{"id":3603,"date":"2024-05-16T13:40:47","date_gmt":"2024-05-16T11:40:47","guid":{"rendered":"https:\/\/www.secida.com\/?p=3603"},"modified":"2024-08-20T17:32:54","modified_gmt":"2024-08-20T15:32:54","slug":"secida-im-mai-2","status":"publish","type":"post","link":"https:\/\/www.secida.com\/en\/secida-im-mai-2\/","title":{"rendered":"secida im Mai"},"content":{"rendered":"<div data-elementor-type=\"wp-post\" data-elementor-id=\"3603\" class=\"elementor elementor-3603\" data-elementor-post-type=\"post\">\n\t\t\t\t\t\t<section class=\"elementor-section elementor-top-section elementor-element elementor-element-78f5d48 elementor-section-boxed elementor-section-height-default elementor-section-height-default\" data-id=\"78f5d48\" data-element_type=\"section\">\n\t\t\t\t\t\t<div class=\"elementor-container elementor-column-gap-default\">\n\t\t\t\t\t<div class=\"elementor-column elementor-col-100 elementor-top-column elementor-element elementor-element-372512ab\" data-id=\"372512ab\" data-element_type=\"column\">\n\t\t\t<div class=\"elementor-widget-wrap elementor-element-populated\">\n\t\t\t\t\t\t<div class=\"elementor-element elementor-element-43aa0415 elementor-widget elementor-widget-text-editor\" data-id=\"43aa0415\" data-element_type=\"widget\" data-widget_type=\"text-editor.default\">\n\t\t\t\t<div class=\"elementor-widget-container\">\n\t\t\t\t\t\t\t\t\t<h4 id=\"ember2221\" class=\"ember-view reader-content-blocks__paragraph\">Herzlich Willkommen zu unserem Newsletter!<\/h4><p id=\"ember2222\" class=\"ember-view reader-content-blocks__paragraph\">Hier geben wir hier einen \u00dcberblick \u00fcber geplante Aktivit\u00e4ten und beleuchten jeden Monat einen Aspekt sicherer Digitalisierung.<\/p><h5 id=\"ember2223\" class=\"ember-view reader-content-blocks__heading-3\">Interessante Aktivit\u00e4ten im Mai:<\/h5><p id=\"ember2224\" class=\"ember-view reader-content-blocks__paragraph\">LinkedIn-Livestream am <strong>Dienstag, den 21.05.2024, 12:00h: \u201eBastian Helms: Effektive Umsetzung von Cybersicherheit als Entscheider\u201c <\/strong>&#8211; mit <a id=\"ember2225\" class=\"ember-view\" href=\"https:\/\/www.linkedin.com\/in\/bastian-helms-2339401a1\/\">Bastian Helms<\/a> , erfahrener IT-Projektleiter mit Fokus auf Cybersicherheit und IT-Transformation, und Sonna Barry, VP Business Development &amp; Strategy. Melden Sie sich <a class=\"app-aware-link\" href=\"https:\/\/www.linkedin.com\/events\/7193904536850202624\/comments\/\" target=\"_self\" data-test-app-aware-link=\"\">hier<\/a> an.<\/p><h5 class=\"ember-view reader-content-blocks__paragraph\">Sichere Digitalisierung im Mai: Cybersicherheit aus juristischer Perspektive<\/h5><p id=\"ember2228\" class=\"ember-view reader-content-blocks__paragraph\">Sie bevorzugen ein Video zum Thema? Unseren 30-Minuten-Talk zum Thema mit <a id=\"ember2229\" class=\"ember-view\" href=\"https:\/\/www.linkedin.com\/in\/dr-julian-zaudig-844b55140\/\">Dr. Julian Zaudig<\/a> finden Sie <a class=\"app-aware-link\" href=\"https:\/\/www.linkedin.com\/events\/7183076417679618050\/comments\/\" target=\"_self\" data-test-app-aware-link=\"\">hier<\/a>.<\/p><p id=\"ember2230\" class=\"ember-view reader-content-blocks__paragraph\">Aktuell handelt es sich beim Themenbereich Cybersicherheit juristisch um altes Recht, das neu ausgelegt wird. Bis heute ist IT-Sicherheit eher ein technisches Thema und die besten L\u00f6sungen f\u00fcr Unternehmen sind vorherrschend technologischer Natur. Der Fokus der Gesch\u00e4ftsf\u00fchrung liegt eher auf dem Management von Cyber-Risiken, die aktiven Entscheidungen dar\u00fcber, wie genau Cybersicherheit umgesetzt wird, sind eher an die IT delegiert. Dies liegt daran, dass nach altem Recht gesetzliche Normen bestehen, die den Umgang der Gesch\u00e4ftsf\u00fchrung mit Unternehmensrisiken regeln. Sie definieren, wo Entscheider hinsehen, wann sie etwas unternehmen und wie sie entscheiden m\u00fcssen. Im Kern geht es rechtlich um Folgendes: Gibt es einen Dialog mit dem Betrieb und basieren getroffene IT-Sicherheitsentscheidungen auf diesen Gespr\u00e4chen? Wenn die Gesch\u00e4ftsf\u00fchrung auf der genannten Basis entscheidet, hat sie ihre Pflicht erf\u00fcllt, auch wenn sich die Entscheidung sp\u00e4ter als falsch herausstellen sollte.