News
Pflicht zum Einsatz von Systemen zur Angriffserkennung für Betreiber kritischer Infrastruktur gilt seit dem 1. Mai 2023
Seit dem 1. Mai 2023 sind Betreiber von kritischer Infrastruktur und Betreiber von Energieversorgungsnetzen und Energieanlagen, die als Kritische Infrastruktur gelten, gesetzlich gemäß § 8a Abs. 1a BSIG und § 11 Abs. 1e EnWG dazu verpflichtet, Systeme zur Angriffserkennung einzusetzen und dem Bundesamt für Sicherheit in der Informationstechnik (BSI) alle zwei Jahre Nachweise darüber zu liefern (vgl. § 8a Abs. 3 BSIG).
„Systeme zur Angriffserkennung“ sind nach der Definition in § 2 Abs. 9b BSIG durch technische Werkzeuge und organisatorische Einbindung unterstützte Prozesse zur Erkennung von Angriffen auf informationstechnische Systeme. Die eingesetzten Systeme nutzen kontinuierlich geeignete Parameter und Merkmale aus dem laufenden Betrieb und erfassen die Auswertungen automatisch. Damit sollen Bedrohungen stets identifiziert und abgewendet werden können. Unter Angriffskennungssysteme fallen sowohl technische als auch organisatorische Maßnahmen, die zur Erkennung dienen.
Betreiber Kritischer Infrastrukturen sind verpflichtet, Systeme zur Angriffserkennung nach dem geltenden Stand der Technik einzusetzen. Betreibern von Energieversorgungsnetzen und Energieanlagen, die zur kritischen Infrastruktur zählen (§ 11 Abs. 1f EnWG) sind verpflichtet, ihre Anlagen zu registrieren und eine Kontaktstelle zu benennen. Zudem sind technische Störungen dem BSI zu melden.
Anforderungen an die Systeme zur Angriffserkennung
Das BSI hat eine Orientierungshilfe zum Einsatz von Systemen zur Angriffserkennung veröffentlicht (PDF). Dort beschreibt das BSI, welche Anforderungen an derartige Systeme gestellt werden. Im Wesentlichen basiere die technische Funktionalität eines solchen Systems auf Abläufen, die sich den Bereichen Protokollierung, Detektion und Reaktion zuordnen lassen. Das BSI empfiehlt hierbei den Unternehmen ganz grundsätzlich, ein (Informations-)Sicherheitsmanagementsystem (ISMS) zu etablieren.
Hinsichtlich der Protokollierung verlangt das BSI, dass der Betreiber alle zur wirksamen Angriffserkennung auf System- bzw. Netzebene notwendigen Protokoll- und Protokollierungsdaten erheben, speichern und für die Auswertung bereitstellen muss, um sicherheitsrelevante Ereignisse erkennen und bewerten zu können. Natürlich gibt es hierbei auch Überschneidungen zum Datenschutzrecht, etwa wenn in den protokollierten Daten IP-Adressen enthalten sind. Auch das BSI geht davon aus, dass die Protokollierung teilweise auch datenschutzrechtlich relevante Datensätze beinhalten kann. Eventuell ist in der Praxis auch eine (teilweise) Anonymisierung bzw. Pseudonymisierung der Protokoll- und Protokollierungsdaten möglich.
Nachweispflicht
Für verpflichtete Stellen besteht eine Nachweispflicht. Alle zwei Jahre müssen regulierte Bertreiber dem BSI ihre Nachweise vorlegen. Zusätzlich sind Erläuterungen zu den Umsetzungen, wie die Angriffserkennungssysteme eingesetzt werden, beizufügen. Auch Betreiber von Energieversorgungsnetzen und Energieanlagen, die als Kritische Infrastruktur gelten, unterliegen der Nachweispflicht und haben zum 1. Mai 2023 erstmalig ihren Einsatz von Angriffserkennungssysteme darzustellen und ab dann alle zwei Jahre.
Den Nachweis hat der jeweilige Genehmigungsinhaber zu erbringen. Die Pflicht kann nicht auf die Betriebsführung übergeben werden, auch wenn die Betriebsführung ausgelagert wurde.
