Diesen Artikel als PDF beziehen?
Laden Sie kostenlos den Artikel herunter:
"IT-Sicherheit – Gesetzliche Grundlagen über den Datenschutz hinaus"


Anmelden
* Pflichtfeld

Bitte geben Sie Ihre E-Mail-Adresse ein.

Wir erheben Ihre Daten gemäß Art. 6 Abs. 1 Buchst. b) und f) DSGVO zur ordnungsgemäßen Abwicklung unserer Geschäftsvorgänge sowie zur Mitteilung von Produktinformationen. Weitere Informationen finden Sie in unserer Datenschutzerklärung: forum-verlag.com/datenschutz Wir informieren Sie regelmäßig über aktuelle, themenbezogene, kostenpflichtigen Verlagsprodukte per E-Mail, Fax, Telefon oder Post. Sie können jederzeit der Verwendung Ihrer Daten für Werbezwecke zu den ortsüblichen Basistarifen widersprechen, indem Sie den Abmeldelink nutzen, der am Ende einer jeden E-Mail enthalten ist. Oder schreiben Sie eine E-Mail an service@forum-verlag.com.

Vielen Dank für Ihr Interesse !

Im nächsten Schritt erhalten Sie eine Bestätigungsmail an die angegebene E-Mail-Adresse. Hiermit wird geprüft, ob es sich um eine korrekte E-Mail-Adresse handelt.Um Ihnen die gewünschten Informationen zukommen lassen zu können, klicken Sie bitte jetzt den in der Bestätigungsmail enthaltenen Link.Falls die Bestätigungsmail Ihr Postfach nicht erreicht hat, kann es sein, dass diese irrtümlicherweise in Ihrem Spam-Ordner gelandet ist. Überprüfen Sie daher Ihren Spam-Ordner und Ihre Spam-Einstellungen.

Um Sie gezielter beraten zu können, würden wir uns freuen, wenn Sie uns folgende Informationen zukommen lassen. Alle Angaben sind freiwillig.

Um Ihre Daten abzusenden, sollte mindestens ein Feld befüllt sein. Vielen Dank

IT-Sicherheit – Gesetzliche Grundlagen über den Datenschutz hinaus

© BRN-Pixel – stock.adobe.com

Obwohl die DSGVO und das BDSG in erster Linie Vorschriften definieren, die den Datenschutz betreffen, haben sie auch Auswirkungen auf die IT-Sicherheit im Unternehmen. Doch welche Gesetze und Normen müssen IT-Sicherheitsbeauftragte noch beachten, um die gesetzlichen Anforderungen zu erfüllen?

Gesetzliche Anforderungen an die IT-Sicherheit

An sich gibt es keine speziellen Anforderungen an die IT-Sicherheit für eine Organisation, dennoch ist die Schaffung eines risikoangemessenen Schutzes rechtlich geboten. Versäumt ein Unternehmen die Implementierung eines Schutzes gegen informationstechnische Sicherheitsrisiken kann dies im Schadensfall erhebliche Auswirkungen auf die Frage des Verschuldens und die Forderung nach Schadensersatzansprüchen haben. 

Vorgaben an die IT-Sicherheit werden zudem oft in Verträgen mit Kunden und Versicherungen festgelegt. Darüber hinaus gibt es spezielle gesetzliche Vorgaben für bestimmte gesellschaftskritische Bereiche. 

IT-Sicherheitsgesetz 

Das IT-Sicherheitsgesetz („Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme“) ist seit Juli 2015 in Kraft und verfolgt das Ziel, die Sicherheit informationstechnischer Systeme zu erhöhen, indem ein angemessenes Schutzniveau für gesellschaftlich relevante Bereiche sichergestellt wird. Die zwei bekanntesten Anwendungsbereiche sind: 

Schutz Kritischer Infrastrukturen

Betreiber von Kritischen Infrastrukturen (KRITIS) sind verpflichtet, besondere Vorkehrungen zu treffen, um Störungen zu vermeiden. Davon betroffen sind gemäß § 2 Abs. 10 BSI-Gesetz (BSIG) Einrichtungen, Anlagen oder Teile davon, die den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen angehören. 