<\/p><p id=\"ember2231\" class=\"ember-view reader-content-blocks__paragraph\">Wenn es bis dato in Unternehmen zu Verfehlungen im Kontext Cybersicherheit kam, waren diese aus juristischer Perspektive bisher innerbetrieblich zu l\u00f6sen. Bei Problemen mit der IT-Sicherheit im Betrieb lag es bei der Gesch\u00e4ftsf\u00fchrung zu entscheiden, ob gegen\u00fcber dem Verantwortlichen Disziplinarma\u00dfnahmen eingeleitet werden sollten, ganz im Sinne der zentrale Aufgabe von Entscheidern, Risiken f\u00fcr das Unternehmen zu beurteilen und zu minimieren. Au\u00dferdem konnte die verantwortliche Gesch\u00e4ftsf\u00fchrung durch Gesch\u00e4ftsf\u00fchrer oder Aktion\u00e4re abberufen oder in Haftung genommen werden. Beh\u00f6rden kamen bis dato h\u00f6chst selten ins Spiel, wenn \u00fcberhaupt, spielten sie in regulierten Bereichen (z.B. Finanzwesen) eine Rolle. Durch die neuen IT-Sicherheitsgesetze \u00e4ndert sich diese Situation: Entscheidungen \u00fcber Cybersicherheit sind nicht mehr nur auf den Betrieb fokussiert, sondern m\u00fcssen die Interessen der Allgemeinheit (z.B. Abnehmer, Verbraucher und B\u00fcrger) ber\u00fccksichtigen. Der Gesetzgeber vertritt nun den Standpunkt, dass IT-Sicherheit auch der Katastrophenvorsorge dient. Dadurch wird die Fragestellung, wie man mit den zusammenh\u00e4ngenden Risiken umgeht, normativ verankert und somit auch eine Rechtsfrage.<\/p><blockquote id=\"ember2232\" class=\"ember-view reader-content-blocks__blockquote\"><p>Was \u00e4ndert sich juristisch?<\/p><\/blockquote><p id=\"ember2233\" class=\"ember-view reader-content-blocks__paragraph\">Fr\u00fcher ging es f\u00fcr die Gesch\u00e4ftsf\u00fchrung darum, sich mit Aktion\u00e4ren oder Gesellschaftern gut zu stellen und den eigenen Standpunkt ihnen gegen\u00fcber sinnvoll darlegen zu k\u00f6nnen. Bei Verfehlungen lag es in der Hand von Aktion\u00e4ren oder Gesellschaftern \u00fcber Sanktionen oder andere Ma\u00dfnahmen gegen\u00fcber der Gesch\u00e4ftsleitung zu entscheiden. Durch die neuen Gesetze liegt diese Entscheidungsgewalt f\u00fcr das Thema Cybersicherheit nicht mehr innerhalb der Betriebs: Es existiert eine externe, unabh\u00e4ngige Aufsichtsbeh\u00f6rde, die ggf. auch gegen den Willen von Aktion\u00e4ren oder Gesellschaftern mit Sanktionen oder Anordnungen eingreifen kann. Noch bleiben Bu\u00dfgeldbescheide selbst bei gr\u00f6\u00dferen Verfehlungen aus. Allerdings m\u00fcssen sich Unternehmen nach Dr. Zaudigs Meinung perspektivisch darauf einstellen, dass Cybersicherheits-Verfehlungen genauso wie in regulierten Bereichen wie Bankenwesen oder Versicherungen ab jetzt immer auch ein Thema der Aufsicht durch das BSI (Bundesamt f\u00fcr Sicherheit in der Informationstechnik) werden. F\u00fcr Unternehmen ist es jetzt wichtig bei Auditierung oder Pr\u00fcfung darlegen zu k\u00f6nnen, dass s\u00e4mtliche betriebsrelevanten Prozesse und Systeme in der Unternehmens-IT bekannt sind, sie regelm\u00e4\u00dfig \u00fcberpr\u00fcft werden und es Mechanismen gibt, die es der Gesch\u00e4ftsf\u00fchrung erm\u00f6glichen, im Fall entstehende Risiken schnell und effektiv zu mitigieren.<\/p><blockquote id=\"ember2234\" class=\"ember-view reader-content-blocks__blockquote\"><p>IT-Sicherheit verl\u00e4sst die betrieblich gesch\u00fctzte Sph\u00e4re.<\/p><\/blockquote><p id=\"ember2235\" class=\"ember-view reader-content-blocks__paragraph\">Bestandsgef\u00e4hrdende Cybersicherheits-Risiken musste die Gesch\u00e4ftsf\u00fchrung rechtlich schon vor NIS1 und NIS2 auf dem Schirm haben. Doch die rechtliche Sph\u00e4re hat sich durch NIS2 nun deutlich ver\u00e4ndert: Die Rechtsgrundlage bewegt sich weg vom Aktiengesetz (Paragraf 91, Abs. 2 AG), wo dieser Themenbereich in den Pflichten der Gesch\u00e4ftsleitung verortet ist. Hier ist die Gesch\u00e4ftsf\u00fchrung als Treuh\u00e4nder des Betriebsverm\u00f6gens definiert und verwaltet das Verm\u00f6gen der Aktion\u00e4re. Dementsprechend muss die Gesch\u00e4ftsleitung darlegen k\u00f6nnen, dass sie keinesfalls blind bestandsgef\u00e4hrdende Risiken eingeht, die dieses Verm\u00f6gen gef\u00e4hrden. Diese Norm aus dem Aktiengesetz gilt auch in der GmbH: Hier ist es f\u00fcr die Gesch\u00e4ftsf\u00fchrung unter anderem verpflichtend, aus der IT-Sicherheit entstehende betriebsgef\u00e4hrdende Risiken zu kennen und entsprechend zu mitigieren.<\/p><p id=\"ember2236\" class=\"ember-view reader-content-blocks__paragraph\">Unternehmen m\u00fcssen bestehende Cybersicherheits-Workflows so anpassen, dass sie den neuen rechtlichen Vorgaben gerecht werden. Mit dem Bundesamt f\u00fcr Sicherheit in der Informationswirtschaft (BSI) gibt es nun eine Aufsichtsbeh\u00f6rde, die grunds\u00e4tzlich schon heute die M\u00f6glichkeit hat, Bu\u00dfgelder zu verh\u00e4ngen oder Anordnungen zu erlassen.<\/p><p id=\"ember2237\" class=\"ember-view reader-content-blocks__paragraph\">Was hei\u00dft das f\u00fcr die Gesch\u00e4ftsf\u00fchrung? Sp\u00e4testens jetzt sollte all das umgesetzt werden, was schon heute gesetzlich vorgegeben ist. Die Gesch\u00e4ftsf\u00fchrung ist auch nach altem Recht verpflichtet, bestandsgef\u00e4hrdende Entwicklungen zu erkennen. Jetzt, da Cyberkriminalit\u00e4t zur Alltagskriminalit\u00e4t geworden ist und Angriffe jeden treffen k\u00f6nnen, sind auch Cyberattacken als bestandsgef\u00e4hrdend zu definieren. Dr. Zaudig, juristischer Experte f\u00fcr IT-Sicherheit, empfiehlt Entscheidern dringend folgende Schritte umzusetzen und bereits bestehende IT-Sicherheitsma\u00dfnahmen entsprechend zu pr\u00fcfen:<\/p><ul><li>Klassifizierung der IT-Prozesse nach Relevanz f\u00fcr den Fortbestand des Betriebs,<\/li><li>Mindestens effektive Absicherung betriebsrelevanter Prozesse gegen Cyberangriffe,<\/li><li>Fortlaufendes Monitoring des Cybersicherheits-Status und bestehender Risiken sowie fortlaufende Aggregation der zugeh\u00f6rigen Informationen und regelm\u00e4\u00dfige Briefings der Gesch\u00e4ftsleitung,<\/li><li>Nutzung und Verarbeitung der erhaltenen Informationen in Risiko- und Business Continuity-Management durch die Gesch\u00e4ftsf\u00fchrung.<\/li><\/ul><blockquote id=\"ember2239\" class=\"ember-view reader-content-blocks__blockquote\"><p>Wird Cybersicherheit in Zukunft anders \u00fcberpr\u00fcft?<\/p><\/blockquote><p id=\"ember2240\" class=\"ember-view reader-content-blocks__paragraph\">Zum jetzigen Zeitpunkt ist es noch so, dass sich Unternehmen aktiv entscheiden k\u00f6nnen ein Cybersicherheits-Audit durchzuf\u00fchren und auf Basis der erhaltenen Informationen zu optimieren oder Vorgehensweisen zu \u00e4ndern. Die Durchf\u00fchrung eines solchen Audits ist eine rein unternehmerische Entscheidung. Ziel der Bundesregierung im Rahmen der Umsetzung der NIS2-Gesetzesnovelle ist es, das aktuelle Regime der IT-Sicherheitsgesetze auch auf den deutschen Mittelstand zu \u00fcbertragen. Das hei\u00dft, dass sich mittelst\u00e4ndische Unternehmen auditieren lassen m\u00fcssen und das BSI, entsprechend der Regelung f\u00fcr Betreiber kritischer IT-Infrastruktur, auch Einblick in die entstandenen Ergebnisberichte erh\u00e4lt. Bei Feststellung von Kern- oder Nebenabweichungen kann es in der Folge zu weiteren Pr\u00fcfungen, der Verf\u00fcgung von Abhilfema\u00dfnahmen oder Bu\u00dfgeldbescheiden seitens des BSI kommen. Aktuell passiert dies noch nicht fl\u00e4chendeckend, doch die gesetzlichen Grundlagen sind gegen\u00fcber den aktuelle Betreibern kritischer Infrastruktur und bei Erweiterung des gesetzlichen Rahmens durch NIS2 auch f\u00fcr weite Teile des deutschen Mittelstands gegeben.<\/p><blockquote id=\"ember2241\" class=\"ember-view reader-content-blocks__blockquote\"><p>Gibt es durch NIS2 \u00c4nderungen, wenn es um die Lieferkette geht?<\/p><\/blockquote><p id=\"ember2242\" class=\"ember-view reader-content-blocks__paragraph\">Die Antwort f\u00fcr diesen Fall ist nach Dr. Zaudig aus rechtlicher Sicht komplex. Ein einem Cyberangriff ausgesetztes Unternehmen bietet Angreifern die M\u00f6glichkeit, durch infizierte Emailanh\u00e4nge o.