Advertorial
Im Compliance-Dschungel den Überblick behalten
NIS2, DORA, C5-Testat. Und was ist eigentlich mit dem Datenschutz? IT-Verantwortliche und Geschäftsführungen müssen Compliance gewährleisten, stehen dabei aber vor einem komplexen Geflecht aus nationalen und internationalen Regelwerken. Ein neuer Leitfaden hilft ihnen, den Durchblick zu wahren.
Die Verabschiedung des deutschen NIS2-Umsetzungsgesetzes lässt weiter auf sich warten. Doch auch schon vor der Überführung in nationales Recht sorgt die NIS2-Richtlinie für Unruhe. Viele IT-Verantwortliche und Geschäftsführungen fragen sich, was sie tun müssen, um auch weiterhin compliant zu sein. Ab dem 17. Januar 2025 findet zudem der Digital Operational Resilience Act (DORA) Anwendung – nach einer zweijährigen Übergangsfrist. In beiden Regelwerken definiert die Europäische Union Mindestanforderungen an die Cybersicherheit in Unternehmen. Während sich NIS2 an 18 als wichtig oder besonders wichtig eigestufte Branchen richtet, adressiert DORA speziell Finanzunternehmen und deren IKT-Dienstleister.
Die Neuauflage des juristischen Leitfadens „Cybersicherheit und IT-Compliance im Unternehmen“ von Trend Micro stellt die neuen Regelwerke ausführlich dar und veranschaulicht komplexe Sachverhalte anhand von Praxisbeispielen. Auch darüber hinaus beleuchtet der Ratgeber wichtige rechtliche Aspekte der Cybersicherheit. Außerdem beantwortet er aktuelle Fragen zu Datenschutz und Datensouveränität beim Einsatz von Cloud-Lösungen.
„Wir freuen uns, dass wir auch für die neue Auflage unseres juristischen Leitfadens wieder Dr. Thomas Stögmüller als Autor gewinnen konnten, einen erfahrenen Rechtsanwalt und Fachanwalt für Informationstechnologierecht“, sagt Richard Werner, Security Advisor bei Trend Micro. „NIS2 und DORA werfen viele Fragen auf. Unser Leitfaden hilft Verantwortlichen dabei, mehr Sicherheit zu gewinnen und die richtigen Entscheidungen zu treffen – gerade auch im Hinblick auf Security-Lösungen aus der Cloud. Denn ohne Cloud-basierte Technologien ist es heute kaum noch möglich, die gesetzlich vorgegebenen Sicherheitsanforderungen zu erfüllen.“
Laden Sie hier unseren kostenlosen Leitfaden herunter und profitieren Sie noch heute von aktuellen juristischen Informationen!
Neue Pflichten für die Geschäftsleitung
Mit NIS2 kommen neue Pflichten auf Geschäftsführer regulierter Einrichtungen zu, auf die der juristische Leitfaden detailliert eingeht. CEOs müssen Cyberrisikomanagement als Teil des unternehmerischen Risikomanagements betreiben und tragen die zentrale Verantwortung für die Umsetzung von Cybersicherheitsmaßnahmen. Bei Verstößen gegen die gesetzlichen Anforderungen haften Geschäftsführer persönlich und sehen sich erheblichen Ersatzansprüchen ausgesetzt, falls Schaden entsteht. Sie müssen daher eng mit ihren Security-Verantwortlichen zusammenarbeiten. Diese wiederum sind in der Pflicht, die Geschäftsleitung regelmäßig über die Risikoexposition des Unternehmens zu informieren und angemessene Security-Maßnahmen umzusetzen. NIS2 schreibt Systeme zur Angriffserkennung sowie Prozesse vor, um schnell auf Cyberangriffe zu reagieren. Außerdem wird das Meldewesen verschärft: Betroffene müssen einen erheblichen Sicherheitsvorfall innerhalb von 72 Stunden beim Bundesamt für Sicherheit in der Informationstechnik (BSI) anzeigen. Darüber hinaus müssen sie in der Lage sein, Threat Hunting zu betreiben und zu prüfen, ob sie von Bedrohungsindikatoren betroffen sind, vor denen das BSI warnt.
Compliance bei Security-Lösungen aus der Cloud
Um die NIS2-Anforderungen zu erfüllen, sind Cloud-basierte Systeme kosteneffiziente Lösungen. Sie ermöglichen es, Cyberrisiken automatisiert über alle Vektoren der IT-Umgebung hinweg kontinuierlich zu bewerten und Cyberangriffe frühzeitig zu erkennen. Solche Lösungen sammeln und analysieren KI-gestützt große Mengen an Daten. Dabei muss sichergestellt werden, dass die Lösung den gesetzlichen Anforderungen an den Datenschutz entspricht, damit weder personenbezogene Daten noch andere sensible Informationen in falsche Hände geraten. Der juristische Leitfaden schafft Klarheit über mit dem Cloud-Einsatz verbundene Compliance-Fragen.
Außerdem geht der juristische Leitfaden auf den C5-Kriterienkatalog (Cloud Computing Compliance Criteria Catalogue) des BSI ein. Dieser definiert Mindestanforderungen an die Cybersicherheit von Cloud-Services. Beispielsweise dürfen Bundesbehörden nur dann externe Cloud-Dienste einsetzen, wenn diese über ein C5-Testat verfügen. Seit dem 1. Juli 2024 gilt diese Pflicht laut SGB V auch im Gesundheitssektor für solche Cloud-Services, die Patientendaten verarbeiten. Das Gesundheitswesen schreitet hier mit gutem Beispiel voran und dürfte Signalwirkung auf andere Branchen haben. Das C5-Testat bietet Unternehmen und Behörden eine wichtige Orientierung für die Auswahl eines Cloud-Anbieters. Allerdings sind sie trotzdem in der Pflicht, ein eigenes Risikomanagement zu betreiben, wenn sie einen Cloud-Dienst einsetzen möchten. Auch darauf geht der juristische Leitfaden genauer ein.
Lesen Sie mehr zum Thema
