Aktuelles, Branche - geschrieben von cp am Freitag, September 2, 2016 23:42 - noch keine Kommentare
NIS-Richtlinie und GDPR: Neuer Leitfaden zur Begegnung der Herausforderungen für Unternehmen
Aktuelle Gesetzgebung der Europäischen Union zur Cyber-Sicherheit begründet Handlungsbedarf
[datensicherheit.de, 02.09.2016] In Europa stehen derzeit zwei wichtige neue Gesetze für IT-Sicherheit und Privatsphäre im Rampenlicht – die Richtlinie zur Netz- und Informationssicherheit (NIS) und die Datenschutz-Grundverordnung (GDPR). Mit diesen Gesetzen verschärfe die EU die Sicherheitsanforderungen für potenziell jedes Unternehmen, das sein Geschäft in Europa betreibt, und lege auch den Grundstein für eine verstärkte Durchsetzung der Benachrichtigungspflicht bei sicherheitsrelevanten Vorfällen. Palo Alto Networks stellt einen Leitfaden zur Verfügung, wie sich Unternehmen auf die beschlossenen Regelungen und Vorschriften vorbereiten können.
Herausforderung für Unternehmen
Die GDPR gelte für Unternehmen, auch wenn diese außerhalb Europas ansässig sind, und beinhalte erhöhte mögliche Strafen von bis zu vier Prozent des jährlichen weltweiten Umsatzes. Insbesondere forderten beide Gesetze von den Unternehmen „angemessene Sicherheitsmaßnahmen“ auf dem „Stand der Technik“ im Hinblick auf ihre Risiken, persönliche Daten sowie den Schutz von Netzen und Informationssystemen.
Im Rahmen der NIS-Richtlinie müssten Unternehmen den Behörden Cyber-Sicherheitsvorfälle melden, wenn diese einen signifikanten oder wesentlichen Einfluss auf die Bereitstellung oder Kontinuität ihrer Dienste haben. Entsprechend der GDPR müssten Unternehmen den zuständigen Behörden alle Verletzungen der persönlichen Daten mitteilen, es sei denn, es sei unwahrscheinlich, dass die Verletzung in einem Risiko für die Rechte und Freiheiten des Einzelnen resultiere.
Gültigkeit der NIS-Richtlinie
Die NIS-Richtlinie müsse bis zum 10. Mai 2018 von den EU-Mitgliedstaaten in ihre nationale Gesetzen übernommen und angewandt werden. Bis zu diesem Zeitpunkt würden die Unternehmen über die spezifischen Anforderungen unterrichtet sein, die in ihrem Mitgliedstaat angewandt und durchgesetzt werden.
Die NIS-Richtlinie gelte für bestimmte Unternehmen, nämlich die Betreiber von grundlegenden Diensten und für digitale Dienstleister:
- Zu Betreibern von grundlegenden Diensten zählten Unternehmen in den Bereichen Transport, Energie und Gesundheitswesen. Die Mitgliedstaaten seien dafür verantwortlich, die Unternehmen in diesen Kategorien zu identifizieren.
- Digitale Serviceprovider seien Unternehmen, die eine der drei Leistungen erbringen: Cloud-Computing-Services, Online-Marktplätze oder Online-Suchmaschinen.
Relevanz der GDPR
Die GDPR gelte für Unternehmen, die eines der folgenden Kriterien erfüllen:
- Ansässigkeit in der EU,
- Angebot an Waren oder Dienstleistungen richtet sich an EU-Bürger,
- Erfassung des Verhaltens der EU-Bürger innerhalb der Europäischen Union.
Die GDPR sei eine Verordnung, und als solche müssten die Mitgliedstaaten
nationale Gesetze hierzu verabschieden, um sie umzusetzen. Die
Unternehmen müssten der Regelung bis zum 25. Mai 2018 nachkommen.
Identifizierungsprozess starten!
Angesichts der Tiefe der Gesetze werde das Etablieren oder Verfeinern der Cyber-Sicherheitspraktiken in Übereinstimmung mit der NIS-Richtlinie und der GDPR einen funktionsübergreifenden Prozess notwendig machen, der sich über viele Monate erstrecken könne. Führungskräfte sollten daher proaktiv handeln und einen Identifizierungsprozess starten, wie sich die Praxis unverzüglich mit den Gesetzen in Einklang bringen lasse.
Herausforderungen als Chance nutzen!
Die NIS-Richtlinie und die GDPR könnten Unternehmen als Chance nutzen, um Cyber- und Datenschutzrisiken mit einem neuen Ansatz zu verwalten, indem sie den Fokus auf Prävention verlagerten und globale Quellen von Bedrohungsdaten nutzten, um ihre kritischen Informationsbestände zu schützen.
Um diesen Prozess zu beginnen, sollten sich die Verantwortlichen für Informationssicherheit und Datenschutz im Unternehmen die folgenden Fragen stellen:
a) Gelten die NIS-Richtlinie und die GDPR für unser Unternehmen?
b) Wurden bereits Verantwortliche für die Einhaltung dieser Gesetze identifiziert?
c) Wie bestimmen wir, was der Stand der Technik („State-of-the-Art“) für unser Unternehmen ist?
d) Haben wir bereits das Risiko für unsere Daten oder unsere Systeme beurteilt?
Handlungsdruck für die Entscheiderebene
Die Entscheiderebene in den Unternehmen wird aufgerufen, mit dem Datenschutzbeauftragten, dem CISO und dem CIO über zeitgemäße Maßnahmen zu sprechen, um die persönlichen Daten der EU-Bürger sowie sensible Geschäftsdaten zu schützen.
Ferner sei die Rechtsabteilung zu konsultieren, um festzustellen, ob das Unternehmen entweder von der NIS-Richtlinie oder der GDPR bzw. von beiden betroffen ist.
Zudem sollte die eigene Fähigkeit bestimmt werden, diesen Gesetzen nachzukommen und die Umsetzung der Gesetze in den EU-Ländern, in denen Geschäfte gemacht werden, zu verfolgen.
Aktuelles, Experten, Veranstaltungen - Okt 2, 2024 18:15 - noch keine Kommentare
Incident Response in Industrie-Unternehmen: Online-Veranstaltung am 16. Oktober 2024
weitere Beiträge in Experten
- Cyber-Sicherheit industrieller Anlagen: Internationales OT-Grundsatzpapier veröffentlicht
- BKA-II Entscheidung: BfDI begrüßt Klarheit für geplante Modernisierung polizeilicher Computersysteme
- BKA II: Bundesverfassungsgericht hat laut DAV wichtige Grenzen gesetzt
- EAID-Online-Diskussion: Cybersecurity und Datenschutz im globalen Spannungsfeld
- Cybercrime: BKA meldet erfolgreichen Schlag gegen Infrastruktur digitaler Geldwäscher der Underground Economy
Aktuelles, Branche - Okt 4, 2024 18:53 - noch keine Kommentare
Microsoft-E-Mails: Tausende verschiedener Fälschungen im Umlauf
weitere Beiträge in Branche
- Hacker nehmen verstärkt Rentner ins Visier
- Von NIS zu NIS-2 – neue Herausforderungen speziell für Unternehmen Kritischer IT-Infrastruktur
- Satnam Narang kommentiert Schwachstellen im CUPS-Drucksystem
- Telegram: Lothar Geuenich plädiert für Balance zwischen Sicherheit und Verantwortung
- Über 76.000 Geräte von Kritischer Remote-Code-Schwachstelle in CUPS betroffen
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren