Cyber-Wettlauf

IT-Sicherheit stellt Unternehmen vor enorme Herausforderungen. Die technische Abhängigkeit wächst. Cyberangriffe oder sonstige IT-Sicherheitsvorfälle können für Unternehmen existenzbedrohend sein. Zudem bereitet die rechtzeitige Umsetzung der regulatorischen Anforderungen oftmals Kopfzerbrechen.

Aitava unterstützt Sie, Ihr Unternehmen auf die aktuellen Herausforderungen und regulatorischen Anforderungen vorzubereiten und Schadensrisiken effizient zu minimieren.

Gesetzliche Vorschriften

BSIG / NIS2-Richtlinie

  • NIS 2 (EU-Richtlinie 2022/2555 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union) ist bis 17.10.2024 umzusetzen und führt zu umfassender Neugestaltung u.a. des BSI-Gesetzes (BSIG)
  • Erweiterung des Anwendungsbereichs auf Unternehmen mit mind. 50 Beschäftigten oder über 10 Mio. EUR Jahresumsatz bzw. Jahresbilanzsumme; daneben größenunabhängige Sonderfälle
  • Enormer Pflichtenkatalog zur Ergreifung von Maßnahmen, auch hinsichtlich der Supply Chain
  • Erweiterte Meldepflichten bei Sicherheitsvorfällen mit konkreten Fristen
  • Cybersicherheit als Aufgabe der Unternehmensleitung; Management kann bei Verstößen persönlich verantwortlich gemacht werden
  • Bußgelder bis zu EUR 10 Mio. bzw. 2 % des weltweiten Vorjahresumsatzes

Cyber Resilience Act

  • Wird ab 2027 Anwendung finden
  • Anwendungsbereich: Produkte mit digitalen Elementen; verpflichtete Personen: Hersteller, Händler und Importeure
  • Hohe Anforderungen an die Cybersicherheit bei Markteinführung von Produkten
  • Überwachung digitaler Produkte während des gesamten Lebenszyklus
  • Bereitstellung kostenloser Updates
  • Meldung von Cybervorfällen an die EU-Cybersicherheitsbehörde ENISA
  • Verpflichtendes Konformitätsverfahren bei kritischen Produkten
  • Bußgelder bis zu 15 Mio. Euro bzw. 2,5 % des Vorjahresumsatzes

Digital Operational Resilience Act (DORA)

  • Bis 17.01.2025 durch die Finanzbranche umzusetzen
  • Verpflichtet werden Finanzunternehmen und sog. kritische IKT-Dienstleister (z.B. systemrelevante Cloud-Provider), letztere werden künftig direkt von EBA, ESMA oder EIOPA überwacht
  • Zahlreiche Pflichten, die über die bisherigen aufsichtsrechtlichen Vorgaben (MaRisk, BAIT, KAIT, ZAIT, VAIT, etc.) hinausgehen, insbesondre beim IKT-Risikomanagement, der Klassifizierung und Meldung von Sicherheitsvorfällen sowie Testen der Maßnahmen
  • Erweiterte Pflichten beim Management von Risiken aus der Nutzung von IKT-Dienstleistern – betrifft praktisch alle IT-Leitungen Dritter, nicht nur Outsourcing
  • Die Aufsicht kann zahlreiche Maßnahmen zur Beseitigung von Verstößen treffen, u.a. die Nutzung bestimmter IKT-Leistungen von IKT-Dienstleistern untersagen

Weitere Beispiele sektorspezifischer Pflichten

  • Diverse regulatorische Vorgaben an die IT-Sicherheit im Gesundheitswesen, u.a. für Krankenhäuser (§ 391 SGB V) und gesetzliche Krankenkassen (§ 392 SGB V) sowie für Anwendungen, Komponenten und Dienste, z.B. bei digitalen Gesundheitsanwendungen (§ 139e Abs. 2 S. 2 Nr. 2, Abs. 10 SGB V, § 4 DiGAV, TR-03161 des BSI), der Telematikinfrastruktur (§§ 306 Abs. 3, 311, 325, 327, 330 SGB V und Vorgaben der gematik) und Cloud-Diensten (§ 393 SGB V)
  • Pflicht zu angemessenen technischen und organisatorischen Vorkehrungen im Bereich des Telekommunikationsrechts zum Schutz des Fernmeldegeheimnisses, personenbezogener Daten und der Sicherheit der Telekommunikationsnetze- und dienste (§§ 165, 167 TKG sowie der von der BNetzA festgelegte Katalog von Sicherheitsanforderungen)
  • Pflicht zu angemessenen technischen und organisatorischen Vorkehrungen durch Anbieter digitaler Dienste zum Schutz von Informationen der Nutzer und der Sicherheit des Dienstes (§ 19 TDDDG)

DSGVO

  • Pflicht zur Ergreifung geeigneter technischer und organisatorischer Datensicherheitsmaßnahmen (Art. 32 DSGVO)
  • Dokumentation der ergriffenen Maßnahmen erforderlich
  • Verantwortlicher muss die Sicherheitsmaßnahmen seiner Auftragsverarbeiter nachvollziehen, dokumentieren und überprüfen
  • Meldepflichten an Aufsichtsbehörden und ggf. Betroffene bei bestimmten Sicherheitsvorfällen
  • Stellungnahmen und Publikationen von Datenschutzaufsichtsbehörden, mit Konkretisierung bestimmter Mindeststandards, zu berücksichtigen
  • Bußgelder bis EUR 20 Mio. bzw. 4 % des weltweit Vorjahresumsatzes

… und viele weitere Anforderungen. Horizontal und sektoral.

  • Aitava bringt Klarheit in das Dickicht und unterstützt bei allen Fragen rund um IT-Sicherheit und Datenschutz.
  • Wir beseitigen Stolpersteine und treiben die Entwicklung von Best Practices voran. Wir können auf langjährige technische und rechtliche Beratungserfahrung im regulierten IT-Umfeld zurückgreifen.
Cybersicherheit ist Managementaufgabe. Cyberrisiken können das Kerngeschäft des Unternehmens gefährden.

Vorbeugung von Cyberrisiken

Vertragsgestaltung

Mit vertraglichen Regelungen sollen im Innenverhältnis zwischen zwei oder mehreren Vertragsparteien IT-Sicherheitsrisiken (u.a. Haftungs-, Compliance- und Beweisrisiken) allokiert und Rechtsunsicherheiten verringert werden. Eine besondere Herausforderung ist oftmals das Spannungsverhältnis zwischen individuellen (ggf. regulatorisch bedingten) Kundenanforderungen und standardisierten Prozessen und Vertragsbedingungen der IT-Dienstleister.

Aitava unterstützt bei sämtlichen Vereinbarungen rund um IT-Sicherheit und Datenschutz. Vom One-Pager bis zum 250-Seiter. Und darüber hinaus.

IT-Sicherheitsstandards

Der „Stand der Technik“ ist der zentrale Begriff im IT-Sicherheitsrecht. Dieser muss durch technische Normen (u.a. ISO / IEC 27001) bestimmt werden. Je nach Anwendungsfall sind zudem Branchenspezifischer Sicherheitsstandard (B3S) und Behördenmitteilungen zu beachten. Die Ermittlung und Prüfung der einschlägigen IT-Sicherheitsstandards bereitet technische und rechtliche Herausforderungen.

Aitava hilft Ihnen. Interdisziplinär. Aus einer Hand.

Schulungen

Aitava bietet unternehmensspezifische Schulungen auf höchstem Niveau. Wir vermitteln Ihnen in kompakten, maßgeschneiderten Einheiten die für Ihr Unternehmen passenden Kompetenzen. Wir geben Ihnen wichtige Impulse und zeigen Ihnen Best Practices, die Sie 1:1 eigenständig umsetzen und weiterentwickeln können.

Wir richten uns nach Ihren individuellen Bedürfnissen: Vom Einstiegsworkshop bis zur Vertiefung von Spezialthemen. Vor Ort und virtuell. Sehr gerne interaktiv. Mit Leidenschaft für die Materie.

Notfallvorbereitung

Gute Vorbereitung ist die halbe Miete. Unternehmen sollten sich so aufstellen, dass die maßgeblichen Personen, insb. im Management und auch in der Lieferkette, optimal für den Ernstfall vorbereitet sind. Damit alle wissen, was zu tun ist. Dies gilt für Cyberangriffe und Datenschutzvorfälle gleichermaßen.

Aitava unterstützt Sie umfassend dabei, einen Notfallplan zu entwickeln, zu verproben und nachzuhalten. Ein Notfallplan ist nur so gut wie seine tatsächliche Umsetzung. Durch unsere jahrelange Praxiserfahrung zu Cyber-Risk-Themen kennen wir die alltäglichen organisatorischen, technischen und rechtlichen Fallstricke. Wir liefern Ihnen wichtige Impulse. Pragmatisch und persönlich.

Unterstützung bei Notfällen

Ob Hackerangriff oder Data Breach – oft muss sehr schnell gehandelt werden.  Dies betrifft je nach Notfall:
  • Identifizierung und Abwehr von akuten Gefahren
  • Schutz von Backups
  • Umfassende Beweissicherung
  • Erhalt der geschäftskritischen Prozesse
  • Rechtzeitige Meldung u.a. gegenüber Behörden
  • Krisenkommunikation intern und extern, insb. Abstimmung mit Polizei, Versicherung und Vertragspartnern
  • Maßnahmen gegenüber Angreifern
  • Geltendmachung von Ansprüchen

Aitava unterstützt Sie umfassend bei Notfällen. Damit alle konkret notwendigen Krisenmaßnahmen zum richtigen Zeitpunkt ergriffen werden. Ohne den Gesamtblick zu verlieren.

Wir sind für Sie da

Wir unterstützen Sie bei Fragen rund um IT-Sicherheit.

AI & Data

Vorsprung bedeutet, Handlungsmöglichkeiten frühzeitig zu kennen. Aitava ist spezialisiert auf die Beratung rund um Künstliche Intelligenz und Datenökonomie.

IT & Cloud

Wir vereinen juristische und technische Expertise zu Software- und Cloud-Projekten sowie IT-Outsourcing und Datenschutz.