder Entscheidungen hervorbringt, die die physische oder virtuelle Umgebung beeinflussen können. 

Wie auch die 2018 in Kraft getretene Datenschutzgrundverordnung („DSGVO“) wird sich die KI-Verordnung am sog. risikobasierten Ansatz orientieren, der sich aus den nachfolgend aufgelisteten OECD-Grundsätzen ableiten lässt:  

  • Inklusives Wachstum, nachhaltige Entwicklung und Lebensqualität 
  • Menschenzentrierte Werte und Fairness 
  • Transparenz und Erklärbarkeit
  • Robustheit und Sicherheit
  • Rechenschaftspflicht

Demnach gilt es die einzelnen KI-Anwendungen nach potentiellem Risiko zu klassifizieren, um sodann die je nach Risikoklasse geltenden Vorgaben zu erfüllen. Dabei unterscheidet die KI-Verordnung nach vier verschiedenen Kategorien: 

1. Verbotene KI-Systemen 

Hierbei handelt es sich um KI-Systeme mit inakzeptablem Risiko, d.h. solche, die als Bedrohung für Menschen gelten. 
Sie umfassen: 

  • Kognitive Verhaltensmanipulation von Menschen oder bestimmten gefährdeten Gruppen:  
    zum Beispiel sprachgesteuertes Spielzeug, das gefährliches Verhalten bei Kindern fördert 
  • Soziales Scoring: Klassifizierung von Menschen aufgrund von Verhalten, sozioökonomischem Status oder 
    persönlichen Merkmalen 
  • Biometrische Identifikationssysteme in Echtzeit und aus der Ferne, z. B. Gesichtserkennung 

2. KI-Systeme mit hohem Risiko 

Dies sind KI-Systeme, die sich negativ auf die Sicherheit oder die Grundrechte auswirken. Sie werden grundsätzlich in zwei Kategorien eingestuft:  

a) KI-Systeme, die in Produkten verwendet werden, die unter die Produktsicherheitsvorschriften der EU fallen, z.B. 

  • Medizinische Geräte 
  • Luftfahrtrelevante Systeme 
  • Spielzeuge 


b) KI-Systeme, die in acht spezifische Bereiche fallen, die in einer EU-Datenbank registriert werden müssen: 

  • Biometrische Identifizierung und Kategorisierung von natürlichen Personen 
  • Verwaltung und Betrieb von kritischen Infrastrukturen 
  • Allgemeine und berufliche Bildung 
  • Beschäftigung, Arbeitnehmermanagement und Zugang zur Selbstständigkeit 
  • Zugang zu und Inanspruchnahme von wesentlichen privaten und öffentlichen Diensten und Leistungen 
  • Rechtsdurchsetzung 
  • Verwaltung von Migration, Asyl und Grenzkontrollen 
  • Unterstützung bei der Rechtsauslegung und Rechtsanwendung. 

3. KI-Systeme mit geringem Risiko  

Solche Systeme sollen nur minimalen Transparenzanforderungen unterfallen. Dadurch soll der Nutzer in die Lage versetzt werden, eine fundierte Entscheidung über die Verarbeitung zu treffen, ob er die Interaktion mit dem KI-System wünscht. Dazu gehören beispielsweise KI-Systeme, die Bild-, Audio- oder Videoinhalte erzeugen oder manipulieren, beispielsweise Deepfakes. 

 
Verpflichtungen für KI-Systeme für allgemeine Verwendung 

Eine wichtige Verpflichtung trifft Anbieter von sog. Basismodellen. Das sind Systeme, die in der Lage sind, die Fähigkeiten und Kenntnisse, die sie während eines Trainingsprozesses erlernt haben, auf einen anderen Bereich zu übertragen. Bevor diese Anbieter ihre KI auf den EU-Markt bringen, müssen die damit verbundenen Risiken für die Gesundheit, Umwelt, Individualrechte von Menschen identifizieren und mitigieren.  