Formulare für den verpflichtenden Nachweis
In den Formularen zur Erbringung von Nachweisen für Betreiber von kritischer Infrastruktur können die Angaben über den Einsatz von Systemen zur Angriffserkennung in den neu eingefügten Abschnitten erbracht werden. Für Betreiber von Energieversorgungsnetzen und von solchen Energieanlagen, die als Kritische Infrastruktur gelten, wurden eigene Formulare veröffentlicht. Bisher können die Nachweise über den Einsatz von Systemen zur Angriffserkennung per E-Mail versendet werden.
Fristverlängerung
Eine Fristverlängerung um wenige Woche kann mit Begründung beim BSI angefragt werden, wenn der Beweis geführt werden kann, dass es durch Änderungen der Prüfmodalitäten auf Seite des BSI zu einer Verzögerung gekommen ist.
Hilfreiche Informationen finden sich auch in den FAQ des BSI.
News
Musterverträge für internationale Geschäfte
Bei dem Münchner Verlag C.H.Beck ist die erste, von unserem Partner Prof. Dr. Burghard Piltz herausgegebene Edition zu Musterverträgen für das internationale Handels- und Vertriebsrecht erschienen.
Neue Orientierungshilfe der Datenschutzkonferenz zum Einsatz von Cookies und ähnlichen Technologien
Heute am 21. Dezember 2021 wurde von der Datenschutzkonferenz (DSK) die neue Orientierungshilfe für Anbieter:innen von Telemedien ab dem 1. Dezember 2021 (OH Telemedien 2021) veröffentlicht. Durch die Orientierungshilfe versucht die Datenschutzkonferenz, zahlreiche Fragen zu klären, die sich vor allem im Bezug auf die Anwendung des § 25 TTDSG stellen, der den Umgang mit Cookies und ähnlichen Tracking-Technologien regelt. Auch wenn uns das Papier in den kommenden Wochen und Monaten noch vielseitig beschäftigen wird, möchten wir Ihnen im Folgenden einen kurzen Überblick zu den aus unserer Sicht wichtigsten Aussagen geben:
Österreichisches BVwG: Wechsel der Rechtsgrundlage der Datenverarbeitung ist zulässig
Kann sich ein Verantwortlicher auf eine andere Rechtsgrundlage als Rechtfertigung für die Datenverarbeitung berufen, nachdem die zugrundeliegende Einwilligungserklärung von einer Behörde für ungültig erklärt wurde?
Die 3G-Pflicht am Arbeitsplatz kommt! – Datenschutzrechtliche ToDos
Heute am Mittwoch, den 24. November 2021, ist es soweit: Die 3G-Regel (geimpft, genesen, getestet), die uns seit Monaten im täglichen Leben begleitet, gilt auch am Arbeitsplatz. Die Umsetzung der neuen Regeln werfen selbstverständlich auch einige datenschutzrechtliche Fragen auf. Anhand der FAQs zum betrieblichen Infektionsschutz des Bundesministeriums für Arbeit und Soziales (BMAS) haben wir den folgenden Beitrag zum neuen Infektionsschutzgesetz (IfSG) und die daraus resultierende 3G-Nachweispflicht am Arbeitsplatz für Sie zusammengefasst.
Webinar von Piltz Legal: Der neue § 25 TTDSG – Dos and Don'ts
Achtung: nur noch Plätze auf der Warteliste verfügbar
Piltz Legal organisiert am 22.11.2021 ein weiteres Webinar zu einem der aktuell wichtigsten datenschutzrechtlichen Themen: dem am 1.12.2021 in Kraft tretenden TTDSG. Wir freuen uns, bei diesem Webinar Frau Dr. Herbort von der Berliner Beauftragten für Datenschutz und Informationsfreiheit als Gast und Diskussionsteilnehmerin begrüßen zu dürfen.
Webinar von Piltz Legal: Der neue § 25 TTDSG – Anwendungsbereich, Ausnahmen von der Einwilligungspflicht und behördliche Zuständigkeiten
Piltz Legal organisiert am 4.11.2021 ein Webinar zu einem der aktuell wichtigsten datenschutzrechtlichen Themen: dem am 1.12.2021 in Kraft tretenden TTDSG. Besonders freuen wir uns, bei diesem Webinar Frau Dr. habil. Silke Jandt von der Landesbeauftragten für den Datenschutz Niedersachsen als Gast und Diskussionsteilnehmerin begrüßen zu dürfen.