Trend Micro stellt die Neuauflage seines juristischen Leitfadens Cybersicherheit und IT-Compliance im Unternehmen vor. Dieser gibt wichtige Einblicke in juristische Themengebiete, die für den Einsatz von IT und Internet in Unternehmen relevant sind. Der Leitfaden wurde insbesondere im Zuge von NIS2 und DORA überarbeitet.
Hinzugekommen sind Kapitel zu den Verantwortlichkeiten und Pflichten, die die neuen EU-Regularien mit sich bringen. Außerdem beantwortet der Ratgeber Fragen zur DSGVO-Compliance beim Einsatz von Cybersicherheitslösungen und zu den Sicherheitsanforderungen an Cloud-Dienste gemäß C5-Kriterienkatalog.
Seit dem 16. Januar 2023 sind die NIS2-Richtlinie und der Digital Operational Resilience Act (DORA) in Kraft. Beide definieren Mindestanforderungen an die Cybersicherheit in Unternehmen. Während sich NIS2 an Unternehmen in 18 als wichtig oder besonders wichtig eigestuften Branchen richtet, adressiert DORA Finanzunternehmen und deren IKT-Dienstleister.
Viele IT-Verantwortliche und Geschäftsführungen fragen sich jetzt, was sie tun müssen, um compliant zu sein. Die Neuauflage des juristischen Leitfadens Cybersicherheit und IT-Compliance im Unternehmen stellt NIS2 und DORA ausführlich dar und veranschaulicht komplexe Sachverhalte anhand von Praxisbeispielen. Außerdem beantwortet der Ratgeber wichtige Fragen rund um Datenschutz und Datensouveränität beim Einsatz von Cloud-Lösungen.
„Wir freuen uns, dass wir auch für die neue Auflage des juristischen Leitfadens wieder Dr. Thomas Stögmüller als Autor gewinnen konnten, einen erfahrenen Rechtsanwalt und Fachanwalt für Informationstechnologierecht“, sagt Richard Werner, Security Advisor bei Trend Micro.
„NIS2 und DORA werfen viele Fragen auf. Unser Leitfaden hilft Verantwortlichen dabei, mehr Sicherheit zu gewinnen und die richtigen Entscheidungen zu treffen – gerade auch im Hinblick auf Security-Lösungen aus der Cloud. Denn ohne Cloud-basierte Technologien wie XDR (Extended Detection & Response) und ASRM (Attack Surface Risk Management) ist es heute kaum noch möglich, die gesetzlich vorgegebenen Sicherheitsanforderungen zu erfüllen.“
Neue Pflichten für die Geschäftsleitung
Mit NIS2 kommen neue Pflichten auf Geschäftsführer wichtiger und besonders wichtiger Einrichtungen zu, auf die der juristische Leitfaden detailliert eingeht. CEOs müssen Cyberrisikomanagement als Teil des unternehmerischen Risikomanagements betreiben und tragen die zentrale Verantwortung für die Umsetzung von Cybersicherheitsmaßnahmen.
ei Verstößen gegen die gesetzlichen Anforderungen haften Geschäftsführer persönlich und sehen sich erheblichen Ersatzansprüchen ausgesetzt, falls Schaden entsteht. Sie müssen daher eng mit ihren Security-Verantwortlichen zusammenarbeiten. Diese wiederum sind in der Pflicht, die Geschäftsleitung regelmäßig über die Risikoexposition des Unternehmens zu informieren und angemessene Security-Maßnahmen umzusetzen.
IS2 schreibt Systeme zur Angriffserkennung sowie Prozesse vor, um schnell auf Cyberangriffe zu reagieren. Außerdem wird das Meldewesen verschärft: Betroffene müssen einen erheblichen Sicherheitsvorfall innerhalb von 72 Stunden beim Bundesamt für Sicherheit in der Informationstechnik (BSI) anzeigen. Darüber hinaus müssen sie in der Lage sein, Threat Hunting zu betreiben und zu prüfen, ob sie von Bedrohungsindikatoren betroffen sind, vor denen das BSI warnt.
Compliance bei Security-Lösungen aus der Cloud
Um die NIS2-Anforderungen zu erfüllen, sind Cloud-basierte Systeme kosteneffiziente Lösungen. Sie ermöglichen es, Cyberrisiken automatisiert über alle Vektoren der IT-Umgebung hinweg kontinuierlich zu bewerten und Cyberangriffe frühzeitig zu erkennen. Solche Lösungen sammeln und analysieren KI-gestützt große Mengen an Daten.
abei muss sichergestellt werden, dass die Lösung den gesetzlichen Anforderungen an den Datenschutz entspricht, damit weder personenbezogene Daten noch andere sensible Informationen in falsche Hände geraten. Der juristische Leitfaden schafft Klarheit über mit dem Cloud-Einsatz verbundene Compliance-Fragen.
C5-Testat für den sicheren Cloud-Einsatz
Außerdem geht der juristische Leitfaden auf den C5-Kriterienkatalog (Cloud Computing Compliance Criteria Catalogue) des BSI ein. Dieser definiert Mindestanforderungen an die Cybersicherheit von Cloud-Services. Bundesbehörden dürfen nur externe Cloud-Dienste einsetzen, die über ein C5-Testat verfügen. Ab dem 1. Juli 2024 gilt die C5-Pflicht laut SGB V auch im Gesundheitssektor für solche Cloud-Services, die Patientendaten verarbeiten.
as Gesundheitswesen schreitet hier mit gutem Beispiel voran und dürfte Signalwirkung auf andere Branchen haben. Das C5-Testat bietet Unternehmen und Behörden eine wichtige Orientierung für die Auswahl eines Cloud-Anbieters. Allerdings sind sie trotzdem in der Pflicht, ein eigenes Risikomanagement zu betreiben, wenn sie einen Cloud-Dienst einsetzen möchten. Auch darauf geht der juristische Leitfaden genauer ein.
„Als verantwortungsbewusster Security-Anbieter begrüßen wir den C5-Kriterienkatalog und nehmen ihn sehr ernst“, so Richard Werner weiter. „Trend Micro ist einer der wenigen IT-Security-Anbieter in Deutschland, der das C5-Testat bereits im Januar 2023 erhalten hat. Damit erfüllen Trend-Micro-Lösungen für Cloud-Sicherheit nachweislich die strengen und anspruchsvollen Kriterien des BSI.“