Die mittlerweile weltweit bekannten generativen KI-Systeme, die auf solchen Basismodellen aufbauen, z.B. ChatGPT, sind daher verpflichtet, für Transparenz und Rechtmäßigkeit zu sorgen. Beispielsweise müssen KI-generierte Inhalte als solche gekennzeichnet werden. Daneben ist anzugeben, welche urheberrechtlich geschützten Werke zu Trainingszwecken genutzt wurden. 

 
Wann wird die KI-Verordnung in Kraft treten? 

Im Juni 2023 hat das EU-Parlament über den Entwurf der KI-Verordnung abgestimmt und diesen mit Mehrheit angenommen. Nunmehr wird die Verordnung im Rahmen sog. Trilog-Verhandlungen zwischen der Kommission, dem Rat und dem EU-Parlament verhandelt. Nachdem sich diese drei Parteien auf eine finale Fassung geeinigt haben, erhalten Anbieter von KI zwei Jahre Zeit, die Vorgaben der finalen KI-Verordnung umzusetzen. 

Jetzt steht schon fest, dass Anbieter von KI prüfen sollten, wie sie die Vorgaben der KI-Verordnung erfüllen können, damit sie von Anfang an ein rechtssicheres Produkt entwickeln. 

Handlungsempfehlungen: 

  1. Prüfen Sie, wo in Ihrer Organisation KI eingesetzt wird, und erstellen Sie eine Übersicht mit den KI-Anwendungen und ihrem Einsatzgebiet bzw. ergänzen Sie eine vorhandene Softwareübersicht um dieses Merkmal. 
  1. Halten Sie fest, ob es eine Dokumentation zu dieser KI gibt. Zum Beispiel könnte bereits eine Datenschutzfolgeabschätzung existieren, welche sich mit der Verarbeitung personenbezogener Daten befasst und auf KI eingeht. In vielen Fällen kann man hieraus bereits wertvolle Informationen für die Dokumentation nach der KI-Verordnung gewinnen. 
  1. Ordnen Sie die eingesetzten KI-Anwendungen nach dem risikobasierten Ansatz des gegenwärtigen Entwurfs einer Risikostufe zu. 
  1. Sofern eine mit hohen Risiken verbundene oder sogar verbotene KI vorliegen würde, sollten Sie mit Personen aus der IT-Abteilung, Rechtsabteilung sowie weiteren zuständigen Personen besprechen, inwieweit die KI-Anwendung angepasst werden kann oder welche weiteren risikominimierende Maßnahmen ergriffen werden können. 
  1. Prüfen Sie, ob die bisher eingesetzten KI-Anwendungen im Haftungsfall von ihrem Versicherungsschutz abgedeckt sind. Vor allem im Hinblick auf die in dem Entwurf zur KI-Haftungsrichtlinie angedachte Vermutung zur haftungsbegründenden Kausalität, welche Geschädigten die Durchsetzung von Schadensersatzansprüchen erleichtern soll, könnte sich das Haftungsrisiko für Unternehmen erheblich erhöhen. Eine entsprechende Versicherung, welche die finanziellen Unabwägbarkeiten abdeckt, welche mit KI-Anwendungen einhergehen, sollte im unternehmerischen Interesse abgeschlossen werden. 

Balance: Operative IT <-> IT-Sicherheit <-> Datenschutz

Balance: Operative IT <-> IT-Sicherheit <-> Datenschutz

Gewichtsverteilung – Grundbegriffe

Krisen wie Covid-19 zwingen Unternehmen zum Umdenken in ihren Prozessen und der Anpassung ihrer IT-Struktur auf diese Prozesse. Unternehmen müssen dabei ausgeglichene Balance zwischen den verschiedenen Sachgebieten innerhalb ihrer Unternehmen wahren. Bei den hier diskutierten Fachbereichen handelt es sich um die technische Unterstützung der Ausführung der unternehmerischen Tätigkeit (Operative Tätigkeit – IT), dem Schutz der personenbezogen Daten von  Kunden und Mitarbeiter (Datenschutz) und gleichzeitig der Sicherstellung eines individuell angemessenen Schutzes der dafür notwendigen IT-Infrastruktur (IT-Sicherheit) finden.