\u00e4. vernetzte Partnerunternehmen zu infiltrieren. Es stellt sich f\u00fcr den juristischen Experten als erstes die Frage, ob hier \u00fcberhaupt Recht zu beachten ist. Auf Basis der neuen IT-Sicherheitsgesetze ist das der Fall. Bei systemischer Betrachtung kann man erneut auf die organische Haftung verweisen: Das hei\u00dft, die Verantwortung f\u00fcr die Cybersicherheit liegt innerhalb des Betriebs. Gegen\u00fcber Dritten ist die Haftung eine Frage der Au\u00dfenhaftung. Wenn man Bedingungen an Gesch\u00e4ftspartner stellt, handelt es sich um Allgemeine Gesch\u00e4ftsbedingungen (AGB). Es gilt der Grundsatz, dass man von gesetzlichen Regelungen nicht abweichen darf, wenn diese einen Kerngedanken darstellen oder man Dritte unangemessen benachteiligt.<\/p><p id=\"ember2243\" class=\"ember-view reader-content-blocks__paragraph\">Die Europ\u00e4ische Union erl\u00e4sst ihre Rechtsakte NIS1 und NIS2 mit dem Ziel, dass das Vertrauen in die Digitalisierung gef\u00f6rdert und auch gesch\u00fctzt werden soll. Der Gesetzgeber hat technische Vorgaben analysiert und st\u00e4rkt die Entstehung von Vertrauenskreisen. Aus rechtlicher Sicht ist es f\u00fcr Unternehmen von entscheidender Bedeutung, dass sie ihre Systeme sicher miteinander verbinden und f\u00fcr Dritte \u00f6ffnen k\u00f6nnen. Doch wenn sie dies tun, besteht das Risiko, dass sich Schadsoftware auf diesem Weg in das eigene Netzwerk einschleicht. Deswegen muss jedes Unternehmen seine IT nach bestem Gewissen sichern und kein Unternehmen kann sich von dieser Verantwortung freistellen. Gesch\u00e4ftsf\u00fchrer m\u00fcssen sich der Tatsache bewusst sein, dass sie, unabh\u00e4ngig von einer vertraglichen Regelung (wie bei Verkehrssicherungspflichten), bei der Verbindung ihres Unternehmens mit einer anderen Unternehmens-IT weiteren Cyberrisiken ausgesetzt sind. Sie m\u00fcssen in der Lage sein, auch diese Risiken effektiv zu mitigieren, sobald sie Kenntnis erlangen.<\/p><p id=\"ember2244\" class=\"ember-view reader-content-blocks__paragraph\">Die Verkehrssicherung behandelt im Kern die Frage, wie Dritte vor identifizierten Gefahrenquellen gesch\u00fctzt werden m\u00fcssen: Auf welche Risiken m\u00fcssen Entscheider abstellen und f\u00fcr welche m\u00fcssen sie aktiv Vorsorge treffen? Zum technischen Themenkomplex gibt es eine zweite Ebene: Was konkret ist von der Gesch\u00e4ftsf\u00fchrung zu fordern und wie konkretisiert das Recht ihre Sicherheitspflichten? Auch hier wird es in Dr. Zaudigs Augen komplex: Einerseits m\u00f6chte der Gesetzgeber, dass die Gesch\u00e4ftsf\u00fchrung haftet, andererseits gibt der Gesetzgeber keinen sicheren Hafen vor. Es fehlt ein Normrahmen, der Ma\u00dfnahmen definiert, durch deren Abarbeiten die Gesch\u00e4ftsf\u00fchrung in jedem Fall compliant w\u00e4re. Wenn man das Gesetz aus dieser Perspektive zusammenfasst, steht dort, dass Unternehmen \u201eentsprechende\u201c Ma\u00dfnahmen ergreifen sollen. Wie diese Ma\u00dfnahmen aussehen, kann jedes Unternehmen selbst entscheiden, im Zweifel macht das ein Richter. In der aktuellen Praxis wird h\u00e4ufig darauf abgestellt, was die Aufsichtsbeh\u00f6rde in einem bestimmten Feld kommentiert. Diese ist an die Gesetze gebunden, darf sie aber nicht konkretisieren, wenn sie nicht im Rahmen einer Rechtsverordnung den Auftrag bekommt. Das ist im Kontext Cybersicherheit nicht der Fall. Das hei\u00dft, selbst wenn man sich an BSI-Standards h\u00e4lt (z.B. ISO 27001), ergeht am Ende trotzdem eine Entscheidung des gesetzlichen Richters \u00fcber einen konkreten Einzelfall, der im Zweifel nur nach dem Gesetz entschieden wird. Der Richter steht vor der Herausforderung, aus dem Gesetz abzuleiten, was \u201eangemessene\u201c Sicherheitsma\u00dfnahmen sind.<\/p><blockquote id=\"ember2245\" class=\"ember-view reader-content-blocks__blockquote\"><p>Was sind &#8222;angemessene&#8220; Cybersicherheits-Ma\u00dfnahmen?