top of page
1.png

CYBERSICHERHEIT

Douglas Conant

"Vertrauen ist die Währung des Geschäfts. Wenn das Vertrauen weg ist, ist das Geschäft weg."

1.png

Cybersicherheitsrecht

Seit 2022 haben die regulatorischen Anforderungen an Cybersicherheit stark zugenommen. Die EU-Regulativen NIS2, DORA , CRA und CER heben die Sicherheitsstandards der Wirtschaft und sorgen dafür, dass Cybersicherheit auf der Agenda von Führungskräften ganz oben steht.

Incident Response Planung

Cybersicherheitsvorfälle treffen nicht nur die Großen, sondern auch KMUs. Gerade im Notfall braucht es verlässliche Partner. Wir unterstützen bei der Bewältigung der regulatorischen Anforderungen, damit Cyberangriffe nicht zur existentiellen Bedrohung werden.

Schild gold

Fokus: NIS2 Implementierung

17. Oktober 2024 - bis zu diesem Datum muss die NIS 2-Richtlinie (RL 2022/2555 ins nationale Recht überführt werden. Sie setzt neue Standards zur Cybersicherheit. Ein Überblick findet sich hier.

Die gesetzlichen Vorgaben richten sich an bestimmte wichtige und wesentliche Einrichtungen (z.B. im Bereich Energie, Verkehr, Gesundheit, digitale Infrastruktur, IKT-Dienste, Lebensmittel, Verarbeitendes Gewerbe usw.) und deren Lieferketten. Dadurch wird die Richtlinie in die Breite reguliert - in Österreich trifft dies mindestens 5.000-6.000 Unternehmen.

Was sind die wichtigsten Vorgaben aus der Richtlinie? Für Unternehmen sind die folgenden Bestimmungen wohl die zentralsten Eckpfeiler:

  • Art. 20 sieht für Leitungsorgane von Unternehmen bestimmte Risikomanagement-Maßnahmen vor (Abs. 1). Die Mitglieder dieser Leitungsorgane (d.h. die Unternehmensleitung!) müssen an Schulungen teilnehmen und Schulungen für ihre Mitarbeiter anbieten (Abs. 2).

  • Art. 21 sieht eine Reihe von Risikomaßnahmen vor. Abs. 2 zählt folgende Risikomaßnahmen auf:

  1. Konzepte in Bezug auf die Risikoanalyse und Sicherheit für Informationssysteme;

  2. Konzepte zur Bewältigung von Sicherheitsvorfällen;

  3. Konzepte zur Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall, und Krisenmanagement;

  4. Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern;

  5. Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen, einschließlich Management und Offenlegung von Schwachstellen;

  6. Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Cybersicherheit;

  7. grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Cybersicherheit;

  8. Konzepte und Verfahren für den Einsatz von Kryptografie und gegebenenfalls Verschlüsselung;

  9. Sicherheit des Personals, Konzepte für die Zugriffskontrolle und Management von Anlagen;

  10. Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung.

Schloss gold

Unser Newsblog zum Cybersicherheitsrecht

bottom of page