IT-Sicherheit für Dummies. Rainer W. Gerling
Читать онлайн книгу.
Tabelle 3.1: Die expliziten gesetzlichen Vorgaben für Unternehmen bezüglich der Meldepflicht eines IT-Sicherheits- beziehungsweise Datenschutzvorfalls.
Das BSI hat auf Basis des § 8b Abs. 4 ein siebenseitiges Meldeformular erstellt, das sehr detailliert die Einzelheiten eines Vorfalls (»Angaben zur Störung«) erhebt. Auch die Datenschutzaufsichtsbehörden haben Papier- oder Web-Formulare zur Erhebung von meldepflichtigen Datenschutzverletzungen erstellt. Diese Formulare bieten Ihnen eine gute Orientierung für die Erstellung eigener, organisationsinterner Meldeformulare. Hierauf gehen wir in Kapitel 15 noch detailliert ein.
Die Meldepflichten sollen den Druck auf Unternehmen und Behörden erhöhen, die Vorgaben auch ernst zu nehmen. Hinzu kommt, dass das BSI regelmäßig Lagebilder zur Situation der IT-Sicherheit in Deutschland erstellt. Auch hierzu werden Daten über Vorfälle benötigt. Der Austausch von Informationen zu Vorfällen kann bisher nicht betroffenen Unternehmen helfen, sich selber besser aufzustellen. Der Austausch und das Voneinander-Lernen sind ein wesentlicher Aspekt der Verbesserung der Informationssicherheit, auf den wir im Kapitel 15 ausführlich eingehen.
Im Rahmen der Evaluierung der NIS-Richtlinie war die Europäische Kommission unzufrieden mit der Bandbreite der Umsetzungen der Meldepflicht in den verschiedenen Mitgliedsländern. Unternehmen, die in Ländern mit weniger stringenten Vorgaben ansässig sind, haben Wettbewerbsvorteile, da die weniger aufwendigen Meldevorgaben weniger Kosten verursachen. Unternehmen, die in mehreren Mitgliedsländern tätig sind, müssen die unterschiedlichen Meldepflichten beachten und haben dadurch Nachteile. Insofern will die Kommission die Vorgaben zur Meldepflicht stringenter fassen und damit vereinheitlichen.
Einhaltung von Sicherheitsstandards
Einzuhaltende Sicherheitsstandards werden vorgegeben, damit für Ihr Unternehmen oder Ihre Behörde zweifelsfrei klar ist, welche IT-Sicherheitsregeln eingehalten werden müssen. Die gesetzlichen Vorgaben sind sehr knapp und abstrakt, damit sie nicht zu häufig an technische Entwicklungen angepasst werden müssen.
Zur Konkretisierung werden sowohl im BSI-Gesetz (§ 8a Abs. 2) als auch in der DS-GVO (Art. 40 Abs. 2 lit. h) branchenspezifische IT-Sicherheitsstandards (kurz B3S) vorgesehen. Diese Standards müssen vom BSI beziehungsweise den Datenschutzaufsichtsbehörden genehmigt werden. Das BSI bezieht sich bei Vorgaben natürlich gerne auf seinen eigenen Standard, den IT-Grundschutz (siehe Kapitel 8).
Die DS-GVO schreibt in Art 40 Abs. 4 DS-GVO vor, dass die Standards (in der deutschen Fassung der DS-GVO unglücklich »Verhaltensregeln« genannt) zwingend Regelungen zur »obligatorischen Überwachung der Einhaltung ihrer Bestimmungen durch die Verantwortlichen oder die Auftragsverarbeiter, die sich zur Anwendung der Verhaltensregeln verpflichten« enthalten müssen. Die Verhaltensregeln können neben dem technisch-organisatorischen Vorgehen auch die rechtlichen Rahmenbedingungen für die Verarbeitung personenbezogener Daten konkretisieren und gestalten. Eine Verhaltensregel zur IT-Sicherheit und zum technisch-organisatorischen Datenschutz sollte unabhängig von den anderen materiell-rechtlichen Regelungsbereichen sein. Dadurch werden die Zeitskalen für erforderliche Aktualisierungen getrennt. Technik entwickelt sich im Allgemeinen schneller als rechtliche Vorgaben.
Mit dem § 75b wurde Ende 2019 eine Vorschrift zur Sicherstellung der IT-Sicherheit in ärztlichen, psychotherapeutischen und zahnärztlichen Praxen in das SGB V aufgenommen. Danach müssen von den Kassenärztlichen Bundesvereinigungen »Richtlinien zur IT-Sicherheit in der vertragsärztlichen und vertragszahnärztlichen Versorgung« erstellt werden. Diese wörtlich identischen Richtlinien sind Anfang 2021 in Kraft getreten.
Der etwas später in das SGB-V eingefügte § 75c macht Vorgaben zur IT-Sicherheit in Krankenhäusern, die nicht unter die KRITIS-Regeln fallen (das sind kleinere Krankenhäuser mit weniger als 30.000 stationären Aufnahmen pro Jahr). Diese Vorgaben müssen seit dem 1. Januar 2022 von den kleineren Krankenhäusern eingehalten werden.
Damit sind im medizinischen Bereich rechtliche Vorgaben zur IT-Sicherheit von der kleinsten Praxis bis zum größten Universitätsklinikum vorhanden. Die Vorgaben sind nicht einheitlich und leider über zwei Gesetze verteilt. Auf Dauer ist es nicht sinnvoll, die rechtlichen Vorgaben zur IT-Sicherheit in branchenspezifische Spezialgesetze wie zum Beispiel das SGB V zu schreiben. Es ist besser, wie auch im Datenschutz, sie in einem Gesetz branchenübergreifend zu bündeln.
Neuere Gesetze (zum Beispiel das TKG) werden in ihren Vorgaben deutlich konkreter. Im Bereich Telekommunikation kann die Bundesnetzagentur in Abstimmung mit dem BSI und dem Bundesbeauftragten für Datenschutz und Informationsfreiheit einen »Katalog von Sicherheitsanforderungen für das Betreiben von Telekommunikations- und Datenverarbeitungssystemen sowie für die Verarbeitung personenbezogener Daten« (§ 167 TKG) festlegen. Falls Sie sich wundern, dass die Datenschutzaufsichtsbehörden der Länder außen vor sind: Die Datenschutzaufsicht im Telekommunikationsbereich ist schon länger beim BfDI angesiedelt.
Für Betreiber öffentlicher Telekommunikationsnetze und Anbieter