<\/p><\/blockquote><p id=\"ember2246\" class=\"ember-view reader-content-blocks__paragraph\">Das Thema \u201eangemessene\u201c Sicherheitsma\u00dfnahmen ist ein Grundlagenthema, das zum jetzigen Zeitpunkt noch wenig vorgezeichnet ist. Dr. Zaudig geht davon aus, dass das NIS2-Umsetzungsgesetz bestimmte Vorgaben (sog. Pflichtvorgaben) enthalten wird, die Unternehmen in der Cybersicherheit \u00fcbernehmen m\u00fcssen. F\u00fcr die Gesch\u00e4ftsf\u00fchrung gibt es in der Umsetzung dieser Vorgaben keinen Entscheidungsspielraum. Darauf aufbauend wird es f\u00fcr Zaudig eine Frage der Wissenschaft und der Rechtsprechung sein, auf betriebliche Belange der Betroffenen R\u00fccksicht zu nehmen. Dieses Thema wird aktuell zentral diskutiert. Ein Punkt, der bereits seit einiger Zeit diskutiert wird, ist die Frage, ob eine Verpflichtung zum Umgang mit Risiken letztlich dazu f\u00fchrt, dass Unternehmen eine Prognose treffen m\u00fcssen. Niemand kann wissen, ob und in welcher Form in der Zukunft die eigenen IT-Systeme attackiert werden. Somit w\u00e4re es schlicht unfair, der Gesch\u00e4ftsf\u00fchrung r\u00fcckblickend vorzuwerfen, sie habe sich nicht richtig verhalten. Es darf also nicht aus dem Fakt, dass eine Attacke stattgefunden hat, abgeleitet werden, dass die Gesch\u00e4ftsf\u00fchrung nicht richtig vorgesorgt hat. Man muss die Normen so auslegen, dass die Risiko-Hoheit bei den Betrieben belassen wird.<\/p><p id=\"ember2247\" class=\"ember-view reader-content-blocks__paragraph\">Dr. Zaudig gibt ein konkretes Beispiel: Rechtlich sind Unternehmen zum sinnhaften Umgang mit Risiken verpflichtet. Wenn die Gesch\u00e4ftsf\u00fchrung diese untergewichtet, macht sie sich strafbar. Hat ein Unternehmen in den Augen der Gesch\u00e4ftsf\u00fchrung angemessene Sicherheitsma\u00dfnahmen implementiert, kann eine pr\u00fcfende Beh\u00f6rde diese Angemessenheit anzweifeln. Es ist dem Unternehmen m\u00f6glich mit der Auslegungsbeh\u00f6rde dar\u00fcber zu streiten, welche Ma\u00dfnahmen konkret angemessen sind und zu welchen Ma\u00dfnahmen es verpflichtet ist. Die Diskussion kann bis zu dem Punkt gef\u00fchrt werden, an dem eine Bu\u00dfandrohung im Raum steht.<\/p><p id=\"ember2248\" class=\"ember-view reader-content-blocks__paragraph\">Die aktuelle rechtliche Situation f\u00fchrt dazu, dass der Normbefehl in sein Gegenteil verkehrt wird: Auf der ersten Ebene wird empfohlen, angemessene Risikovorkehrungen zu treffen. Auf der zweiten Ebene wird ausgef\u00fchrt, dass bei einer nicht risikoaversen Haltung und unzureichenden Ma\u00dfnahmen eine Strafbarkeit droht. Bei Entscheidern kommt also eher nicht die Nachricht an, dass sie ihr Unternehmen angemessen sch\u00fctzen m\u00fcssen, sondern die, dass sie Gefahr laufen sich strafbar zu machen. Das k\u00f6nnte dazu f\u00fchren, dass die Gesch\u00e4ftsf\u00fchrung entscheidet, \u00fcberdurchschnittlich viele Cybersicherheits-Ma\u00dfnahmen umzusetzen, um eigene Haftungsrisiken zu minimieren. Dieser Effekt muss nach Dr. Zaudig rechtlich eingehegt werden. Dahin bewegen sich auch Wissenschaft und Europ\u00e4ischer Gerichtshof. Beide haben das Ziel, Unternehmen keine reine Risikoaversion vorzugeben. Das hei\u00dft, auch wenn es ein Gesetze gibt, die Vorsorge f\u00fcr potenzielle Cyberattacken vorschreiben, bedeutet das nicht, dass man Cybersicherheit \u00fcber alles priorisieren muss. Die Gesetze erlauben in Dr. Zaudigs Augen immer noch kreative L\u00f6sungen und stellen auf den Einzelfall ab.<\/p><blockquote id=\"ember2249\" class=\"ember-view reader-content-blocks__blockquote\"><p>Kann man sich als Gesch\u00e4ftsf\u00fchrer also doch zur\u00fccklehnen und sagen: \u201eWir sind ISO 27001 zertifiziert, es gibt f\u00fcr mich nichts zu tun.\u201c?<\/p><\/blockquote><p id=\"ember2250\" class=\"ember-view reader-content-blocks__paragraph\">Mitnichten. Der Europ\u00e4ische Gerichtshof hat in der Rechtssache C340,21 Ende 2023 deutlich ausgesprochen, dass es einen klaren Ermessenspielraum beim eigenen IT-Sicherheitsmanagement gibt. Nach Dr. Zaudig ist das Urteil so zu lesen, dass die Gesch\u00e4ftsf\u00fchrung in der Auspr\u00e4gung der eigenen Cybersicherheitsma\u00dfnahmen ein Ermessen hat. Das hei\u00dft, Entscheider d\u00fcrfen nach Erkennen eines Risikoelements definieren, welche Ma\u00dfnahmen ergriffen werden sollen. Allerdings muss sich die Gesch\u00e4ftsf\u00fchrung auf eine \u00dcberpr\u00fcfung der eigenen Risikoanalysen und Risikogewichtung durch die Aufsichtsbeh\u00f6rde einstellen. Nach der Analyse liegt es im Ermessen der Entscheider, die ergriffenen Ma\u00dfnahmen innerhalb der rechtlichen Parameter zu interpretieren. Diese rechtliche \u201eExperimentierklausel\u201c wird in Deutschland allerdings durch den Stand der Technik eingeschr\u00e4nkt. Das Unternehmen darf sich nur dann Experimente erlauben, wenn der Stand der Technik dies zul\u00e4sst.