:quality(80)/p7i.vogel.de/wcms/21/d7/21d7c5e263aa7b59a3fcd4567ab00865/0117924442.jpeg "Der Ecotel-Vorstand: (v.l.) André Borusiak, Markus Hendrich und Christian van den Boom (Bild: Ecotel)")
:quality(80)/p7i.vogel.de/wcms/7a/3e/7a3e7560140122208d907fc5f72df681/0117919053.jpeg "Christoph Herrnkind, CEO von Wiit (Bild: Wiit)")
:quality(80)/p7i.vogel.de/wcms/18/5b/185bd3811c020e0f2308ae30129b58f6/0117899194.jpeg "Wird Broadcom die Wogen im VMware-Channel glätten können? (Bild: KI-generiert / Midjourney)")
:quality(80)/p7i.vogel.de/wcms/b7/83/b7837c8e0327788c3bcd1ff8598a692d/0117848608.jpeg "HPE-Studie klärt: Wie sehen europäische Unternehmen den European Data Act? (Bild: Dragon Claws - stock.adobe.co)")
:quality(80)/p7i.vogel.de/wcms/20/65/206515d1150e6b2e1d671f409a92adb6/0117365158.jpeg "Zum Teil als Krimi geschrieben, soll das Buch praktischen Einsatz in Unternehmen finden, indem es den Lesern die fünf Spielregeln eines motivierenden Miteinanders verständlich vermittelt. (Bild: win-win for work)")
:quality(80)/p7i.vogel.de/wcms/14/25/1425783b5d402cd20e04713fc47a1434/0117765946.jpeg "(Bild: Shuo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3c/8b/3c8b1bd6f23ab0e84adffb90eccd6b76/0116251374.jpeg "Mit der MSP Console stellt Cyberark ein Kommandozentrum für MSPs zur Verfügung. (Bild: KI-generiert / Canva)")
:quality(80)/p7i.vogel.de/wcms/c8/8e/c88ebb721ffe4f4b51a6c0435dd82985/0117363868.jpeg "Ubuntu Core ist jetzt mit Azure IoT Edge integriert. (Bild: Canonical)")
:quality(80)/p7i.vogel.de/wcms/a8/46/a846436e9fb348a92e56473756f1e84d/0117457005.jpeg "Entscheiden sich Unternehmen für Co-Location, sparen sie die Kosten für den Bau und Betrieb eines eigenen Rechenzentrums. Gleichzeitig profitieren sie von modernster Technologie und höchsten Sicherheitsstandards. (Bild: NTT)")
:quality(80)/p7i.vogel.de/wcms/e0/e9/e0e991176853c1394a7c65290756359b/0117885751.jpeg "Um sein KI-Geschäft zu stärken, vertieft US-Konzern Microsoft die bereits bestehende Partnerschaft mit dem arabischen KI-Unternehmen G42. (Bild: KI-generiert/frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/27/ca/27caea6784ff46e3ec80baed4aa9cad7/0117880393.jpeg "Brendan Murphy, Global Director, Public Cloud bei Arrow (Bild: Arrow Electronics)")
:quality(80)/p7i.vogel.de/wcms/2b/a7/2ba755761ea8126b9922973cca29b5d5/0117505219.jpeg "Die KI-Suchfunktion von HPE Aruba Networking Central nutzt nun generative KI und große Sprachmodelle (LLMs), um das Benutzererlebnis zu verbessern. (Bild: HPE)")
:quality(80)/p7i.vogel.de/wcms/f3/d0/f3d03d5e872a57652c6e1fa5476830d7/0117783239.jpeg "Der Bedarf an Fachkräften, die im Umgang mit KI-Tools geschult sind, wird in Zukunft weiter wachsen. Dafür braucht es Weiterbildungsangebote. (Bild: atitaph - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/74/3a/743a9095b0c8341a4f190452130a4de8/0117884136.jpeg "Die neuen A3-Farbdrucker und -Multifunktionsgeräte der Serie 9 von Lexmark sollen sich durch eine einfache Bedienung und einen sehr schnellen Wechsel von Verbrauchsmaterial sowie Bauteilen auszeichnen. Zudem sind die Geräte laut Hersteller nachhaltig durch eine lange Lebensdauer und den hohen Anteil von Recycling-Kunststoff bei der Produktion. (Bild: Lexmark)")
:quality(80)/p7i.vogel.de/wcms/ea/74/ea742eee14f34370d7e4b7e6f87b1794/0117913168.jpeg "Die Pro-Varianten der Ryzen-8000-CPUs für Desktop-PCs und der Mobilprozessoren der Serie 8040 sind mit zusätzlichen Management- und Security-Funktionen ausgestattet, darunter auch Microsofts Pluton-Chip. (Bild: AMD)")
:quality(80)/p7i.vogel.de/wcms/2e/91/2e9143eca3c1a9428549fce25d43e4ed/0117828636.jpeg "Die Smartphones der neuen Motorola-Edge50-Serie arbeiten mit KI-gestützten Kamerasystemen. (Bild: Motorola)")
:quality(80)/p7i.vogel.de/wcms/44/7e/447edc314c05c786ea2b1e6b6b99497a/0117543090.jpeg "Das neu aufgelegte Samsung Galaxy Tab S6 Lite arbeitet mit einem Achtkern-Prozessor. (Bild: Samsung)")
:quality(80)/p7i.vogel.de/wcms/34/a9/34a9eabe3dc5ef0bbf1092bdf58df215/0117259762.jpeg "(Bild: ADN)")
:quality(80)/p7i.vogel.de/wcms/3e/0b/3e0b078c9e2f5ea301e11c4a00e77bf3/0117309251.jpeg "(Bild: Online USV-Systeme)")
:quality(80)/p7i.vogel.de/wcms/95/1e/951eb763fbedf751dbda1e4f4441d7b6/0117124926.jpeg "(Bild: ALSO)")
DSGVO, NIS2, CRA Cybersecurity-Gesetze: Missachtung wird teuer
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/cb/60cb1e784befc/securepoint-logo-800-400-max.jpeg "securepoint-logo-800-400-max (Securepoint)"){kind=logo}
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/109400/109402/65.jpg "GSD_Logo_NEU_Claim_pos_RGB.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
DSGVO, NIS2 und der EU-Cyber Resilience Act (CRA) sollen den Datenschutz sicherstellen. Dennoch hat ein Drittel der KMU keinen Plan, welche Konsequenzen eine Missachtung hat. Ein Whitepaper von SEP in Kooperation mit einem Rechtsanwalt klärt auf.
Dass Cybercrime-Fälle zunehmen, ist leider keine News mehr. Laut Bitkom haben sich die finanziellen Schäden von 2019 bis 2021 auf 223,5 Milliarden Euro verdoppelt. Gemessen am Bruttoinlandsprodukt sind die Schäden in Deutschland im Bereich Wirtschaftsspionage und Cyberkriminalität am höchsten. Um dem entgegenzuwirken, gibt es einige Gesetze, die den Datenschutz verstärken sollen: die DSGVO, das neue Cyber- und IT-Sicherheitsrecht gemäß der NIS2-Richtlinie, eine EU-Resilienz-Richtlinie sowie der EU-Cyber Resilience Act (CRA).
Doch vor allem bei kleinen und mittelständischen Unternehmen hapert es mit der Umsetzung. Außerdem ist ihnen oft nicht bewusst sind, mit welchen Konsequenzen sie bei Nichtbeachtung rechnen müssen. In welche Haftungsfallen KMU tappen können und was für Strafen fällig werden, hat Dr. Jens Bücking, Rechtsanwalt und Fachanwalt für IT-Recht, gemeinsam mit dem plattformunabhängigen Backup- und Disaster-Recovery-Anbieter SEP herausgearbeitet.
DSGVO: Verschärfte Sanktionen
Die DSGVO ergänzt das im Jahr 2021 überarbeitete deutsche IT-Sicherheitsgesetz von 2015 und die Richtlinien der EU für ein einheitliches Datenschutz-/Datensicherheitsrecht in Europa. Sie enthält unter anderem technische Vorschriften, die ein entsprechendes Schutzniveau gewährleisten müssen. Betroffen sind alle privatwirtschaftlichen Unternehmen sowie Behörden, die private Daten sammeln, verarbeiten und speichern. Eine Datenschutzverletzung muss innerhalb von 72 Stunden den Aufsichtsbehörden gemeldet werden. Die DSGVO soll die Rolle des betrieblichen Datenschutzbeauftragten stärken. „Die DSGVO auferlegt den betrieblichen Datenschutzbeauftragten (bDSB) eine Kontroll-/ Überwachungsfunktion gegenüber dem Management anstelle der bisherigen (bloßen) Hinweispflicht“, führt Dr. Bücking in einem Whitepaper aus.
Werden die Vorgaben der DSGVO nicht ordnungsgemäß umgesetzt, drohen den Verantwortlichen (Unternehmen und natürliche Personen) im Haftungsfall zivilrechtliche und öffentlich-rechtliche Sanktionen wie Geld- und Freiheitsstrafen (bis zu drei Jahre), Schadenersatzzahlungen sowie Ordnungsmaßnahmen, die bis zur Stilllegung des Betriebs führen können. Berechnet werden die Bußgelder anhand des weltweiten Konzernumsatzes.
NIS2: KRITIS-Einrichtungen
Die EU-Cybersecurity-Richtlinie, die so genannte NIS2-Richtlinie, betrifft KRITIS-Unternehmen, wie Post- und Kurierdienste, Abfallbewirtschaftung, Medizinprodukte, Maschinenbau, Kraftwagen, Anbieter digitaler Dienste sowie Forschungseinrichtungen. Neben dem Katalog an Cybersicherheitsmaßnahmen enthält NIS2 auch einen Maßgabenkatalog zur Zertifizierung kritischer Komponenten, ebenso wie Berichtspflichten bei IT-Sicherheitsvorfällen und mögliche Bußgelder bei Verstößen. Umzusetzen ist sie bis zum 17.10.2024. Für die betroffenen Unternehmen ist das mit höheren Kosten verbunden, weiß Dr. Brücking: „Die von NIS2 betroffenen Einrichtungen werden nach bisherigen Schätzungen ihr Cybersicherheitsbudget um rund 22 Prozent erhöhen müssen im Vergleich zu den von NIS1 betroffenen Einrichtungen mit dem dortigen Kostenanstieg von 12 Prozent.“
Im Schadensfall fällige Geldbußen können allerdings deutlich höher sein: maximal zehn Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist.
IT-Sicherheitsgesetz für KRITIS-Betreiber
Betreiber kritischer Infrastrukturen müssen dem Gesetz zufolge „angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen ihrer informationstechnischen Systeme, Komponenten oder Prozesse treffen, die für die Funktionsfähigkeit der von ihnen betriebenen KRITIS vor dem Hintergrund der Schutzziele Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit von IT-Systemen und Prozessen maßgeblich sind“, erklärt Dr. Brücking. Anforderungsmaßstab sei der jeweilige Stand der Technik. Je nach Schwere des Verstoßes kann das BSI hier Geldbußen zwischen 50.000 und 100.000 Euro ansetzen.
Für geschäftsmäßige Internetdienste wurden die IT-sicherheitsspezifischen Vorgaben und Strafen verschärft. Sie müssen, so Dr. Brücking im Whitepaper, technische und organisatorische Vorkehrungen zum Schutz des Zugriffs auf ihre Angebote – wiederum nach dem Stand der Technik – erfüllen. Insgesamt drohen bei Sicherheitsvorfällen Bußgelder bis zu 20 Millionen Euro. Zudem kann das BSI die Dienste untersagen oder sperren. „Haftungsrechtlich bestehen gegenüber den Nutzern Schadensersatzpflichten aus Vertragsverletzung und – außerhalb einer vertraglichen Beziehung – aus unerlaubter Handlung aufgrund so genannter ‚Verkehrssicherungspflichtverletzung‘“, so Dr. Brücking.
KRITIS-Dachgesetz
Das KRITIS-Dachgesetz gibt kritischen Einrichtungen Mindestvorgaben im Bereich der physischen und Cyber-Sicherheit an die Hand. Diese sollen deren Schutzniveau und Resilienz stärken. „Wie das IT-Sicherheitsgesetz erhält auch das KRITIS-Dachgesetz ein Meldesystem“, erläutert Dr. Brücking. „Für die effiziente Durchsetzung gilt analog der Sanktionenkatalog der NIS2-Richtlinie und der DSGVO. Die Strafen müssen hiernach wirksam, verhältnismäßig und abschreckend sein.“ Außerdem nimmt das Gesetz eine Erweiterung der KRITIS auf mindestens elf Sektoren vor. Das Gesetz soll ebenfalls im Jahr 2024 in Kraft treten.
Produkthaftung: Übertragung auf Cybersicherheit
Bereits am 13. September 2022 stellte die EU den Cyber Resilience Act (CRA) vor, der eine Lücke in der europäischen Digitalgesetzgebung schließen soll und den Produktlebenszyklus regelt. Werden die vier spezifischen Ziele (s. Kasten) nicht eingehalten, drohen Geldbußen bis maximal 15 Millionen Euro beziehungsweise bis zu 35 Prozent des gesamten weltweiten Jahresumsatzes im vorausgegangenen Geschäftsjahr. Auch geringfügigere Verstöße werden geahndet: mindestens fünf Millionen Euro bzw. ein Prozent des gesamten weltweiten Jahresumsatzes im vorausgegangenen Geschäftsjahr werden dabei fällig. Nach der Übergangsfrist von 24 Monaten betrifft das Gesetz alle Akteure der Lieferkette.
Spezifische Ziele des Cyber Resilience Act
1. Gewährleistung, dass die Hersteller die Sicherheit von Produkten mit digitalen Elementen (wie z.B. Betriebssystem- oder Steuerungssoftware) von der Entwurfs- und Entwicklungsphase an und während des gesamten Lebenszyklus verbessern („cybersecurity by design“)
2. Etablierung eines kohärenten Rechtsrahmens für die Cybersicherheit, der den Herstellern von Hardware und Software die Einhaltung der Compliance-Vorgaben erleichtert
3. Verbesserung der Transparenz der Sicherheitseigenschaften von Produkten mit digitalen Elementen
4. Befähigung von Unternehmen und Verbrauchern, Produkte mit digitalen Elementen sicher zu nutzen
Eine ausführliche Beschreibung der gesetzlichen Vorgaben und der Strafmaße finden Sie im Whitepaper von Dr. Brücking und SEP zum Download als pdf.
In einem kostenfreien Webinar fasst der Rechtsanwalt die wichtigsten Aspekte zusammen.
(ID:49324705)
:quality(80)/p7i.vogel.de/wcms/6d/a6/6da6aa32c5918824f6400c51493c38b7/0112676683.jpeg "Ob CRA, NIS-2 oder die CER-Richtlinie: Halten sich Unternehmen nicht an die Vorschriften, können die EU-Staaten Bußgelder verhängen. Umso wichtiger ist eine strukturierte und ganzheitliche Cybersecurity-Strategie. (Bild: Alexander Limbach - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a2/47/a247b6f4d1433f8d29651f50f120c5cb/0111443528.jpeg "Die Network and Information Security Directive 2 (NIS2) der EU stellt Unternehmen vor erhebliche Herausforderungen. (Bild: denisismagilov - stock.adobe.com)")