News
Risikomanagementmaßnahmen besonders wichtiger und wichtiger Einrichtungen und Dokumentationsnachweis nach dem neuen BSIG
Das neue BSIG befindet sich auf der Zielgeraden des Gesetzgebungsverfahrens zur Umsetzung der NIS-2-Richtlinie. Im aktuellen Entwurf legt der dortige § 30 Abs. 1 Satz 1 BSIG fest, dass besonders wichtige und wichtige Einrichtungen verpflichtet sind, geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen (TOM) zu ergreifen, um u.a. Störungen der Verfügbarkeit, Integrität und Vertraulichkeit der IT-Systeme und Auswirkungen von Sicherheitsvorfällen möglichst gering zu halten. Betroffen von dieser Pflicht sind also etwa Unternehmen aus dem Bereich der digitalen Infrastruktur, wie z.B. Anbieter von Cloud-Computing-Diensten oder Betreiber öffentlicher Telekommunikationsnetze, wenn sie entgeltlich Waren oder Dienstleistungen anbieten, mindestens 250 Mitarbeiter beschäftigen oder einen Jahresumsatz von über 50 Mio. EUR und eine Jahresbilanzsummer von 43 Mio. EUR aufweisen und somit als besonders wichtige Einrichtungen gelten. Adressaten dieser Pflicht sind zudem wichtige Einrichtungen, zu denen u.a. Anbieter digitaler Dienste, wie beispielsweise Online-Marktplätze oder soziale Netzwerke gehören, wenn sie Waren oder Dienstleistungen entgeltlich anbieten und mindestens 50 Mitarbeiter oder einen Jahresumsatz und eine Jahresbilanzsummer von jeweils über 10 Mio. EUR aufweisen.
§ 30 Abs. 2 BSIG enthält eine nicht abschließende Liste von Maßnahmen, die als Mindestvorgaben zu verstehen sind. Welche TOMs letztlich zu implementieren sind, hängt allerdings von verschiedenen Faktoren ab, insbesondere von einer vorab durchzuführenden Risikoanalyse, bei der die Eintrittswahrscheinlichkeit und Schwere von Sicherheitsvorfällen, ihre Auswirkungen sowie einrichtungsbezogene Faktoren zu berücksichtigen sind. Als Mindestmaßnahmen nennt § 30 Abs. 2 BSIG u.a. Konzepte zur Risikoanalyse, Maßnahmen zur Bewältigung von Sicherheitsvorfällen, einen Plan zum Notfall- und Krisenmanagement, Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von IT-Systemen, oder Konzepte für die Zugriffskontrolle.
In § 30 Abs. 3 und 4 BSIG wird zudem festgelegt, dass erlassene Durchführungsrechtsakte der Europäischen Kommission zur Festlegung der technischen und methodischen Anforderungen für bestimmte Sektoren Vorrang gegenüber den Regelungen des BSIG aufweisen. Insofern kann es sein, dass diese europäischen Durchführungsrechtsakte z.B. strengere Regelungen enthalten.
Die Umsetzung dieser TOMs ist als Nachweis nach § 30 Abs. 1 Satz 3 BSIG durch die verpflichteten Einrichtungen zu dokumentieren. Eine Nachweispflicht ergibt sich aus § 39 Abs. 1 BSIG auch für Betreiber kritischer Anlagen. Ähnlich wie die DSGVO in Art. 5 Abs. 2 DSGVO erlegt der Gesetzgeber den Betreibern auch im BSIG eine Rechenschaftspflicht auf. Diese Verpflichtung verfolgt unter anderem den Zweck, die in § 61 f. BSIG vom Bundesamt für Sicherheit in der Informationstechnik (BSI) angeforderten Nachweise zur Erfüllung der Pflicht in § 30 Abs. 1 Satz 1 BSIG erbringen zu können. Das BSI wird in § 61 BSIG dazu ermächtigt, sich Nachweise über die Erfüllung von Audits und Prüfungen bezüglich der Umsetzung der Pflichten des § 30 Abs. 1 BSIG (Implementierung von TOMs) oder der Durchführung der Mängelbeseitigung von besonders wichtigen Einrichtungen zu verlangen. Allerdings legt § 61 Abs. 4 BSIG fest, dass das BSI nicht nach Belieben jede besonders wichtige Einrichtung dazu verpflichten kann, sondern vorab eine Risikoeinschätzung vornehmen muss, wobei das Ausmaß der Risikoexposition, die Größe der Einrichtung sowie die Eintrittswahrscheinlichkeit und Schwere von möglichen Sicherheitsvorfällen und ihre gesellschaftlichen und wirtschaftlichen Auswirkungen berücksichtigt werden muss. Nach § 61 Abs. 5 BSIG hat das BSI zudem das Recht, unabhängig von dieser Risikoeinschätzung, jederzeit bei besonders wichtigen Einrichtungen die Einhaltung der Anforderungen des BSIG zu prüfen und sich auf Verlangen die in Betracht kommenden Unterlagen vorlegen lassen kann. Auch gegenüber wichtigen Einrichtungen können solche Maßnahmen angeordnet werden, wenn es Anhaltspunkte dafür gibt, dass diese z.B. eine Pflicht nach § 30 Abs. 1 Satz 1 BSIG nicht umsetzen. Eine zeitliche Grenze für die Dauer der Aufbewahrung von Nachweisen wird im Gesetz nicht erwähnt, sodass sich eine langfristige Verwahrung der Dokumente empfiehlt.
Die Nichteinhaltung dieser Nachweispflichten stellt eine Ordnungswidrigkeit dar (§ 65 Abs. 2 Nr. 2 BSIG), die nach § 65 Abs. 5 Nr. 1 BSIG bei besonders wichtigen Einrichtungen mit einer Geldbuße von bis zu 10 Mio. EUR und bei wichtigen Einrichtungen mit einer Geldbuße von bis zu 7 Mio. EUR geahndet werden kann.
In Anlehnung an praktische Nachweise zur datenschutzrechtlichen Rechenschaftspflicht in Art. 5 Abs 2 DSGVO lässt sich auch die in § 30 Abs. 1 Satz 3 BSIG normierte Dokumentationspflicht durch folgende Nachweise erfüllen:
- Erstellung einer Liste der implementierten TOMs
- Benennung einer Verantwortlichkeitsstruktur des Unternehmens mit Verweis auf die Geeignetheit und Zuverlässigkeit der entsprechenden Stellen
- Implementierung von Unternehmensrichtlinien oder Organisationsanweisungen
- Schulungskonzepte und Nachweis über durchgeführte Schulungen von Mitarbeitern
- Checkliste, Merkblätter o.ä.
- Nachweis bereits erfolgter Behördenprüfungen
- Nachweis zu durchlaufenen Prüf- oder Zertifizierungsverfahren
- Unterlagen zu durchgeführten Audits (z.B. Auditberichte)
- Erfolgte Meldungen von Sicherheitsvorfällen
- Nachweis über behobene Sicherheitsvorfälle / Schwachstellen
- Nachweis über durchgeführte Testläufe
Empfehlungen für die Praxis:
Auch wenn das Gesetzgebungsverfahren zum neuen BSIG noch nicht abgeschlossen ist, sollten Unternehmen bereits jetzt Prozesse etablieren, um aktuelle Dokumentationsnachweise zu den TOMs erbringen zu können. Denn die hohen Bußgeldtatbestände zeigen die Wichtigkeit dieser Dokumentationspflichten auf, sodass auch mit der Verhängung empfindlicher Bußgelder zu rechnen ist. Zur Prävention empfiehlt sich deshalb unter anderem eine Bestandsaufnahme der bestehenden TOMs und einen Abgleich mit den Kriterien des § 30 Abs. 1 BSIG durchzuführen. Im Rahmen dieser Evaluation bietet es sich an, die oben genannten Dokumente, wie z.B. eine Liste der bestehenden TOMs oder Unterlagen zu durchgeführten Audits, zu erstellen.
News
Erneut Auszeichnung von der WirtschaftsWoche
Wir freuen uns, dass wir erneut durch die WirtschaftsWoche ausgezeichnet wurden.
Längere Speicherdauer für Daten bei Wahrnehmung der Aufgabe der internen Meldestelle durch Syndikusrechtsanwälte
Viele deutsche Unternehmen sind entweder schon jetzt oder spätestens ab Mitte Dezember 2023 dazu verpflichtet, eine interne Meldestelle für Hinweisgeber einzurichten. In einigen Fällen werden die Aufgaben der internen Meldestelle von Mitarbeitern aus der Rechtsabteilung wahrgenommen, die als Syndikusrechtsanwälte zugelassen sind. Geht bei einem solchen Unternehmen eine Hinweismeldung ein, so ist diese von den Syndikusrechtsanwälten der internen Meldestelle zu dokumentieren.
Generalanwalt am EuGH: Zur Geeignetheit von technisch organisatorischen Schutzmaßnahmen und dem Ersatz immateriellen Schadens bei einem Hackerangriff
Der Generalanwalt am EuGH hat am 27.4.2023 seine Schlussanträge im Verfahren C-340/21 über die Voraussetzungen des Ersatzes eines immateriellen Schadens und der Beweislast für die Geeignetheit von technisch organisatorischen Maßnahmen nach Art. 32 DSGVO (TOMs) im Zusammenhang mit einem Hackerangriff veröffentlicht. Das Verfahren weist einen für die Praxis wichtigen Bezug zu den Themen Datenschutz und IT Security auf, sodass die künftige Entscheidung des EuGH für die Umsetzung der TOMs durch den Verantwortlichen relevant sein wird.
Das EU-US Data Privacy Framework – neue Grundlage für den Datentransfer in die USA
Am 10. Juli 2023 hat die Europäische Kommission den Angemessenheitsbeschluss zum EU-U.S. Data Privacy Framework („DPF“) erlassen. Damit stellt die Kommission nach Art. 45 Abs. 1 DSGVO fest, dass die USA (genauer: jene Unternehmen, die sich dem Selbstzertifizierungsmechanismus des DPF unterwerfen und in der noch zu veröffentlichenden Liste genannt werden) ein angemessenes Schutzniveau bieten.
Cybersecurity-Beratung von Piltz Legal - Nun auch mit zertifiziertem IT-Sicherheitsbeauftragten
Aufgrund unserer digitalisierungsaffinen Beratungsstrategie haben wir bei Piltz Legal immer wieder viele Berührungspunkte mit technischen Fragestellungen und arbeiten mit Personen aus IT- und IT-Security-Abteilungen zusammen. Gerade im Kontext des IT- und IT-Sicherheitsrechts setzt die Beratung deshalb voraus, dass man im Zweifel „die Sprache“ auch der IT-Mitarbeiter nicht nur versteht, sondern auch spricht. Die ist unser Anspruch und Teil unserer Beratung.
Prof. Dr. Burghard Piltz & Dr. Carlo Piltz erneut ausgezeichnet
Wir freuen uns, dass Prof. Dr. Burghard Piltz & Dr. Carlo Piltz erneut vom Handelsblatt ausgezeichnet wurden.