<\/p><p id=\"ember2251\" class=\"ember-view reader-content-blocks__paragraph\">In jedem Fall muss eine Wirksamkeitskontrolle erfolgen: Die Ma\u00dfnahme muss \u00fcberwacht werden, um sicherzustellen, dass sie gegen das identifizierte Risiko wirksam ist. Das Unternehmen ben\u00f6tigt eine Risikoanalyse, darauf aufbauend m\u00fcssen passende Ma\u00dfnahmen geplant werden, die Ma\u00dfnahmen m\u00fcssen regelm\u00e4\u00dfig gepr\u00fcft und bei auftretenden Herausforderungen entsprechend angepasst werden.<\/p><blockquote id=\"ember2252\" class=\"ember-view reader-content-blocks__blockquote\"><p>Rein in der IT verankerte Cybersicherheits-Ma\u00dfnahmen werden jetzt auch von Juristen diskutiert.<\/p><\/blockquote><p id=\"ember2253\" class=\"ember-view reader-content-blocks__paragraph\">Cybersicherheit ist kein rein technisches Thema mehr, sondern auch ein rechtliches. Wesentlich ist, dass der EuGH dem externes Sachverst\u00e4ndigengutachten &#8211; einer gerade in Deutschland gern verwendeten Praxis \u2013 eine Absage erteilt hat: Das externes Sachverst\u00e4ndigengutachten ist jetzt nicht mehr ausreichend. Bei Streitigkeiten \u00fcber die ausreichende Absicherung von IT-Systemen wird in der Regel ein externer Gutachter zur Kl\u00e4rung des strittigen Sachverhalts herangezogen. Dies ist erforderlich, da der Richter selbst nicht \u00fcber die notwendige Expertise verf\u00fcgt. Bei der Frage, ob angemessene Ma\u00dfnahmen ergriffen wurden, darf ein Gericht in Fragen der Cybersicherheit nun keinen Sachverst\u00e4ndigen zu Rate ziehen, sondern muss den Sachverhalt selbst pr\u00fcfen. Das bedeutet, dass ein Sachverst\u00e4ndigengutachten auch im privaten Recht nicht mehr ausreicht. Der Private muss auch rechtlich pr\u00fcfen. Die Gesch\u00e4ftsf\u00fchrung muss somit die rechtliche Perspektive und die rechtliche Kontrolle in den eigenen Entscheidungsprozess miteinbeziehen.<\/p><blockquote id=\"ember2254\" class=\"ember-view reader-content-blocks__blockquote\"><p>Cybersicherheit unterliegt nicht mehr allein der Disposition der Betriebe.<\/p><\/blockquote><p id=\"ember2255\" class=\"ember-view reader-content-blocks__paragraph\">Der Kern der Entwicklung der IT-Sicherheitsgesetze ist nach Dr. Zaudig eine neue Sichtweise auf die Thematik. Die Gesch\u00e4ftsf\u00fchrung darf nicht mehr frei auf Absicherung bestimmter Cyberrisiken verzichten und muss sich darauf einstellen, dass im Zweifelsfall \u00fcber ihre Cybersicherheits-Entscheidungen verhandelt und diese von einer Aufsichtsbeh\u00f6rde und oder Gerichten \u00fcberpr\u00fcft werden.<\/p><p id=\"ember2256\" class=\"ember-view reader-content-blocks__paragraph\">M\u00fcssen mittelst\u00e4ndische Entscheider also sp\u00e4testens jetzt einen Risikoprozess f\u00fcr die Cybersicherheit aufsetzen? Und: M\u00fcssen sie diesen auch juristisch pr\u00fcfen lassen? In der Tat. Wenn die aktuelle Cybersicherheits-Strategie schon von Auditoren gepr\u00fcft und f\u00fcr gut befunden wurde, eventuell sogar ein ISO 27001-Management vorliegt, ist das aus juristischer Perspektive nicht der Ma\u00dfstab des Gerichts. Rechtlich relevant (auch f\u00fcr das BSI als verantwortliche Aufsichtsbeh\u00f6rde) ist es, ob das Gesetz entsprechend eingehalten wurde. Wenn man auf das alte Gesellschaftsrecht bezogen den unternehmerischen Umgang mit Risiken in den Mittelpunkt stellt, wird die Gesch\u00e4ftsf\u00fchrung, wenn sie ein Cybersicherheits-Risikomanagement gestaltet und umsetzt, damit in jedem Fall ihrer Sorgfaltspflicht gerecht. Doch ab dem Moment, in dem es, wie im Kontext NIS2 geplant, gesetzliche Anforderungen an das Risikomanagement gibt, gelten nur diese Anforderungen. Weder ISO-Zertifizierungen noch andere Regelungen sind dann im juristischen Kontext ma\u00dfgeblich. Das bedeutet allerdings nicht, dass ISO 27001 keine Grundlage mehr hat. Bei allem, was technische Grundlagen betrifft, haben die Aussagen des BSI immer noch Aussagekraft, weil die Beh\u00f6rde sorgf\u00e4ltiger und mit mehr Expertise arbeitet. Unternehmen m\u00fcssen jedoch wissen, dass das Gesetz in Teilen (und sei es nur im Detail) von diesen Vorgaben abweicht.