Welche gesetzlichen Vorgaben sind wichtig?

In Zeiten fortschreitender digitaler Vernetzung und kontinuierlich steigender Internetkriminalität ist die Wahrung der IT-Sicherheit schon lange zu einem Hauptthema für Exekutive und Legistlative, die Wirtschaft sowie die Zivilgesellschaft avanciert. Dessen ungeachtet wird ihr in der täglichen Praxis noch lange nicht die notwendige Achtsamkeit entgegengebracht, was signifikante juristische Folgen nach sich ziehen kann. Welche gesetzlichen Vorschriften sowie Erlasse Unternehmen im Hinblick auf die IT-Sicherheit, kennen sowie beherzigen müssen, lernen Sie in unserem nachstehenden Text.

Dieser Tage sind die Betriebsfähigkeit sowie der Zukunftsfähigkeit eines Betriebes ohne die Nutzung einer leistungsstarken sowie hochverfügbaren IT-Umgebung nicht vorstellbar.

Entsprechend einer gegenwärtigen Auswertung von Riverbed sind heute 81 % der befragten Entscheider der Überzeugung, dass eine moderne IT-Infrastruktur Entwicklungspotential, Erfindungsreichtum und Unternehmensperformance begünstigt.

Obzwar die Verwendung neuer Systeme wichtige sowie fortschrittsermöglichende Nutzen für Unternehmen bereithält, münden diese häufig ebenso in einer wachsenden IT-Dependenz und erweitern so die Gefahr für modernste Cyberbedrohungen, fehlerhaften Konfigurationen und Verletzungen des Datenschutzes.

Aufgrund dessen ist inzwischen in sämtlichen Wirtschaftssegmenten eine stärkere staatliche Regulation der IT-Sicherheit festzustellen.

Hohe IT-Security durch staatliche Regulation!

Das Themenfeld IT-Security beschäftigt im Zusammenhang der zunehmenden Vernetzung der Arbeitswelt immer mehr Unternehmungen. Allerdings sind die betreffenden gesetzlichen Vorgaben an Unternehmungen anfangs nicht gerade leicht überschaubar.

Denn bis heute besteht kein Sammelgesetz, welches sämtliche Bestimmungen mit Bezug zur IT-Security bündelt. Eigentlich walten diverse verschiedenartige Gesetzesnormen gemeinsam, um Unternehmungen in die Pflicht zu nehmen, ein IT-Risikomanagement anzuwenden und in die Realisierung risikoangepasster IT-Securitymaßnahmen wie auch IT-Security Solutions zu investieren.

Wird dies indes verpasst, können im Kontext eines IT-Sicherheitsvorfalls neben gravierenden Rufschäden auch noch Geldbußen in großer Höhe fällig werden.

Allein im Jahre 2020 wurden in der Europäischen Union zusammen 160 Mio. Euro Bußgelder wegen Verstößen gegen die EU Datenschutzgrundverordnung fällig. Hierzulande ging das größte Bußgeld mit 35,3 Mio. € an das H&M Servicecenter in Nürnberg, das die persönlichen Lebenssituationen hunderter Angestellter ausgespäht haben soll.

Die entscheidenden Rechtsvorschriften zur IT-Security im Gesamtüberblick:

Im Zuge der immer schwerer werdenden Bedrohungslage sehen sich die Legislative ebenso wie Unternehmungen mehr und mehr in der Pflicht zu agieren. Zum einen entstehen neuartige sowie originelle IT-Security Solutions und Dienstleistungen, welche das Sicherheitsniveau erhöhen. Auf der anderen Seite werden verschärfte Anforderungen an eine betriebsinterne IT-Sicherheit formuliert, um IT-Gefahren durch elektronische, administrative, infrastrukturelle sowie personelle IT-Sicherheitsvorkehrungen zu verringern. Gesetze, die gerade die IT-Sicherheit anbelangen, haben im Zuge dessen schwerpunktmäßig das Ziel, die IT-Infrastruktur eines Geschäftsbetriebes vor Cyberattacken, fremdem Zugang sowie Missbrauch zu schützen. Normen, welche den Datenschutz anbelangen, haben die Intention, einen zuverlässigen Schutzmechanismus für Geschäftsdaten im Hinblick auf Nutzbarkeit, Vertraulichkeit, Integrität und Authentizität zu erreichen. Damit Geschäftsbetriebe gesetzeskonforme IT-Sicherheitsmaßnahmen realisieren können, sind unter anderem die nachstehenden Gesetze und Verordnungen für sie wesentlich:

  • das IT-Sicherheitsgesetz:
    Beim IT-Sicherheitsgesetz, kurz IT-SiG, handelt es sich um ein Artikelgesetz, das die Zielsetzung hat, die Integrität von Datensammlungen und IT-Umgebungen zu schützen und zu gewährleisten. Beim IT-Sicherheitsgesetz stehen primär die Provider systemrelevanter Infrastrukturen aus den Bereichen Strom- und Wasserversorgung, Finanzen oder Nahrung im Mittelpunkt. Solche Provider sind nach dem Gesetz in der Verpflichtung, ihre Geschäfts-IT angemessen zu schützen sowie min. alle 2 Jahre prüfen zu lassen. Dazu kommen Pflichten zur Meldung an das Bundesamt für Sicherheit in der Informationstechnik nach eingetretenen IT-Sicherheitsvorfällen.
  • die EU-Datenschutzgrundverordnung:
    Die EU-Datenschutzgrundverordnung ist wie das IT-SiG ein Artikelgesetz. Es verfolgt die Zielsetzung, in ganz Europa für deckungsgleiche Regularien zu sorgen, welche den Datenschutz betreffen. Dadurch wachsen die Erfordernisse an die Datenschutz-Compliance ebenso wie ein funktionales Datenschutz-Management-System. Die Regelungen des deutschen Datenschutzgesetzes, abgekürzt BDSG, ergänzen die europäische DSGVO, indem unterschiedliche Punkte konkretisiert werden.
  • das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich:
    Das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich, kurz KonTraG, zielt auf die Verbesserung der Grundlagen der Führung von Betrieben ab. Zudem sollen Betriebe angehalten werden, sich besonders mit dem Themenbereich IT-Risikomanagement zu befassen sowie in ein betriebsweites Früherkennungssystem zu investieren.
  • die Grundsätze zur ordnungsgemäßen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff:
    Bei den Grundsätzen zur ordnungsgemäßen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff, kurz GoBD, dreht sich alles um Vorgaben aus einer Anweisung des Finanzministeriums für die rechtskonforme Dokumentation in Geschäftsbetrieben. Die GoBD zielen darauf ab, dass Unternehmen, in welchen betriebliche Abläufe wie auch Buchführungs-, Aufzeichnungs- und Aufbewahrungspflichten gegeben sind, verschiedene Sorgfaltspflichten bei der Bearbeitung, Speicherung sowie Bereitstellung der Daten zu beachten. Trotzdem sollten alle Vorgaben durch ein unternehmensinternes System vollzogen werden. Ebenso ist eine Dokumentation als Beleg eines rechtmäßigen Systembetriebs verlangt.

Zusätzlich zu diesen vier relevanten rechtlichen Grundlagen sollten Firmen bei der Implementation einer risikoangemessenen IT-Sicherheitsstrategie noch die nachfolgenden Gesetze berücksichtigen:

Auch Rechtlichen Grundlagen zur IT-Sicherheit sichern Ihren Unternehmenserfolg!

Heute müssen Unternehmen hierzulande eine Vielzahl juristischer Pflichten mit Blick auf ihre IT-Sicherheit beherzigen, ansonsten können empfindliche Sanktionen drohen.

Folglich ist es elementar, dass sich Unternehmen frühzeitig mit den wesentlichen Gesetzen wie auch Verordnungen, welche die IT-Security anbelangen, beschäftigen.

Nur derart können sie eine kontinuierlich hohe IT-Sicherheit ebenso wie die benötigte IT-Compliance gewährleisten.

Sie sind Endkunde: Möchten Sie noch mehr über die rechtlichen Fragestellungen der IT-Sicherheit erfahren oder benötigen Sie einen externen IT-Sicherheitsbeauftragten? Sprechen Sie uns an!

Du bist IT-Dienstleister: Du bist an unserem Blogartikel Plus Abo interessiert? Dann freuen wir uns auf Deine Kontaktaufnahme per Mail an ingo.luecker@itleague.de.