Angewandte Unternehmenspraxis besteht oft darin, das operative Geschäft durch den Einsatz „operativer“ IT aufrecht zu erhalten. Die Umsetzung von Datenschutz wird dabei heute als gesetzlich notwendig angesehen und, obwohl als störend empfunden, zumeist durch entsprechende personelle Ausstattung umgesetzt. Der stetige Verlierer in diesem Ablauf ist der Bereich der klassischen IT-Sicherheit.

Oft sind Strukturen so aufgebaut, dass der Bereich „IT“ sich um alle drei Gebiete in gemeinsamer Verantwortung kümmert. Historisch wurden gesetzliche Anforderungen, wie z.B. Datenschutz, von Unternehmensführungen oft zu den „Spezialisten der IT“ geschoben.

Eine solche Vermengung der verschiedenen Bereiche stellt sich aus heutiger Sicht als unklug heraus. Um dies nachvollziehen zu können, muss man sich die Zielsetzungen der verschiedenen Bereiche anschauen.

IT-Operations -> Durchführung des Geschäftsbetriebes

IT-Sicherheit   -> Sicherheit der IT-Infrastruktur

Datenschutz    -> Schutz von personenbezogenen Informationen

Grundstein ist immer die allgemeine Verwendung von IT basierten Systemen zur Durchführung des Unternehmenszwecks. Dabei steht im Fokus das Erreichen von Unternehmenszielen. Hier werden Lösungen gesucht und umgesetzt, welche die Arbeit des Unternehmens ermöglichen und ggf. effizienter gestalten. In einer hypothetischen optimalen Umgebung sind die operativen Einheiten der IT-Struktur frei in ihrer Entwicklung und können Unternehmensabläufe nach den aktuellen technischen Möglichkeiten unterstützen. Dies sollte der Fokus einer aktiven innovativen IT-Abteilung sein.

Dagegen stehen in gewisser Weise IT-Sicherheit und Datenschutz, für eine vereinfachte Betrachtung lasse ich finanzielle Aspekte an dieser Stelle außen vor.

Die IT-Sicherheit hat in der Hauptaufgabe sicher zu stellen, dass die im operativen Geschäft betrieben Systeme nicht durch fremde Einflüsse gestoppt oder manipuliert werden. Dabei gilt es, den branchenüblichen aktuellen Stand der Technik zu kennen und entsprechend umzusetzen. Gesetzliche Anforderungen spielen hier oft erstmal nur eine nachgeordnete Rolle. Zwar gibt es heute vermehrt gesetzliche Normen, diese beschränken sich zumeist jedoch auf bestimmte Branchen (z.B. kritische Infrastruktur, Gesundheitswesen etc.). Hinzu kommen Regularien im Bereich des Schutzes von Geschäftsgeheimnissen, diese lassen jedoch einen unternehmerischen Spielraum zu und sind wohl eher unter den Unternehmen selbst relevant.

Datenschutz hingegen basiert heute fast ausschließlich aus eng definierten gesetzlichen Anforderungen, welche sanktionsbehaftet zwingend einzuhalten sind. Die Sensibilität zum Umgang mit personenbezogenen Daten führt dabei dazu, dass die Einhaltung nicht nur durch staatliche Kontrollen, sondern gerade durch die betroffenen Personen selbst eingefordert wird. Oft sind Verstöße hiergegen durch öffentliche Behörden „einfach“ nachzuvollziehen, und Sanktionen können unmittelbar und mit erheblichen finanziellen Konsequenzen folgen.

Der Balance-Akt 

Unternehmensführungen haben die Aufgabe, unter anderen Faktoren risikobasiert zu entscheiden, wie sie mit der Gewichtung der hier schemenhaft dargestellten Arbeitsfelder umgehen. Oft führt dies zur folgenden Argumentation und Ergebnis:

Die operative IT wird mit der notwendigen Mindeststärke ausgestattet, um die benötigten IT-Verfahren zum Support im Betrieb zu halten. Daneben wird die operative IT mit der Aufgabe betraut, neue Verfahren auf deren Machbarkeit zu prüfen und ggf. zu implementieren. Aufgrund der jetzt durch die DSGVO gestiegenen Risikobewertung im Bereich Datenschutz wurden in den meisten Fällen Regelungen umgesetzt, welche sicherstellen, dass alle neuen Verfahren ordnungsgemäß dokumentiert werden, und Betroffenen schnell Auskunft gewährt werden kann. Oft wird die IT-Sicherheit aufgrund von geringerer rechtlicher Relevanz, und vollständiger Ignoranz des operativen Risikos, in Personaleinheit mit der operativen IT ausgeführt. – Das Bild ist natürlich etwas überspitzt und verkürzt dargestellt.

Die Probleme hier stellen sich recht offensichtlich dar: Ein Bereich IT, der dafür verantwortlich ist, dass „der Laden läuft“, ist nicht dazu geeignet, Analysen hinsichtlich der Sicherheit der einzelnen Anwendungen und Verfahren durchzusetzen. Die Zielsetzungen dieser Bereiche widersprechen sich elementar. Aaußerdem ist der Aufbau nicht nur sicherheitstechnisch bedenklich, er führt auch dazu, dass Innovationen verlangsamt werden. Bei der Einführung neuer Projekte ist zu oft der Gedanke „das können wir nicht weil, …“. So werden IT-Abteilungen oft „Verhinderer“ anstatt „Erfinder“. Die meisten technischen Lösungen lassen sich heute mit dem richtigen Ansatz und Kompromiss durchführen. Hierzu ist jedoch ein „Ballspiel“ zwischen den Akteuren der IT, IT-Sicherheit und Datenschutz auf gleicher fachlicher Ebene notwendig. Durch eine Zusammenlegung der Bereiche, wird oft die jeweilige „Kernkompetenz“ des fachlich abschließend Verantwortlichen in den Vordergrund gestellt.

Fazit

Nach meiner Ansicht führt dies in den meisten Unternehmen zu einer deutlichen Verlangsamung von innovativen Lösungen. Es ist nicht Aufgabe der Fachbereiche, diese Entscheidungen und Abwägungen abschließend zu treffen und den Entscheidern vorwegzunehmen. Ein modernes digitales Unternehmen muss diese entscheidungserheblichen Kompetenzen auf höchster Ebene besitzen. Am ENDE steht eine unternehmerische Entscheidung, welche Gewichtung gewählt wird. Diese kann von Anwendung zu Anwendung sehr individuell sein. Sie muss jedoch immer bewusst und unter Kenntnis aller Umstände getroffen werden. Dies ist nur durch neutrale unabhängige Berichterstattung der unterschiedlichen Fachbereiche möglich.

Ziel bleibt die Erreichung des unternehmerischen Erfolges unter Einhaltung der rechtlichen Rahmenbedingung bei kalkulierten Risiken. – Es gilt, die Balance zu wahren.

NIS-2-Richtlinie der Europäischen Union

Das müssen Unternehmen beachten, um Cybersicherheit zu gewährleisten

In der heutigen digitalen Ära sind Unternehmen mehr denn je von den Vorteilen moderner Technologien abhängig. Doch mit dieser fortschreitenden Digitalisierung gehen auch erhöhte Risiken einher, insbesondere im Hinblick auf Cyberangriffe und Datenschutzverletzungen. Um die Sicherheit von Informationssystemen zu gewährleisten und den Schutz von Daten zu stärken, wurde die neue NIS-2-Richtlinie eingeführt.

Als Unternehmen sollten Sie die NIS-2-Richtlinie nicht unterschätzen, denn sie legt umfangreiche Pflichten fest, die Sie einhalten müssen, um den Schutz Ihrer IT-Infrastruktur und die Cybersicherheit zu gewährleisten. Damit Sie den Anforderungen dieser neuen Gesetzgebung gerecht werden, haben wir Ihnen im Folgenden die wichtigsten Punkte zusammengefasst.

