Cybersicherheitsrichtlinie; Auszug zur nächsten Herausforderung für den Mittelstand

Datensicherheit
1

Hallo Zusammen,

ich weiß jetzt nicht ob es direkt hierhergehört, mich hat gestern folgende Nachricht erreicht.

Die EU hat eine neue Cybersicherheitsrichtlinie verkündet, die bis zum 17.10.2024 in nationales Recht/Gesetz umgesetzt werden muss.
Somit sind die folgenden Ausführungen nicht sofort aber zeitnah umsetzungspflichtig und in weiteren IT-Planungen zu berücksichtigen!

Künftig werden Unternehmen/Organisationen nicht mehr vor die Wahl gestellt, ob sie sich ausreichend gegen Hacker schützen wollen. Nicht nur KRITIS-Einrichtungen sondern auch Unternehmen/Organisationen mit 50 oder mehr Mitarbeitenden sowie einem Jahresumsatz von mindestens 10 Mio. Euro, müssen einen Mindeststandard an Sicherheit erfüllen.

Folgende Cybersecurity-Maßnahmen müssen mindestens umgesetzt werden:

  1. Policies: Richtlinien für Risiken und Informationssicherheit
  2. Incident Management: Prävention, Detektion und Bewältigung von Sicherheitsvorfällen
  3. Business Continuity: Backup-Management, Desaster Recovery, Krisenmanagement
  4. Supply Chain: Sicherheit in der Lieferkette
  5. Einkauf: Sicherheit in der Beschaffung von IT und Netzwerk-Systemen
  6. Effektivität: Vorgaben zur Messung von Cyber- und Risikomaßnahmen
  7. Kryptographie: Verschlüsselung wo immer möglich
  8. Zugangskontrolle: Einsatz von Multi-Faktor-Authentifizierung und Single Sign-on
  9. Kommunikation: Einsatz sicherer Sprach-, Video- und Text-Kommunikation

Meldung von Sicherheitsvorfällen (3 Stufen):

  1. innerhalb 24 Stunden nach Kenntnisnahme eines Sicherheitsvorfalls: Meldung als Frühwarnung bei den zuständigen Behörden.
    Inhalt: ob der Sicherheitsvorfall vermutlich auf rechtswidrige oder böswillige Handlungen zurückzuführen ist.
  2. innerhalb 72 Stunden: Bericht über die sogenannten Indicators of Compromise. Es handelt sich hierbei um Merkmale (Einträge in Logfiles, außergewöhnlicher Netzwerkverkehr, bestimmte Dateien, einzelne Prozesse, Registry-Einträge oder Aktivitäten unter einer Benutzerkennung), anhand derer die Kompromittierung eines Computersystems oder eines Netzwerks erkennbar wird.
  3. 1 Monat nach dem Vorfall: Abschlussbericht der mindestens eine ausführliche Beschreibung des Sicherheitsvorfalls, seines Schweregrads und seiner Auswirkungen sowie Angaben zur Art der Bedrohung und den getroffenen Abhilfemaßnahmen beinhalten muss.

Haftung:

-Laissez-faire-Haltung in der Abwehr von Hackerangriffen bis zu 1,4% vom Jahresumsatz bzw. 7 Mio EUR bei KIRITIS bis 2% oder 10 Mio EUR.
-Unternehmensführung persönlich für etwaige Verstöße verantwortlich und haftbar.

Befugnisse Aufsichtsbehörden:

  • Befugnisse der Aufsichtsbehörden deutlich ausgebaut: Inspektionen vor Ort, regelmäßige und gezielte Sicherheitsaudits, Ad-hoc-Überprüfungen im Ernstfall und Sicherheits-Scans möglich.

Wie ist denn Erfahrungsgemäß die Cybersicherheit in den Betrieben aufgestellt und in wie fern muss die Protokollierung hierfür auf die DSGVO ausgerichtet sein?

1 „Gefällt mir“