Compliance

Die Gesetzeslage in der EU

| Autor / Redakteur: Adrian Davis, CISSP* / Stephan Augsten

Grauzonen und Interpretationsspielraum

Wir rechnen damit, dass einige der neuen Bestimmungen reichlich überholt wirken könnten: So wird etwa die Entfernung von Daten von Servern, um ein Recht auf Löschung sicherzustellen oder die Übertragung in Nicht-EU-Länder zu verhindern, keine leichte Aufgabe für Unternehmen werden, die ihre Infrastruktur nicht auf eine solche Anforderung ausgelegt haben.

Und faktisch sorgt der Übergang zu Cloud-Technologien ja dafür, dass Daten über viele Geräte und Plattformen hinweg weltweit verbreitet und frei bewegt werden können. Hier liegt auch der Grund dafür, dass viele unserer Mitglieder vermuten, dass das „Recht auf Löschung“ vielleicht einfach nicht umsetzbar sein wird.

Auch stellen wir fest, dass ziemlich viel Raum für Interpretationen geblieben ist, zum Beispiel bei der Definition der kritischen Infrastrukturen und der Anbieter von Diensten der Informationsgesellschaft. Viele argumentieren, dass diese sich zu schnell verändern würden, um definiert werden zu können, und/oder dass solche Begriffe heute auf die meisten Unternehmen anwendbar seien.

Außerdem führt die GDPR das „Recht auf Datenportabilität“ ein, das heißt das Recht, seine Daten von einem Unternehmen zu einem Mitbewerber übertragen zu lassen (zum Beispiel von Whatsapp zu Facebook), und zur Implementierung dieses Rechts muss ein entsprechender Mechanismus entwickelt werden.

Was (ISC)²-Experten meinen

Wie Fachkräfte für Informationssicherheit und Cyber-Sicherheit sich mit der Implementierung der neuen Gesetze auseinandersetzen, zeigen die hier eingebundenen Statements aus den verschiedenen Bereichen unserer Community in Deutschland und Österreich exemplarisch auf.

Ergänzendes zum Thema
 
Rainer Rehm, CISSP, Präsident des (ISC)² Chapter Deutschland e.V.

Ergänzendes zum Thema
 
Günter Aigle, CISSP und Security Auditor bei der Würth IT GmbH.

Ergänzendes zum Thema
 
Dr. Lukas Feiler, (ISC)²-zertifizierter SSCP und Rechtsanwalt, Head of IP/IT.

Ergänzendes zum Thema
 
Dirk Schadt, CISSP, Management-Berater Informationssicherheit bei SPOT Consulting.

Über das IT-Sicherheitsgesetz hinaus macht insbesondere die GDPR es für Unternehmen erforderlich, all seine Prozesse zu überprüfen, da alle mit der Verarbeitung digitaler Daten einhergehen. Ebenso müssen sie die Prozesse ihrer Zulieferfirmen überprüfen. Wir müssen darauf gefasst sein, dass viele bestehende Verträge mit Zulieferern nicht tragfähig sein könnten, besonders mit solchen außerhalb der EU.

Ganze Branchen oder Geschäftsbereiche könnten in Gefahr geraten, weil bestimmte Vorschriften wahrscheinlich neue Hindernisse für bestehende Geschäftsmodelle schaffen und sie verteuern werden. Das gilt zum Beispiel für die Bestimmung der GDPR, wonach sich Unternehmen von den Konsumenten explizit bestätigen lassen müssen, dass sie damit einverstanden sind, wie ihre Daten genutzt werden.

Es herrscht kaum Zweifel, dass wir derzeit seismische Veränderungen in dem regulatorischen Umfeld erleben, in dem wir als Fachkräfte für Cyber-Sicherheit in Europa operieren müssen. Das ultimative Ziel für die Europäische Union besteht darin, die Geschäftstätigkeit in dieser Region einfacher und sicherer zu gestalten und so Barrieren zu beseitigen und Chancen zu eröffnen.

Ich als Sicherheitsfachmann unterstütze dieses Ziel. Und wir als Community können auf dem Weg dahin eine wichtige Aufgabe übernehmen und eine einzigartige Perspektive beitragen: indem wir die Gesetzeslandschaft und die sich neu entwickelnden Standards einem Realitätscheck unterziehen und den Blick auf Lücken und Missbräuche lenken, die abgestellt werden müssen, während die digitale Ära mehr und mehr die Zukunft prägt.

Wir als Berufsstand haben die Möglichkeit, unseren gemeinsamen Erfahrungsschatz aufzubieten und diesen Prozess mit unserem Know-how zu begleiten. Denjenigen von uns, die draußen an der Front die Implementierung übernehmen müssen, steht ein erheblicher Lernprozess bevor. (ISC)2 als internationaler Verband für Fachkräfte der Cyber-Sicherheit will mithilfe seines regionalen (ISC)2 EMEA Advisory Councils die gewonnenen Erfahrungen zusammentragen.

* Adrian Davis, CISSP, ist Managing Director EMEA bei (ISC)².

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43966721 / Security Best Practices)