Als KRITIS-Betreiber gilt eine Einrichtung jedoch erst, wenn die Einrichtung, Anlage oder Teile davon von hoher Bedeutung für das Gemeinwesen sind. Hier stellt sich immer die Frage: Entstehen durch eine Störung erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit? 

Trifft die Definition des KRITIS-Betreibers nach BSIG auf eine Einrichtung zu, ergeben sich für diese umfangreiche Pflichten, die im Buch „Datenschutz 2018“ übersichtlich und kommentiert dargestellt sind. 

Schutz bei Nutzung von Internetdiensten 

Ein weiteres Ziel des IT-Sicherheitsgesetzes ist es, u. a. in Form des Telemediengesetzes (TMG) und des Telekommunikationsgesetzes (TKG)  Bürgerinnen und Bürger im Internet zu schützen, indem Anbieter von Internetdiensten verpflichtet werden, ihrerseits das Schutz-Niveau der IT-Sicherheit anzuheben. Betroffen sind Betreiber von kommerziellen Internetangeboten und Telekommunikationsanbieter

NIS-Richtlinie 

Die EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS-Richtlinie) ist seit August 2016 auf europäischer Ebene in Kraft. Sie definiert Maßnahmen zur Gewährleistung eines hohen gemeinsamen Schutzniveaus bei der Cybersicherheit, Mindestsicherheitsanforderungen und Meldepflichten für KRITIS und digitale Dienste.  

Diese Richtlinie gilt als europäische Vorschrift nicht unmittelbar, sondern musste in nationales Recht umgesetzt werden. Das Gesetz zur Umsetzung der NIS-Richtlinie wurde am 29. Juni 2017 verkündet und enthält zusätzlich Regelungen zu Anbietern von Online-Marktplätzen, Online-Suchmaschinen und Cloud-Computing-Diensten. Es handelt sich jeweils um Dienste mit erhöhtem Schutzbedarf und schärferen Meldepflichten nach § 8c BSIG

Baseler Rahmenwerk  

In diesem Rahmenwerk sind alle gültigen Standards des Baseler Ausschusses für Bankenaufsicht enthalten. Im Fokus stehen aber nicht nur Kredit- und Marktrisiken, sondern auch operationelle Risiken. Hierzu zählen insbesondere Risiken durch den Einsatz von Informationstechnologien, die Banken verpflichtend eindämmen müssen. Zudem sind die operationellen Risiken auch bei der Kreditvergabe zu berücksichtigen, weshalb dieses Regelwerk auch auf andere Branchen ausstrahlt. 

Sarbanes Oxley Act 

Diese US-amerikanische Gesetzgebung wirkt sich auf alle in- und ausländischen Unternehmen aus, deren Wertpapiere in den USA angeboten bzw. börslich oder außerbörslich gehandelt werden. Dieses Gesetz zielt darauf ab, das Vertrauen von Anlegern und Finanzmärkten in die Rechnungslegung von Unternehmen zu stärken. 

Weitere Regelungen: Normen zur IT-Sicherheit 

Weil die Gesetzgebungsprozesse im Vergleich zur technischen Entwicklung viel zu behäbig sind und diese meist nur Schutzziele ohne weitere Konkretisierung der Maßnahmen enthalten, gibt es zur IT-Sicherheit auch normative Vorgaben. Diese Normen entfalten an sich keine unmittelbare Gesetzeskraft, deren praktische Bedeutung kann jedoch zu rechtlichen Auswirkungen führen, wenn unbestimmte Rechtsbegriffe ausgelegt werden. 

Bekannte Normen im Bereich der IT-Sicherheit sind: 

Quelle: „Datenschutz 2019“

Sie wollen mehr Fachwissen, Praxistipps und kostenlose Arbeitshilfen zum Bereich Datenschutz und IT erhalten? Dann melden Sie sich gleich zu unserem kostenlosen Fach-Newsletter an!

Das könnte Sie auch interessieren

Schlagwörter

IT-Sicherheit Datenschutz

Die mit einem * markierten Felder sind Pflichtfelder.