Die NIS-2-Richtlinie gilt nun auch für kleinere Unternehmen als zuvor. Unternehmen mit mindestens 50 Mitarbeitern, einem Jahresumsatz von 10 Millionen Euro oder einer Jahresbilanzsumme von 10 Millionen Euro fallen unter diese Richtlinie. Bei Verstößen gegen die Richtlinie drohen ähnlich wie bei der Datenschutz-Grundverordnung (DSGVO) empfindliche Sanktionen. Die Mitgliedstaaten der Europäischen Union haben die Verpflichtung, die NIS-2-Richtlinie bis zum 17. Oktober 2024 in nationales Recht umzusetzen. Obwohl das nationale Umsetzungsgesetz noch nicht vorliegt, ist es ratsam, dass Unternehmen sich bereits jetzt mit den erweiterten Pflichten und den möglichen Sanktionen der neuen Richtlinie auseinandersetzen.

 1. Welche Unternehmen sind von der NIS-2-Richtlinie betroffen?

Die Richtlinie gilt grundsätzlich für Unternehmen, die entweder einem „Sektor mit hoher Kritikalität“ gemäß Anhang I der Richtlinie oder einem „sonstigen kritischen Sektor“ gemäß Anhang II angehören. Zusätzlich müssen diese Unternehmen als mittelgroß eingestuft werden, das bedeutet, sie beschäftigen mindestens 50 Personen oder erzielen einen Jahresumsatz von mindestens 10 Millionen Euro bzw. haben eine Jahresbilanzsumme von mindestens 10 Millionen Euro. Des Weiteren müssen sie ihre Dienste innerhalb der Europäischen Union erbringen.

Zu den „Sektoren mit hoher Kritikalität“ gehören beispielsweise Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheitswesen, Trinkwasser, Abwasser, digitale Infrastruktur, Verwaltung von IKT-Diensten (B2B), öffentliche Verwaltung und Weltraum. Zu den „sonstigen kritischen Sektoren“ zählen unter anderem Post- und Kurierdienste, Abfallbewirtschaftung, Produktion, Herstellung und Handel mit chemischen Stoffen, Produktion, Verarbeitung und Vertrieb von Lebensmitteln, verarbeitendes Gewerbe/Herstellung von Waren (Datenverarbeitungsgeräte, Maschinenbau, Herstellung von Kraftwagen, sonstiger Fahrzeugbau), Anbieter digitaler Dienste (Online-Marktplätze, Online-Suchmaschinen, Anbieter von Plattformen für Dienste sozialer Netzwerke) und Forschung.

2. Risikomanagementmaßnahmen

Die NIS-2-Richtlinie legt großen Wert auf eine effektive Risikomanagementkultur in Unternehmen. Wesentliche und wichtige Einrichtungen sind dazu verpflichtet, angemessene technische, operative und organisatorische Maßnahmen zu ergreifen, um die Sicherheit ihrer Netz- und Informationssysteme zu gewährleisten. Dazu gehören beispielsweise Risikoanalysen, Sicherheitskonzepte, Backup- und Krisenmanagement, Zugriffskontrollen sowie Verschlüsselungskonzepte. Es ist wichtig, dass diese Maßnahmen dem Stand der Technik entsprechen und den individuellen Risiken angemessen sind.

3. Gefahrenübergreifender Ansatz

Cyberbedrohungen können unterschiedliche Ursachen haben, daher sollten Ihre Risikomanagementmaßnahmen einen gefahrenübergreifenden Ansatz verfolgen. Dies bedeutet, dass Sie nicht nur vor Cyberangriffen, sondern auch vor physischen Gefahren wie Diebstahl, Brand oder unbefugtem Zugang zu Ihren Informationen und Datenverarbeitungsanlagen schützen müssen. Die Entscheidung über die getroffenen Risikomanagementmaßnahmen sollte auf der Risikoexposition Ihres Unternehmens basieren und in einem angemessenen Verhältnis zu den gesellschaftlichen und wirtschaftlichen Auswirkungen eines Sicherheitsvorfalls stehen.

4. Meldepflichten bei Sicherheitsvorfällen

Gemäß der NIS-2-Richtlinie sind wesentliche und wichtige Einrichtungen dazu verpflichtet, Sicherheitsvorfälle, die erhebliche Auswirkungen auf ihre Dienstleistungen haben, unverzüglich zu melden. Diese Meldungen erfolgen in einem mehrstufigen Prozess, der eine Frühwarnung, eine Meldung des Vorfalls selbst und einen Abschlussbericht umfasst. Zusätzlich können Sie verpflichtet sein, betroffene Kunden und Nutzer über erhebliche Sicherheitsvorfälle zu informieren, die Auswirkungen auf die Erbringung Ihrer Dienste haben könnten.

