Cyber­se­cu­ri­ty Com­pli­ance Manage­ment: Recht­li­che Anfor­de­run­gen an Cyber­si­cher­heit stra­te­gisch umsetzen

Cyber­si­cher­heit als Chan­ce und Risiko

Die Nut­zung von digi­ta­len Tech­no­lo­gien ist ein zen­tra­ler Erfolgs­fak­tor für Unter­neh­men und in nahe­zu allen Bran­chen auch für ein Über­le­ben am Markt not­wen­dig. Dies führt zu einer zuneh­men­den Digi­ta­li­sie­rung und Ver­net­zung von Pro­duk­ten (z.B. im Bereich der IoT), aber auch von Pro­duk­ti­ons­an­la­gen (u.a. Indus­trie 4.0 oder Smart Fac­to­ry). Daten­nut­zung und ‑aus­tausch sind dabei längst nicht mehr auf ein­zel­ne Unter­neh­men beschränkt, son­dern erfol­gen in zuneh­men­dem Maß über gan­ze Lie­fer­ket­ten hinweg.

Durch die zuneh­men­de Ver­net­zung steigt die Abhän­gig­keit der Akteu­re. Ein IT-Sicherheitsvorfall bei einem ein­zel­nen Zulie­fe­rer kann die gesam­te Lie­fer­ket­te oder sogar die Sicher­heit eines Pro­dukts am Markt betref­fen. Unter­neh­men soll­ten daher bestrebt sein, prä­ven­tiv ihre Unter­neh­mens­struk­tu­ren auf mög­li­che Risi­ken und Bedro­hun­gen zu über­prü­fen und zu sichern. Die Angriffs­mög­lich­kei­ten sind dabei viel­sei­tig. Gefah­ren dro­hen auf tech­ni­scher Ebe­ne unter ande­rem durch Schad­soft­ware, Iden­ti­täts­dieb­stahl, Social Engi­nee­ring oder Advan­ced Per­sis­tent Thre­ats, die zur geziel­ten Infor­ma­ti­ons­ge­win­nung ein­ge­setzt wer­den.

Doch feh­len­de IT-Sicherheit stellt auch auf recht­li­cher Ebe­ne wegen einer zuneh­men­den Regu­lie­rung ein Risi­ko dar. Durch immer enge­re Vor­ga­ben zur Umset­zung von IT-Sicherheit kön­nen selbst bei klei­ne­ren Abwei­chun­gen – auch außer­halb des Daten­schutz­rechts – hohe Buß­gel­der oder Ver­trags­stra­fen im Raum ste­hen. Kommt es tat­säch­lich zu einem IT-Sicherheitsvorfall, ste­hen dar­über hin­aus regel­mä­ßig auch Gewährleistungs- und Scha­dens­er­satz­an­sprü­che von Kun­den oder Betrof­fe­nen im Raum. Unter­neh­men, die am Markt bestehen und erfolg­reich digi­ta­li­sie­ren wol­len, müs­sen also neben einer tech­ni­schen Umset­zung auch den recht­li­chen Anfor­de­run­gen gerecht wer­den. Dies ist jedoch weit weni­ger ein­fach als gedacht, denn weder auf natio­na­ler Ebe­ne noch auf euro­päi­scher Ebe­ne exis­tiert ein ein­heit­li­ches Gesetz, das all­ge­mei­ne Sicher­heits­an­for­de­run­gen ver­pflich­tend für Unter­neh­men defi­niert. Der recht­li­che Rah­men setzt sich statt­des­sen aus einer Viel­zahl von Ein­zel­re­ge­lun­gen zusam­men. Die­se gel­ten teils all­ge­mein für Unter­neh­men, teils nur für bestimm­te Bran­chen oder Produkte.

Cyber­se­cu­ri­ty Com­pli­ance Manage­ment redu­ziert recht­li­che Risiken

Not­wen­dig ist daher ein unternehmens- und pro­dukt­be­zo­ge­nes Cyber­se­cu­ri­ty Com­pli­ance Manage­ment, das die gel­ten­den gesetz­li­chen Anfor­de­run­gen und Ver­pflich­tun­gen eines Unter­neh­mens zunächst iden­ti­fi­ziert und die anschlie­ßen­de Umset­zung beglei­tet. Teil der im Rah­men des Cyber­se­cu­ri­ty Com­pli­ance Manage­ment zu betrach­ten­den Vor­ga­ben kann bei­spiels­wei­se der Schutz von Geschäfts­ge­heim­nis­sen und Know-how vor Wirt­schafts­spio­na­ge sein. Auch hier­bei gewinnt die Digi­ta­li­sie­rung z.B. bei der Nut­zung und dem Schutz von maschi­nen­ge­ne­rier­ten Daten an Bedeu­tung. Dar­über hin­aus drän­gen aktu­ell ver­mehrt IT-sicherheitsrechtliche Aspek­te sowie seit der Ein­füh­rung der Datenschutzgrund-Verordnung (DSGVO) Daten­schutz­ri­si­ken in den Vor­der­grund. Nach Art. 24 Abs. 1 i.V.m. Art. 32 Abs. 1 DSGVO sind Unter­neh­men bei der Ver­ar­bei­tung von per­so­nen­be­zo­ge­nen Daten dazu ver­pflich­tet, die­se ange­mes­sen zu schüt­zen. Ein kon­kre­ter Maß­nah­men­ka­ta­log wird durch die DSGVO jedoch nicht defi­niert, viel­mehr fällt die Aus­wahl ange­mes­se­ner Maß­nah­men in den Ver­ant­wor­tungs­be­reich der Unter­neh­men. Bedingt durch die digi­ta­le Trans­for­ma­ti­on der Auto­mo­bil­bran­che, gel­ten auch für Her­stel­ler und Zulie­fe­rer immer wei­ter gehen­de Regle­men­tie­run­gen.

Anfor­de­run­gen zur IT-Sicherheit kön­nen sich dar­über hin­aus bei­spiels­wei­se auch aus steu­er­recht­li­chen Vor­schrif­ten wie der Abga­ben­ord­nung (AO) erge­ben. Nicht zu unter­schät­zen sind auch mit­tel­ba­re Ver­pflich­tun­gen zur IT-Sicherheit, die sich bei­spiels­wei­se aus Pro­dukt­haf­tungs­an­sprü­chen oder dem Män­gel­ge­währ­leis­tungs­recht, das gera­de eine star­ke Refor­mie­rung durch die Digitale-Inhalte-Richtlinie  erfährt, ergeben.

Dane­ben fin­den sich abhän­gig von Bran­che oder Pro­dukt auch spe­zi­al­ge­setz­li­che Vor­ga­ben bei wirt­schaft­li­chen Tätig­kei­ten, die an ein erhöh­tes Risi­ko anknüp­fen. Der Gesetz­ge­ber erach­tet inso­weit den Schutz durch die all­ge­mei­nen Vor­schrif­ten nicht als aus­rei­chend und ver­langt daher in beson­ders gefähr­de­ten Berei­chen die Erfül­lung von höhe­ren Min­dest­stan­dards und kon­trol­liert die­se enger.

Ein Bei­spiel hier­für sind die gesetz­li­chen Vor­ga­ben für Betrei­ber kri­ti­scher Infra­struk­tu­ren, die nach § 8a Abs. 1 S. 1 BSIG “ange­mes­se­ne orga­ni­sa­to­ri­sche und tech­ni­sche Vor­keh­run­gen” zu tref­fen haben, soweit es sich um funk­ti­ons­kri­ti­sche Ele­men­te han­delt. Sie unter­lie­gen dar­über hin­aus gem. § 8a Abs. 3 BSIG einer enge­ren Kon­trol­le durch das Bun­des­amt für Infor­ma­ti­ons­si­cher­heit (BSI). Im Bereich der kri­ti­schen Infra­struk­tu­ren wird es mit dem IT-Sicherheitsgesetz 2.0, das sich der­zeit im Gesetz­ge­bungs­pro­zess befin­det, eine gan­ze Rei­he von rele­van­ten und weit­rei­chen­den Ände­run­gen ergeben.

