Security-Trends 2017

Neue Gesetzgebung zur Cybersicherheit

| Autor / Redakteur: Thorsten Henning* / Peter Schmitz

Die Umsetzung der von der EU initiierten neuen Gesetzgebung zur Cybersicherheit rückt im neuen Jahr näher.
Die Umsetzung der von der EU initiierten neuen Gesetzgebung zur Cybersicherheit rückt im neuen Jahr näher. (Bild: Pixabay / CC0)

Zwei wichtige neue Gesetze für Sicherheit und Privatsphäre stehen derzeit in Europa im Rampenlicht: die Richtlinie zur Netz- und Informationssicherheit (NIS) und die Datenschutz-Grundverordnung (DSGVO/GDPR). Mit diesen Gesetzen verschärft die EU künftig die Sicherheitsanforderungen für potenziell jedes Unternehmen, das sein Geschäft in Europa betreibt und legt auch den Grundstein für eine verstärkte Durchsetzung der Benachrichtigungspflicht bei sicherheitsrelevanten Vorfällen.

Die GDPR gilt für Unternehmen, auch wenn diese außerhalb Europas ansässig sind, und beinhaltet erhöhte mögliche Strafen von bis zu vier Prozent des jährlichen weltweiten Umsatzes. Insbesondere fordern beide Gesetze von den Unternehmen angemessene Sicherheitsmaßnahmen auf dem Stand der Technik im Hinblick auf ihre Risiken, persönliche Daten sowie den Schutz von Netzen und Informationssystemen. Im Rahmen der NIS-Richtlinie müssen Unternehmen den Behörden Cybersicherheitsvorfälle melden, wenn diese einen signifikanten oder wesentlichen Einfluss auf die Bereitstellung oder Kontinuität ihrer Dienste haben. Entsprechend der GDPR, müssen Unternehmen den zuständigen Behörden alle Verletzungen der persönlichen Daten mitteilen, es sei denn, es ist unwahrscheinlich, dass die Verletzung in einem Risiko für die Rechte und Freiheiten des Einzelnen resultiert.

Die NIS-Richtlinie muss bis zum 10. Mai 2018 von den EU-Mitgliedstaaten in ihre nationale Gesetzen übernommen und angewandt werden. Bis zu diesem Zeitpunkt werden die Unternehmen über die spezifischen Anforderungen unterrichtet sein, die in ihrem Mitgliedstaat angewandt und durchgesetzt werden. Die GDPR ist eine Verordnung und die Mitgliedstaaten sind verpflichtet, diese Verordnung in Form von nationalen Gesetzen zu verabschieden, um sie umzusetzen. Die Unternehmen müssen der Regelung bis zum 25. Mai 2018 nachkommen. Zunächst aber gilt es festzustellen, ob das Unternehmen von der NIS-Richtlinie oder der GDPR oder von beiden betroffen ist.

Die NIS-Richtlinie gilt für bestimmte Unternehmen, nämlich die Betreiber von grundlegenden Diensten und für digitale Dienstleister.

  • Zu Betreibern von grundlegenden Diensten zählen Unternehmen in den Bereichen Transport, Energie und Gesundheitswesen. Die Mitgliedstaaten sind dafür verantwortlich, die Unternehmen in diesen Kategorien zu identifizieren.
  • Digitale Serviceprovider sind Unternehmen, die eine der drei Leistungen erbringen: Cloud-Computing-Services, Online-Marktplätze oder Online-Suchmaschinen.

Die GDPR gilt für Unternehmen, die eines der folgenden Kriterien erfüllen:

  • Sie sind in der EU ansässig.
  • Ihr Angebot an Waren oder Dienstleistungen richtet sich an EU-Bürger.
  • Sie erfassen das Verhalten der EU-Bürger, was innerhalb der Europäischen Union stattfindet.

Angesichts der Tiefe der Gesetze, wird das Etablieren oder Verfeinern der Cybersicherheitspraktiken in Übereinstimmung mit der NIS-Richtlinie und der GDPR einen funktionsübergreifenden Prozess notwendig machen, der sich über viele Monate erstrecken kann. Führungskräfte sollten daher das Jahr 2017 nutzen, um proaktiv einen Identifizierungsprozess zu starten, wie sich die Praxis unverzüglich mit den Gesetzen in Einklang bringen lässt. Damit geht ein mehr oder weniger großer Aufwand einher, je nachdem, wie die bisherige Sicherheitspraxis aussah. Der jüngste EU-Vorstoß in Sachen Cybersicherheit bietet aber auch die Chance, um das Management von Cyber- und Datenschutzrisiken zu bewerten und neu auszurichten. Die Richtung ist aufgrund der Bedrohungslage bereits vorgegeben und heißt Prävention. Dies schließt die Nutzung globaler Quellen von Bedrohungsdaten mit ein, um kritische Informationsbestände besser zu schützen.

* Dipl.-Ing. Thorsten Henning beschäftigt sich seit über 20 Jahren mit Netzwerken und IT-Sicherheit. Er leitet bei Palo Alto Networks das Systems Engineering für Zentral- und Osteuropa und berät Großkunden zu Netzwerksicherheitslösungen der nächsten Generation. Zuvor war Thorsten Henning für namhafte Hersteller wie 3Com, Ascend Communications, Lucent Technologies und Juniper Networks tätig.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44436380 / Compliance und Datenschutz )