<\/p><p id=\"ember2257\" class=\"ember-view reader-content-blocks__paragraph\">Ein gutes Beispiel ist das Thema Auditierung, die regelm\u00e4\u00dfige Erfolgskontrolle: Wenn man in die Best Practices schaut, ist Auditierung eine gute Ma\u00dfnahme. Das Recht allerdings fordert bei der Compliance \u00fcberraschende, stichprobenartige Kontrollen. Wenn die Gesch\u00e4ftsf\u00fchrung also nur einen Auditplan, aber keine spontanen Kontrollen geplant hat, w\u00e4re das Unternehmen hier aus rechtlicher Perspektive non-compliant.<\/p><p id=\"ember2258\" class=\"ember-view reader-content-blocks__paragraph\">Dr. Zaudig versteht, dass es Unternehmens-Entscheidern keinen Spa\u00df macht, Rechtsanw\u00e4lte in eine weitere Materie einzuladen. Doch aus fachlicher Perspektive f\u00fchrt daran kein Weg vorbei. Jede Gesch\u00e4ftsf\u00fchrung wird mit hoher Wahrscheinlichkeit in eine Situation kommen, in der sie ihre Entscheidungen bez\u00fcglich der IT-Sicherheit rechtlich verteidigen muss. Auf diese Situation sollte sich mit einem Anwalt vorbereitet werden. Trotzdem gibt es f\u00fcr Entscheider keinen wirklichen Grund, Angst vor den Neuerungen zu haben. Cybersicherheits-Management ist Risikomanagement und damit ein Teil der Gesch\u00e4ftsf\u00fchrungs-Expertise: Unternehmensf\u00fchrung und das Management der damit einhergehenden Risiken ist Ihr Beruf. Es besteht kein Zweifel, dass Sie als Entscheider in Ihrem Unternehmen auch die Herausforderungen, die das IT-Sicherheitsmanagement stellt, meistern werden. Sie haben auf das fehlende Fachwissen durch viele Wege Zugriff: Software, Berater, Dienstleister etc. stehen zu ihrer Verf\u00fcgung. Die Hauptsache ist, dass Ihr Weg f\u00fcr Ihr Unternehmen funktioniert und auch nachgehalten werden kann. Wenn das gegeben ist, wird nach Dr. Zaudig der Gesetzgeber in der n\u00e4chsten Zeit an Ihrem Vorgehen nichts \u00e4ndern wollen.<\/p><blockquote id=\"ember2259\" class=\"ember-view reader-content-blocks__blockquote\"><p>Was sollten Gesch\u00e4ftsf\u00fchrer jetzt tun?<\/p><\/blockquote><ul><li><strong>Bewahren Sie Ruhe<\/strong>. Gesetze schreiben keinen Anforderungskatalog, dem zu 100% Folge geleistet werden muss. Der Kern des Gesellschaftsrechts ist die Wahrung der unternehmerischen Freiheit. Was die IT-Sicherheitsgesetze anstreben, ist die Pr\u00fcfung unternehmerischer Entscheidungsspielr\u00e4ume, ohne sie auf eine einzige richtige Handlungsweise zu beschr\u00e4nken. Wenn immer sich ein Unternehmen mit IT-Sicherheit befasst, ist der Kern des Gesetzes, dass wirksame L\u00f6sungen entwickelt werden m\u00fcssen. Unternehmen sind keinesfalls gezwungen Dinge umzusetzen, die nicht zu Ihrem Betrieb passen.<\/li><li><strong>Entwickeln Sie eine passende, ganzheitliche IT-Sicherheitsstruktur. <\/strong>Analysieren Sie, was technisch in Ihrem Unternehmen m\u00f6glich ist und was organisatorisch und von den Mitarbeitenden gut umgesetzt werden kann. Beachten Sie, dass eine \u00dcbergewichtung einer der oben genannten Ebenen aus rechtlicher Perspektive immer falsch ist. Das Gleichgewicht aller Ebenen ist rechtlich w\u00fcnschenswert. Innerhalb dieser Vorgabe sind der Kreativit\u00e4t f\u00fcr eine passende, ganzheitliche Cybersicherheits-Struktur keine Grenzen gesetzt.