Aktuelles, Experten, Studien - geschrieben von dp am Mittwoch, Juni 13, 2018 20:13 - noch keine Kommentare
Stand der Technik: TeleTrusT veröffentlicht revidierte und erweiterte Handreichung
Technische und organisatorische Maßnahmen im Kontext der DSGVO und des IT-Sicherheitsgesetzes
[datensicherheit.de, 13.06.2018] Zum „Stand der Technik“ hinsichtlich Datensicherheitsfragen gemäß IT-Sicherheitsgesetz und DSGVO hat der Bundesverband IT-Sicherheit e.V. (TeleTrusT) eine revidierte und erweiterte Handreichung veröffentlicht. Mit dem „Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme“ (IT-Sicherheitsgesetz / ITSiG) verfolgt der Gesetzgeber demnach das Ziel, Defizite der Sicherheit informationstechnischer Systeme abzubauen. Daneben gilt seit dem 25. Mai 2018 die EU-Datenschutz-Grundverordnung (DSGVO) mit ihren hohen Anforderungen an die technischen und organisatorischen Maßnahmen. Beide Rechtsquellen fordern die Orientierung der IT-Sicherheit am sogenannten Stand der Technik, lassen aber laut TeleTrusT unbeantwortet, was im Detail darunter zu verstehen ist.
Detaillierung technischer Anforderungen und Bewertungskriterien erforderlich
Der TeleTrusT hat nach eigenen Angaben seine Handreichung zum Stand der Technik überarbeitet und im Lichte neuer Erkenntnisse erweitert. Täglich zeigten Meldungen zu Sicherheitsverletzungen in Unternehmen und Behörden, dass dringender Handlungsbedarf zur Verbesserung der IT-Sicherheit bestehe.
Artikel 32 DSGVO regelt zur „Sicherheit der Verarbeitung“, dass „unter Berücksichtigung des Standes der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen zu treffen sind.
Damit solle ein dem Risiko angemessenes Schutzniveau gewährleistet werden, z.B. durch Maßnahmen wie Verschlüsselung. Sowohl der nationale als auch der europäische Gesetzgeber enthielten sich jedoch konkreter, detaillierter technischer Anforderungen und Bewertungskriterien für die sicherheitsrelevanten technischen und organisatorischen Maßnahmen. Den Gesetzesadressaten würden auch keinerlei methodische Ansätze geliefert. Diese Ausgestaltung, zumal in einem dynamischen Marktumfeld, müsse den Fachkreisen überlassen bleiben.
Hilfestellung zur Bestimmung des Standes der Technik
TeleTrusT möchte die Rechtslage mit der fachlichen Kompetenz der organisierten IT-Sicherheitswirtschaft in Deutschland flankieren und ergänzen. Eine eigene Expertengruppe habe die bestehende „TeleTrusT-Handreichung zum Stand der Technik“ überarbeitet und ergänzt. Dieses Dokument gebe konkrete Hinweise und Handlungsempfehlungen.
„Unsere Handreichung zum Stand der Technik soll Unternehmen, Anbietern und Dienstleistern Hilfestellung zur Bestimmung des ,Standes der Technik‘ im Sinne des IT-Sicherheitsgesetzes und der Datenschutz-Grundverordnung geben. Das Dokument kann dabei als Referenz für vertragliche Vereinbarungen, Vergabeverfahren bzw. für die Einordnung implementierter Sicherheitsmaßnahmen dienen“, erläutert Rechtsanwalt Karsten U. Bartels LL.M. von HK2 Rechtsanwälte, zugleich TeleTrusT-Vorstand und Leiter der TeleTrusT-AG „Recht“.
„Mit der Handreichung in der Auflage 2018 setzen wir einen weiteren Meilenstein in der Bestimmung des ,Standes der Technik‘ von technischen und organisatorischen Sicherheitsmaßnahmen. Das soll auch in Zukunft so bleiben“, betont Tomasz Lawicki von AC Schwerhoff, zugleich Leiter des TeleTrusT-Arbeitskreises „Stand der Technik“.
Die Handreichung verstehe sich als Ausgangspunkt bei der Ermittlung von gesetzlichen IT-Sicherheitsmaßnahmen; sie ersetze nicht eine technische, organisatorische oder rechtliche Beratung bzw. Bewertung im Einzelfall.
Weitere Informationen zum Thema:
TeleTrusT
Arbeitskreis „Stand der Technik“
Aktuelles, Experten - Feb. 8, 2025 0:13 - noch keine Kommentare
Mahnung der Freien Ärzteschaft im ePA-Kontext: Krankheitsdaten sind keine Ware!
weitere Beiträge in Experten
- „AI Act“: Seit dem 2. Februar 2025 weitere Regelungen der europäischen KI-Verordnung in Kraft
- AI Act: eco-Kommentar zum Inkrafttreten – nationale Gesetzgebung muss Vision und Praxis vereinen!
- Datenschutzkonferenz: Hilfestellungen für effektive Anonymisierung und Pseudonymisierung personenbezogener Daten geplant
- Zwei der weltweit größten Cybercrime-Foren mit über zehn Millionen registrierten Nutzern abgeschaltet
- KI: Jeder Achte glaubt, dass Anwälte weitgehend überflüssig werden könnten
Aktuelles, Branche - Feb. 8, 2025 0:26 - noch keine Kommentare
NIS-2-Umsetzung: Gesetzgebungsverfahren offenbar vorerst gescheitert
weitere Beiträge in Branche
- Industrie sollte Cyber-Sicherheit ihrer Geräte, Maschinen und Anlagen dringend auf ihre Agenda 2025 setzen!
- Dennis Weyel erinnert im NIS-2-Kontext daran: Firmenleitung haftet bei Cyber-Attacken!
- IT-Sicherheit: Gedanken zum Generationenkonflikt
- Finanzsektor: Herausforderungen und zugleich Chancen durch DORA
- AI Act der EU verbietet bestimmte KI-Systeme und verpflichtet zur -Kompetenz
Branche, Umfragen - Dez. 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren