Im Zeitalter fortschreitender globaler Vernetzung und immerfort ansteigender Online-Kriminalität ist die Wahrung der IT-Sicherheit schon lange zu einer Schlüsselaufgabe für den Staat, die Privatwirtschaft ebenso wie die Gesellschaft geworden. Alldem ungeachtet wird dieser Entwicklung in der täglichen Praxis bei weitem noch nicht die erforderliche Achtsamkeit eingeräumt, was erhebliche juristische Auswirkungen nach sich ziehen kann. Welche gesetzlichen Vorschriften sowie Verordnungen Betriebe im Hinblick auf die IT-Sicherheit kennen sowie befolgen müssen, lernen Sie in dem nachfolgenden Blogartikel.
Mittlerweile sind die Betriebsfähigkeit wie auch der Erfolg eines Unternehmens ohne den Einsatz einer hoch performanten sowie permanent verfügbaren IT-Infrastruktur nicht denkbar.
Laut einer gegenwärtigen Analyse von Riverbed sind mittlerweile 81 Prozent der befragten Manager davon überzeugt, dass eine zeitgemäße IT-Infrastruktur Innovation, Einfallsreichtum wie auch Rentabilität begünstigt.
Obzwar die Nutzung neuartiger Systeme wichtige und fortschrittsermöglichende Vorzüge für Geschäftsbetriebe bereithält, resultieren sie häufig ebenso in einer zunehmenden IT-Dependenz und erhöhen so die Gefahr für aktuelle Cyberangriffe, fehlerhaften Konfigurationen und Datenschutzverletzungen.
Aufgrund dessen ist nunmehr in sämtlichen Wirtschaftsbereichen eine erhöhte juristische Regulierung der IT-Sicherheit festzustellen.
Starke IT-Security durch staatliche Regulierung!
Das Schlüsselthema IT-Sicherheit betrifft im Zuge der steigenden Vernetzung der Geschäftsprozesse ständig mehr Unternehmungen. Jedoch sind die einschlägigen staatlichen Anforderungen an Geschäftsbetriebe erstmal alles andere als überblickbar.
Denn bis jetzt existiert kein Stammgesetz, das jegliche Normen mit Bezug zur IT-Security bündelt. Vielmehr wirken zahlreiche verschiedene Vorschriften gemeinsam, um Geschäftsbetriebe zu verpflichten, ein IT-Risikomanagement durchzuführen sowie in die Implementation risikoangepasster IT-Schutzmaßnahmen und IT-Sicherheitslösungen zu investieren.
Wird das hingegen verpasst, können im Fall eines IT-Sicherheitsvorfalls nebst großen Rufschäden auch noch Geldbußen in Millionenhöhe zu erwarten sein.
Schon im Jahre 2020 wurden in der Europäischen Union in der Summe 160 Mio. Euro Geldbußen wegen Verstößen gegen die Europäische DSGVO verhängt. Hierzulande ging das höchste Bußgeld mit 35,3 Millionen Euro an das H&M Servicecenter in Nürnberg, das die privaten Lebensumstände 100ter Angestellter ausgeforscht haben soll.
