CYBERSICHERHEIT
Douglas Conant
"Vertrauen ist die Währung des Geschäfts. Wenn das Vertrauen weg ist, ist das Geschäft weg."
Cybersicherheitsrecht
Seit 2022 haben die regulatorischen Anforderungen an Cybersicherheit stark zugenommen. Die EU-Regulativen NIS2, DORA , CRA und CER heben die Sicherheitsstandards der Wirtschaft und sorgen dafür, dass Cybersicherheit auf der Agenda von Führungskräften ganz oben steht.
Incident Response Planung
Cybersicherheitsvorfälle treffen nicht nur die Großen, sondern auch KMUs. Gerade im Notfall braucht es verlässliche Partner. Wir unterstützen bei der Bewältigung der regulatorischen Anforderungen, damit Cyberangriffe nicht zur existentiellen Bedrohung werden.
Fokus: NIS2 Implementierung
17. Oktober 2024 - bis zu diesem Datum muss die NIS 2-Richtlinie (RL 2022/2555 ins nationale Recht überführt werden. Sie setzt neue Standards zur Cybersicherheit. Ein Überblick findet sich hier.
Die gesetzlichen Vorgaben richten sich an bestimmte wichtige und wesentliche Einrichtungen (z.B. im Bereich Energie, Verkehr, Gesundheit, digitale Infrastruktur, IKT-Dienste, Lebensmittel, Verarbeitendes Gewerbe usw.) und deren Lieferketten. Dadurch wird die Richtlinie in die Breite reguliert - in Österreich trifft dies mindestens 5.000-6.000 Unternehmen.
Was sind die wichtigsten Vorgaben aus der Richtlinie? Für Unternehmen sind die folgenden Bestimmungen wohl die zentralsten Eckpfeiler:
-
Art. 20 sieht für Leitungsorgane von Unternehmen bestimmte Risikomanagement-Maßnahmen vor (Abs. 1). Die Mitglieder dieser Leitungsorgane (d.h. die Unternehmensleitung!) müssen an Schulungen teilnehmen und Schulungen für ihre Mitarbeiter anbieten (Abs. 2).
-
Art. 21 sieht eine Reihe von Risikomaßnahmen vor. Abs. 2 zählt folgende Risikomaßnahmen auf:
-
Konzepte in Bezug auf die Risikoanalyse und Sicherheit für Informationssysteme;
-
Konzepte zur Bewältigung von Sicherheitsvorfällen;
-
Konzepte zur Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall, und Krisenmanagement;
-
Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern;
-
Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen, einschließlich Management und Offenlegung von Schwachstellen;
-
Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Cybersicherheit;
-
grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Cybersicherheit;
-
Konzepte und Verfahren für den Einsatz von Kryptografie und gegebenenfalls Verschlüsselung;
-
Sicherheit des Personals, Konzepte für die Zugriffskontrolle und Management von Anlagen;
-
Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung.
Unser Newsblog zum Cybersicherheitsrecht
-
Was schützt Cybersicherheit?Cybersicherheit schützt vertrauliche Informationen wie Geschäftsgeheimnisse, Finanzdaten und personenbezogene Daten vor unbefugten Zugriffen und Missbrauch. Maßnahmen der Cybersicherheit sichert Computersysteme, Netzwerke und Geräte vor Malware und Eindringlingen, um deren Funktionsfähigkeit und Datenverfügbarkeit zu gewährleisten. Derartige Maßnahmen bewahren die Betriebsfähigkeit von Unternehmen (sog. Business Continuity) und verringern jene Risiken, die sich durch die fortschreitende Digitalisierung der Wirtschaft und den damit verbundenen Abhängigkeiten von IT-Geräten und IT-Anwendungen ergeben. Cybersicherheit schützt letztlich den Ruf von Organisationen vor den Folgen von Cyberangriffen und trägt ferner zur Sicherheit von Individuen bei, indem sie vor Identitätsdiebstahl und Betrug schützt. Zudem mindert sie die wirtschaftlichen Schäden von Cyberangriffen, die Unternehmen erheblich finanziell belasten können.
-
Was versteht man allgemein unter Cybersicherheit?Unter dem Begriff Cybersicherheit, auch bekannt unter der verwandten Begriffen „IT-Sicherheit“ oder „Informationssicherheit“ bzw. dem englischen Pendant „Cybersecurity“, versteht man den umfassenden Schutz von Informationssystemen, Software, Netzwerken und Daten vor unbefugtem Zugriff, Verwendung, Offenlegung, Änderung, Zerstörung oder Störung. Cybersicherheit bezieht sich demnach auf Maßnahmen, welche die Sicherheit von digitalen Anwendungen und diesbezüglichen Geräten erhöhen sollen. Die Europäische Union hat inzwischen einige rechtliche Regeln zur Cybersicherheit erlassen, wie etwa die NIS2 Richtlinie, den Cyber Resilience Act oder die DORA Verordnung. Vor diesem Hintergrund betrifft Cybersecurity Themen wie Netzwerksicherheit, Anwendungssicherheit, Datensicherheit, Endgerätesicherheit, Identitäts- und Zugangsmanagement sowie Cloud-Sicherheit. Zu den Hauptbedrohungen der Cybersicherheit zählen Malware, Phishing, Social Engineering, Zero-Day-Angriffe, Ransomware-Attacken oder Denial-of-Service (DoS bzw. DDoS)-Angriffe.
-
Wer ist für Cybersicherheit verantwortlich?Allgemeinhin ist Cybersicherheit eine gemeinsame Verantwortung, die von Einzelpersonen, Unternehmen und Regierungen gleichermaßen zu tragen ist. Für Unternehmen können sich Vorgaben zur Cybersicherheit aus § 25 Abs 1 und 1a GmbHG, nämlich zum Wohle des Unternehmens und zum Schutz der Stakeholder Cybersicherheitsmaßnahmen zu implementieren. In der NIS2-Richtlinie der Europäischen Union wird die Verantwortlichkeit für Cybersicherheit in Unternehmen, auf welche die NIS2-Richtlinie anwendbar ist, den Leitungsorganen zugeschrieben. Die NIS2-Richtlinie enthält zudem einen umfassenden Maßnahmenkatalog zur Cybersicherheit. Demnach ist es erforderlich, dass Unternehmen ihre Leitungsorgane und ihre Mitarbeiter schulen, Systeme und Daten kontinuierlich überwachen und auf Schwachstellen prüfen. Zusätzlich müssen sie Notfallpläne für Cyberangriffe vorbereiten.
-
Warum ist Cybersicherheit so wichtig?Cybersicherheit ist essentiell, um in der digital vernetzten Welt Daten zu schützen. Sie bewahrt vertrauliche Informationen wie Geschäftsgeheimnisse und persönliche Daten vor unbefugtem Zugriff und kriminellen Handlungen wie Ransomware-Attacken, wodurch finanzielle und rechtliche Schäden vermieden werden. Die Sicherheit von Systemen und Netzwerken soll Verfügbarkeit und Funktionstüchtigkeit von digitalen Unternehmensressourcen sichern und kostspielige Betriebsunterbrechungen verhindert. Letztlich schützt Cybersicherheit die Privatsphäre der Menschen und fördert das Vertrauen in digitale Dienste, was wiederum Wirtschaftswachstum und Innovationen stimuliert.