5. Governance und Verantwortlichkeit

Die NIS-2-Richtlinie legt großen Wert auf die Verantwortung der Leitungsorgane in Unternehmen. Sie müssen sicherstellen, dass angemessene Ressourcen für die Gewährleistung der Cybersicherheit bereitgestellt werden und dass eine klare Aufteilung der Verantwortlichkeiten innerhalb des Unternehmens erfolgt. Darüber hinaus sollten regelmäßige Bewertungen der Cybersicherheit durchgeführt und gegebenenfalls Anpassungen vorgenommen werden, um mit den sich wandelnden Bedrohungen Schritt zu halten.

6. Durchsetzung und Bußgelder

Die NIS-2-Richtlinie stattet die Aufsichtsbehörde mit weitreichenden Befugnissen aus und unterscheidet dabei zwischen wesentlichen und wichtigen Einrichtungen. Behörden haben nun die Befugnis, Vor-Ort-Kontrollen durchzuführen und bestimmte Informationen und Datenzugänge anzufordern. Wesentliche Einrichtungen unterliegen umfangreicheren Aufsichtsbefugnissen, einschließlich nicht anlassbezogener Maßnahmen wie Audits, unabhängig von der Risikobewertung.

Bei der Durchsetzung der Pflichten können den Behörden gegenüber Betreibern wichtiger Einrichtungen dieselben Maßnahmen ergriffen werden wie gegenüber Betreibern wesentlicher Einrichtungen. Die Behörden verfügen über verschiedene Instrumente, wie die Erteilung verbindlicher Anweisungen, das Setzen von Fristen und die Verhängung von Geldbußen. Bei wesentlichen Einrichtungen kann die Behörde sogar die vorübergehende Entbindung von Leitungspersonen verfügen.

Daneben drohen bei Verstößen empfindliche Geldbußen. Für Betreiber wesentlicher Einrichtungen beträgt die maximale Geldbuße entweder 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist. Für Betreiber wichtiger Einrichtungen sind es maximal 7 Millionen Euro oder 1,4 Prozent des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist. 

Unternehmen, die den Einrichtungen gemäß NIS-2-Richtlinie unterliegen, sollten bei einem erheblichen Sicherheitsvorfall immer auch die Bestimmungen der Datenschutz-Grundverordnung (DSGVO) beachten. Es ist möglich, dass bei einem erheblichen Sicherheitsvorfall auch personenbezogene Daten betroffen sind. Unabhängig von einer Meldung gemäß den Vorschriften der NIS-2-Richtlinie muss der Vorfall in angemessener Frist auch der Datenschutzbehörde gemäß Artikel 33 der DSGVO gemeldet werden.

Im Verhältnis zur DSGVO gibt es eine einzige Vorrangregelung in der NIS-2-Richtlinie. Wenn die Datenschutzbehörde eine Geldbuße gemäß der DSGVO verhängt, ist für denselben Verstoß eine Geldbuße gemäß Artikel 35 Absatz 2 der NIS-2-Richtlinie ausgeschlossen. Andere Durchsetzungsmaßnahmen bleiben jedoch möglich.
 

Nehmen Sie noch heute Kontakt zu uns auf und lassen Sie uns gemeinsam Ihre Cybersicherheit stärken!

Breach Counselor

Krisenmanagement bei IT-Sicherheitsvorfällen

In der heutigen Welt werden Datenschutzverletzungen immer häufiger und können verheerende Folgen für Einzelpersonen und Unternehmen haben. Wenn Sie Opfer eines IT-Sicherheitsvorfalles geworden sind, kann Ihnen ein rechtlicher Berater (Breach Counselor) dabei helfen, mit den Folgen umzugehen und Ihre Interessen zu schützen.

Was ist ein Breach Counselor?