Die wichtigsten Rechtsnormen zur IT-Sicherheit im Überblick:
Vor dem Hintergrund der andauernd schwerer werdenden Gefahrenlage sehen sich die Legislative genauso wie Unternehmen verstärkt in der Pflicht zu handeln. Einerseits entstehen brandneue sowie effektive IT-Security Solutions und Dienstleistungen, die das Sicherheitsniveau potenzieren. Auf der anderen Seite werden striktere Anforderungen an eine firmeninterne IT-Security definiert, um so IT-Bedrohungen über elektronische, administrative, infrastrukturelle und personelle IT-Securitymaßnahmen zu verringern. Normen, die speziell die IT-Security tangieren, haben dabei schwerpunktmäßig das Ziel, die IT-Umgebung eines Geschäftsbetriebes vor Internetattacken, fremdem Zugang sowie Missbrauch zu schützen. Verordnungen, die den Datenschutz anbelangen, haben die Absicht, einen zuverlässigen Schutzmechanismus für Unternehmensdaten im Hinblick auf Nutzbarkeit, Vertraulichkeit, Unversehrtheit und Authentizität zu realisieren. Damit Geschäftsbetriebe vorschriftsmäßige IT-Sicherheitsvorkehrungen umsetzen können, sind etwa die folgenden Regelungen und Vorschriften für sie maßgeblich:
- Das IT-Sicherheitsgesetz
Beim IT-Sicherheitsgesetz, kurz IT-SiG, handelt es sich um ein Artikelgesetz, welches die Intention hat, die Integrität von Datensammlungen und IT-Systemen zu schützen sowie zu gewährleisten. Bei dem Gesetz stehen besonders die Anbieter systemkritischer Infrastrukturen aus den Segmenten Strom- und Wasserversorgung, Finance oder Ernährung im Fokus. Solche Provider sind nach dem Gesetz in der Verpflichtung, ihre Unternehmens-IT geeignet zu schützen und jedenfalls alle zwei Wirtschaftsjahre inspizieren zu lassen. Hinzu kommen Pflichten zur Meldung an das BSI nach eingetretenen IT-Sicherheitsvorfällen. - Die EU-Datenschutzgrundverordnung
Die EU-DSGVO ist wie das IT-Sicherheitsgesetz ein Artikelgesetz. Es verfolgt das Ziel, in ganz Europa für uniforme Regelungen zu sorgen, welche den Datenschutz beeinflussen. Damit erhöhen sich die Erfordernisse an die Datenschutz-Compliance ebenso wie ein gut funktionierendes Datenschutz-Management-System. Die Vorgaben des inländischen Datenschutzgesetzes, abgekürzt BDSG, ergänzen die europäische DSGVO, indem verschiedene Punkte weiter verdeutlicht werden. - Das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich
Das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich, kurz KonTraG, zielt auf die Fortentwicklung der Grundsätze der Führung von Betrieben ab. Darüber hinaus sollen Betriebe motiviert werden, sich stärker mit dem Thema IT-Risikomanagement zu befassen und in ein betriebsweites Risikofrüherkennungssystem zu investieren. - Die Grundsätze zur ordnungsgemäßen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff
Bei den Grundsätzen zur ordnungsgemäßen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff, abgekürzt GoBD, handelt es sich um Vorgaben aus einer Verwaltungsanweisung des Bundesministeriums der Finanzen für die Dokumentationsprozesse in Geschäfsbetrieben. Die GoBD stellen sicher, dass Unternehmen, in denen unternehmerische Prozesse wie auch Buchführungs-, Aufzeichnungs- und Aufbewahrungspflichten bestehen, diverse Sorgfaltspflichten bei der Weiterverarbeitung, Vorhaltung und Bereitstellung der Informationen zu beachten. Trotzdem sollten jegliche Vorgaben durch ein betriebsinternes System vollzogen werden. Außerdem ist eine Dokumentierung als Beleg eines ordnungsgemäßen Systembetriebs vorgeschrieben.
Neben dieser vier relevanten Rechtsnormen sollten Geschäftsbetriebe bei der Ausführung einer risikoangemessenen IT-Sicherheitsstrategie noch folgende Regelungen einbeziehen:
• die Grundsätze für eine ordnungsmäßige Datenverarbeitung, abgekürzt GoDV
• das Gesetz zum Schutz von Geschäftsgeheimnissen, abgekürzt GeschGehG
• Telekommunikations-Überwachungsverordnung, abgekürzt TKÜV
• Telekommunikationsgesetz, kurz TKG
• Telemediengesetz, abgekürzt TMG
• Beziehungsweise das Telekommunikation-Telemedien-Datenschutzgesetz, abgekürzt TTDSG, welches ab dem 01.12.2021 gilt
• die §§ 69a ff. und der § 106 im Urheberrechtsgesetz, abgekürzt UrhG
Auch Gesetze zur IT-Sicherheit sichern Ihren Unternehmenserfolg!
Mittlerweile müssen Geschäftsbetriebe bei uns eine Vielzahl gesetzlicher Verpflichtungen im Hinblick auf ihre IT-Security einhalten, ansonsten können hohe Sanktionen drohen.
Aus diesem Grund ist es elementar, dass sich Betriebe rechtzeitig mit den wichtigsten Gesetzesnormen ebenso wie Richtlinien, die die IT-Sicherheit angehen, befassen.
Möchten Sie mehr über die juristischen Seiten der IT-Sicherheit lernen oder benötigen Sie einen externen IT-Sicherheitsbeauftragten? Kommen Sie gerne jederzeit auf uns zu!