Trend Micro, ein weltweit agierender Anbieter für Cybersicherheitslösungen, hat seinen juristischen Leitfaden "Cybersicherheit und IT-Compliance im Unternehmen" neu aufgelegt. Dieser gibt einen Einblick in wichtige juristische Themengebiete, die für den Einsatz von IT und Internet in Unternehmen relevant sind.
Laut Unternehmensangaben wurde der Leitfaden im Zuge von NIS2 und DORA überarbeitet. Hinzugekommen sind Kapitel zu den Verantwortlichkeiten und Pflichten, die die neuen EU-Regularien mit sich bringen. Außerdem beantwortet der Ratgeber Fragen zur DSGVO-Compliance beim Einsatz von Cyber-Sicherheitslösungen und zu den Sicherheitsanforderungen an Cloud-Dienste gemäß C5-Kriterienkatalog.
Seit dem 16. Januar 2023 sind die NIS2-Richtlinie und der Digital Operational Resilience Act (DORA) in Kraft. Beide definieren Mindestanforderungen an die Cybersicherheit in Unternehmen. Während sich NIS2 an Unternehmen in 18 als wichtig oder besonders wichtig eigestuften Branchen richtet, adressiert DORA Finanzunternehmen und deren IKT-Dienstleister. Viele IT-Verantwortliche und Geschäftsführungen fragen sich jetzt, was sie tun müssen, um compliant zu sein. Die Neuauflage des juristischen Leitfadens Cybersicherheit und IT-Compliance im Unternehmen stellt NIS2 und DORA ausführlich dar und veranschaulicht komplexe Sachverhalte anhand von Praxisbeispielen. Außerdem beantwortet der Ratgeber wichtige Fragen rund um Datenschutz und Datensouveränität beim Einsatz von Cloud-Lösungen.
Für die Geschäftsleitung existieren neue Pflichten
Mit NIS2 kommen neue Pflichten auf Geschäftsführer wichtiger und besonders wichtiger Einrichtungen zu, auf die der juristische Leitfaden detailliert eingeht. CEOs müssen Cyber-Risikomanagement als Teil des unternehmerischen Risikomanagements betreiben und tragen die zentrale Verantwortung für die Umsetzung von Cyber-Sicherheitsmaßnahmen. Bei Verstößen gegen die gesetzlichen Anforderungen haften Geschäftsführer persönlich und sehen sich erheblichen Ersatzansprüchen ausgesetzt, falls Schaden entsteht. Sie müssen daher eng mit ihren Security-Verantwortlichen zusammenarbeiten. Diese wiederum sind in der Pflicht, die Geschäftsleitung regelmäßig über die Risikoexposition des Unternehmens zu informieren und angemessene Security-Maßnahmen umzusetzen.
NIS2 schreibt Systeme zur Angriffserkennung sowie Prozesse vor, um schnell auf Cyber-Angriffe zu reagieren. Außerdem wird das Meldewesen verschärft: Betroffene müssen einen erheblichen Sicherheitsvorfall innerhalb von 72 Stunden beim Bundesamt für Sicherheit in der Informationstechnik (BSI) anzeigen. Darüber hinaus müssen sie in der Lage sein, Threat Hunting zu betreiben und zu prüfen, ob sie von Bedrohungsindikatoren betroffen sind, vor denen das BSI warnt.
Damit personenbezogene Daten nicht in falsche Hände geraten
Um die NIS2-Anforderungen zu erfüllen, sind Cloud-basierte Systeme kosteneffiziente Lösungen. Sie ermöglichen es, Cyberrisiken automatisiert über alle Vektoren der IT-Umgebung hinweg kontinuierlich zu bewerten und Cyberangriffe frühzeitig zu erkennen. Solche Lösungen sammeln und analysieren KI-gestützt große Mengen an Daten. Dabei muss sichergestellt werden, dass die Lösung den gesetzlichen Anforderungen an den Datenschutz entspricht, damit weder personenbezogene Daten noch andere sensible Informationen in falsche Hände geraten. Der juristische Leitfaden schafft Klarheit über mit dem Cloud-Einsatz verbundene Compliance-Fragen.
Dürfte Signalwirkung für andere Branchen haben
Außerdem geht der juristische Leitfaden laut Unternehmensaussage auf den C5-Kriterienkatalog, also den Cloud Computing Compliance Criteria Catalogue des BSI ein. Dieser definiert Mindestanforderungen an die Cybersicherheit von Cloud-Services. Bundesbehörden dürfen nur externe Cloud-Dienste einsetzen, die über ein C5-Testat verfügen. Ab dem 1. Juli 2024 gilt die C5-Pflicht laut SGB V auch im Gesundheitssektor für solche Cloud-Services, die Patientendaten verarbeiten. Das Gesundheitswesen geht hier mit gutem Beispiel voran und dürfte Signalwirkung auf andere Branchen haben, ist Trend Micro überzeugt.
Das C5-Testat bietet Unternehmen und Behörden eine wichtige Orientierung für die Auswahl eines Cloud-Anbieters. Allerdings sind sie trotzdem in der Pflicht, ein eigenes Risikomanagement zu betreiben, wenn sie einen Cloud-Dienst einsetzen möchten. Auch hierzu soll der juristische Leitfaden Antworten liefern.
Quelle: Trend Micro
Autor(en): versicherungsmagazin.de