<\/li><li><strong>Verankern Sie Cybersicherheit auf der Gesch\u00e4ftsf\u00fchrungsebene<\/strong>. In der NIS2-Gesetzesnovelle wird dies eine rechtliche Voraussetzung sein. Falls noch nicht gesehen, k\u00f6nnen Unternehmen schon jetzt mit der Umsetzung beginnen. NIS2 setzt voraus, dass die Gesch\u00e4ftsf\u00fchrung IT-Sicherheitsma\u00dfnahmen mindestens billigt, also aus der rechtlichen Perspektive mitzeichnet. Die Gesch\u00e4ftsf\u00fchrung muss sich somit jede Cybersicherheits-Entscheidung zu eigen machen. Der gesamte Pflichtenma\u00dfstab, der auch schon vorher galt, wird an die Gesch\u00e4ftsf\u00fchrung \u00fcbertragen. Der Entscheidungsprozess zu diesem Thema kann nicht mehr komplett an die IT (CISO oder CIO) delegiert werden. Zusammenh\u00e4ngende Entscheidungen k\u00f6nnen nur noch von der Gesch\u00e4ftsf\u00fchrung getroffen werden. Sie muss somit Wege und Mittel finden zu verstehen, was in der Unternehmens-Cybersicherheit passiert und in der Lage sein, effektive Entscheidungen bez\u00fcglich Cybersicherheit und Risikomitigierung zu treffen. Gehen Sie im Kontext sicher, dass Sie genau wissen, wo Entscheidungen juristisch gesehen offen und wo sie rechtlich gebunden sind.<\/li><\/ul>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t<div class=\"elementor-element elementor-element-570e307 elementor-widget elementor-widget-button\" data-id=\"570e307\" data-element_type=\"widget\" data-widget_type=\"button.default\">\n\t\t\t\t<div class=\"elementor-widget-container\">\n\t\t\t\t\t\t\t\t\t<div class=\"elementor-button-wrapper\">\n\t\t\t\t\t<a class=\"elementor-button elementor-button-link elementor-size-sm\" href=\"https:\/\/www.linkedin.com\/build-relation\/newsletter-follow?entityUrn=6970730269611810816\" target=\"_blank\">\n\t\t\t\t\t\t<span class=\"elementor-button-content-wrapper\">\n\t\t\t\t\t\t\t\t\t<span class=\"elementor-button-text\">Auf LinkedIn abonnieren<\/span>\n\t\t\t\t\t<\/span>\n\t\t\t\t\t<\/a>\n\t\t\t\t<\/div>\n\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t<\/div>","protected":false},"excerpt":{"rendered":"<p>Wie immer mit interessanten Aktivit\u00e4ten im Mai, dem Link zum Livestream und vielem mehr.<\/p>","protected":false},"author":1,"featured_media":3701,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"site-sidebar-layout":"default","site-content-layout":"","ast-site-content-layout":"","site-content-style":"default","site-sidebar-style":"default","ast-global-header-display":"","ast-banner-title-visibility":"","ast-main-header-display":"","ast-hfb-above-header-display":"","ast-hfb-below-header-display":"","ast-hfb-mobile-header-display":"","site-post-title":"","ast-breadcrumbs-content":"","ast-featured-img":"","footer-sml-layout":"","theme-transparent-header-meta":"","adv-header-id-meta":"","stick-header-meta":"","header-above-stick-meta":"","header-main-stick-meta":"","header-below-stick-meta":"","astra-migrate-meta-layouts":"default","ast-page-background-enabled":"default","ast-page-background-meta":{"desktop":{"background-color":"var(--ast-global-color-4)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"ast-content-background-meta":{"desktop":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"footnotes":""},"categories":[12],"tags":[],"class_list":["post-3603","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-newsletter"],"_links":{"self":[{"href":"https:\/\/www.secida.com\/en\/wp-json\/wp\/v2\/posts\/3603","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.secida.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.secida.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.secida.com\/en\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.secida.com\/en\/wp-json\/wp\/v2\/comments?post=3603"}],"version-history":[{"count":9,"href":"https:\/\/www.secida.com\/en\/wp-json\/wp\/v2\/posts\/3603\/revisions"}],"predecessor-version":[{"id":3719,"href":"https:\/\/www.secida.com\/en\/wp-json\/wp\/v2\/posts\/3603\/revisions\/3719"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.secida.com\/en\/wp-json\/wp\/v2\/media\/3701"}],"wp:attachment":[{"href":"https:\/\/www.secida.com\/en\/wp-json\/wp\/v2\/media?parent=3603"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.secida.com\/en\/wp-json\/wp\/v2\/categories?post=3603"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.secida.com\/en\/wp-json\/wp\/v2\/tags?post=3603"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}