Ein Breach Counselor ist ein Fachmann, der auf die Unterstützung und Beratung von Einzelpersonen und Unternehmen spezialisiert ist, die von einer Datenschutzverletzung betroffen sind. Seine Dienstleistungen können je nach den spezifischen Bedürfnissen des Kunden variieren, aber in der Regel bietet er eine Reihe von Dienstleistungen an, die Ihnen helfen, die Krise zu bewältigen, den Schaden zu begrenzen und Ihre Interessen zu schützen.

Welche Aufgabe hat er?

Die vielleicht wichtigste Dienstleistung eines Breach Counselors ist das Krisenmanagement. Eine IT-Sicherheitsvorfall kann eine stressige und überwältigende Erfahrung sein. Ein Berater für IT-Sicherheitsvorfälle kann Ihnen bei der Bewältigung der Krise helfen, indem er Ihnen emotionale Unterstützung, praktische Ratschläge und eine ruhige, beruhigende Präsenz bietet, die Ihnen hilft, die Situation zu bewältigen. Er kann Ihnen helfen, die Schwere des Sicherheitsverstoßes einzuschätzen, die Risiken zu erkennen und einen Plan zu entwickeln, um den Schaden zu begrenzen und weitere Bedrohungen zu verhindern.

Neben dem Krisenmanagement kann ein Breach Counselor auch wertvolle Hinweise zur Risikobewertung geben. Er kann Ihnen helfen, das Risiko einer Datengefährdung einzuschätzen und Sie über die möglichen Folgen einer Sicherheitsverletzung beraten. Er kann Ihnen auch Maßnahmen empfehlen, die Sie ergreifen können, um eine weitere Datengefährdung zu verhindern und Ihre Interessen zu schützen.

Eine weitere wichtige Dienstleistung eines Breach Counselors ist die Kommunikation. Eine Datenschutzverletzung kann eine heikle und komplexe Situation darstellen, und eine effektive Kommunikation ist unerlässlich, um sicherzustellen, dass die richtigen Informationen zur richtigen Zeit an die richtigen Personen übermittelt werden. Ein Breach Counselor kann Sie bei der Kommunikation mit Kunden, Interessenvertretern und Aufsichtsbehörden unterstützen, um sicherzustellen, dass alle informiert sind und die Nachricht effektiv übermittelt wird. Er kann Nachrichten entwerfen, Gesprächsleitfäden erstellen und sich mit den betroffenen Parteien abstimmen, um sicherzustellen, dass die Nachricht konsistent und korrekt ist.

Komplexe Rechtslage beraten aus einer Hand

Ein Breach Counselor wird auch wertvolle Rechtsberatung in Bezug auf die potenzielle Haftung der Organisation und die gesetzlichen Verpflichtungen zur Benachrichtigung betroffener Personen oder Aufsichtsbehörden bieten. Er kann Ihnen helfen, sich in der komplexen rechtlichen Landschaft rund um Datenschutzverletzungen zurechtzufinden und sicherstellen, dass Sie Ihre Rechte und Pflichten verstehen und Ihre Interessen schützen können.

Schwachstellenmanagement nach Krisenbewältigung

Schließlich kann ein Breach Counselor auch bei der Koordination zur Behebung der Schwachstellen helfen, die zu der Verletzung geführt haben. Er kann Ihnen bei der Entwicklung und Umsetzung eines Plans zur Verhinderung künftiger Datenschutzverletzungen helfen und so sicherstellen, dass Sie besser vorbereitet sind, um Ihre Interessen zu schützen und ähnliche Vorfälle in Zukunft zu verhindern.

Vorteile eines Breach Counselors

Zusammenfassend lässt sich sagen, dass ein IT-Sicherheitsvorfall ein traumatisches und überwältigendes Erlebnis sein kann, aber ein Breach Counselor kann Ihnen wichtige Dienste anbieten, die Ihnen helfen, die Folgen zu bewältigen und Ihre Interessen zu schützen. Von Krisenmanagement und Risikobewertung bis hin zu Kommunikation, Rechtsberatung und Abhilfemaßnahmen kann ein Breach Counselor Ihnen die Beratung und Unterstützung bieten, die Sie benötigen, um die Krise zu bewältigen, den Schaden zu begrenzen und Ihren Ruf, Ihre Finanzen und Ihre Kunden zu schützen.