Ein wei­te­res Bei­spiel – dies­mal aus dem Bereich Health­ca­re – sind digi­ta­le Gesund­heits­an­wen­dun­gen (DiGA) bzw. Gesundheits-Apps auf Rezept für die seit dem Inkraft­tre­ten des Digitale-Versorgung-Gesetzes (DVG) am 19.12.2019 eben­falls beson­de­re Rege­lun­gen geschaf­fen wur­den. DiGA bedür­fen einer Geneh­mi­gung durch das Bun­des­in­sti­tut für Arz­nei­mit­tel und Medi­zin­pro­duk­te (BfArM), die nach § 139e Abs. 2 S. 2 SGB V den Nach­weis erfor­dert, dass die digi­ta­le Gesund­heits­an­wen­dung “Daten­si­cher­heit nach dem Stand der Tech­nik” gewähr­leis­tet. Zur nähe­ren Bestim­mung hat das Bun­des­mi­nis­te­ri­um für Gesund­heit gemäß § 139e Abs. 9 SGB V die Digitale-Gesundheitsanwendungen-Verordnung (DiGAV) erlas­sen. Durch die DiGAV wer­den die Rege­lun­gen der DSGVO, z.B. bei Daten­über­mitt­lun­gen in Dritt­län­der, ver­schärft und über § 4 Abs. 1 DiGAV in Ver­bin­dung mit Anla­ge 1 umfang­rei­che Anfor­de­run­gen zur IT-Sicherheit gestellt.

Fazit und ers­te Schrit­te zur Cyber­se­cu­ri­ty Compliance

Auf­grund der der­zeit kom­pli­zier­ten Rechts­la­ge und teil­wei­se ver­steck­ter bzw. indi­rek­ter Ver­pflich­tun­gen zur IT-Sicherheit ist die Redu­zie­rung recht­li­cher Cyber-Risiken für Unter­neh­men eine wach­sen­de Her­aus­for­de­rung. Unter­neh­men soll­ten die­sem Risi­ko durch die Eta­blie­rung eines Cyber­se­cu­ri­ty Com­pli­ance Manage­ment begeg­nen. Hier­für set­zen wir gemein­sam mit unse­ren Man­dan­ten in der Regel die fol­gen­den Schrit­te um:

  • Anwend­ba­re Geset­ze und Ver­pflich­tun­gen für Unter­neh­men und Pro­dukt identifizieren
  • Vor­ga­ben für Cyber­se­cu­ri­ty ableiten
  • Risi­ko­ab­wä­gun­gen durchführen
  • Ein­heit­li­ches IT-Sicherheitskonzept erstel­len, anpas­sen und dokumentieren
  • Recht­li­che Wech­sel­wir­kun­gen berück­sich­ti­gen (z.B. Mel­de­pflich­ten, aber auch Geheim­nis­schutz)
  • IT-Sicherheitskonzept recht­lich absi­chern (z.B. durch Ver­trau­lich­keits­ver­pflich­tun­gen, aber auch Legal Inci­dent Respon­se)
  • Kon­ti­nu­ier­li­ches Moni­to­ring nach neu­en Vor­schrif­ten (Früh­erken­nung) und regel­mä­ßi­ge Kon­trol­le der Umsetzung
zurück

Bleiben Sie
up to date

Wir verwenden Ihre E-Mail-Adresse ausschließlich für den Versand unseres Newsletters. Sie können Ihre Einwilligung hierfür jederzeit mit Wirkung für die Zukunft widerrufen. Weitere Informationen entnehmen Sie bitte unserer Datenschutzerklärung.