Wir beraten im IT–Sicherheitsrecht!
Erpressungen (Ransomware Attacks) und die damit einhergehenden Ausfälle von Informations- und Produktionsabläufen, führen nach Auskunft des Digitalverbandes bitkom allein in Deutschland zu monetären Schäden von 220 Milliarden Euro im Jahr (bitkom, Stand 05. August 2021). Darüber hinaus sind es oft Reputationsschäden, die mittel- und langfristig noch schwerer wirken, wenn ein Unternehmen Opfer einer IT–Sicherheitsattacke geworden ist. Die Gefahr, Opfer einer Cyberattacke zu werden ist groß. Nach einer Untersuchung von bitkom sind in den Jahren 2020/2021 bereits 9 von 10 Unternehmen Opfer einer Cyberattacke geworden (bitkom, Stand 05. August 2021). Zumeist dringen erpresserische Hacker dabei bereits Monate vor dem eigentlichen Sicherheitsvorfall unbemerkt in die IT–Infrastruktur der Unternehmen ein.
KRITIS-Unternehmen: Pflicht zum Monitoring ab Mai 2023
Für Unternehmen der kritischen Infrastruktur (KRITIS-Unternehmen, u. a. Unternehmen der Informationstechnik und Telekommunikation, Wasser, Energie, Transport und Verkehr, Ernährung, Finanz- und Versicherungswesen und Gesundheit sowie Staat und Verwaltung, Medien und Kultur) gilt ab 1. Mai 2023 die Pflicht, die eigene IT zu monitoren, §§ 8b Abs. 1 und 1a, 2 Abs. 9a BSIG. Wörtlich heißt es dort:
„Betreiber Kritischer Infrastrukturen sind verpflichtet, spätestens bis zum ersten Werktag, der darauf folgt, dass diese erstmalig oder erneut als Betreiber einer Kritischen Infrastruktur nach der Rechtsverordnung nach § 10 Absatz 1 gelten, angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind.“
Konkret zum Monitoring:
„Die Verpflichtung nach Absatz 1 Satz 1, angemessene organisatorische und technische Vorkehrungen zu treffen, umfasst ab dem 1. Mai 2023 auch den Einsatz von Systemen zur Angriffserkennung. Die eingesetzten Systeme zur Angriffserkennung müssen geeignete Parameter und Merkmale aus dem laufenden Betrieb kontinuierlich und automatisch erfassen und auswerten. Sie sollten dazu in der Lage sein, fortwährend Bedrohungen zu identifizieren und zu vermeiden sowie für eingetretene Störungen geeignete Beseitigungsmaßnahmen vorzusehen.“
Was Pflicht für KRITIS ist, ist gut für alle
Was für KRITIS-Unternehmen Pflicht ist, kann für alle anderen Unternehmen nur gut sein. Die zunehmende Eintrittswahrscheinlichkeit des Risikos, Opfer einer Cyberattacke zu werden, verbunden mit dem enorm hohen Schaden, dürfte es auch außerhalb des Kreises von KRITIS-Unternehmen gebieten, für ein Information Security Management System zu sorgen.
Unsere Leistungen
Wir bieten Ihnen in Kooperation mit spezialisierten IT– Security–Unternehmen die Prüfung und Überarbeitung des rechtlichen Rahmens (Legal Framework) für die
• Prävention,
• Reaktion,
• Nachsorge sowie fortlaufende Verbesserung Ihres IT-Sicherheitsmanagements.
Dazu gehört u.a.:
- Analyse und Prüfung der individuellen Datenschutzorganisation und Datenschutzrichtlinie,
- Handlungsempfehlungen für ggf. notwendige Überarbeitungen von Rechtstexten (bspw. Verträgen mit Cloud-Anbietern) oder organisatorischen Maßnahmen,
- Schulungen u.v.m..
Unsere rechtliche Beratungsleistungen passen wir in Abstimmung mit Ihnen auf Größe und Struktur Ihres Unternehmens an. Weitere Informationen zu unseren Leistungen finden Sie auf unserer Seite zur Beratung im IT-Sicherheitsrecht.
Ansprechpartner
Sprechen Sie uns gerne an und fragen unverbindlich nach unseren Beratungspaketen.
Ihre Ansprechpartner: Rechtsanwalt Jörn Tröber und Wiss. Mit. Fabian Müller M. Iur.