SAP SECURITY 2017
22.11.17 - 22.11.17
In Walldorf, Leonardo Hotel

Cloud Expo Europe
28.11.17 - 29.11.17
In Frankfurt

Data Centre World
28.11.17 - 29.11.17
In Frankfurt

IT-Tage 2017
11.12.17 - 14.12.17
In Frankfurt, Messe Kap Europa

Net.Law.S 2018
20.02.18 - 21.02.18
In Nürnberg, Messezentrum

Are you ready?Zwei wichtige neue Gesetze für Sicherheit und Privatsphäre stehen derzeit in Europa im Rampenlicht: die Richtlinie zur Netz- und Informationssicherheit (NIS) und die Datenschutz-Grundverordnung (GDPR).

Warum ist dies wichtig für global agierende Unternehmen?

Mit diesen Gesetzen verschärft die EU die Sicherheitsanforderungen für potenziell jedes Unternehmen, das sein Geschäft in Europa betreibt und legt auch den Grundstein für eine verstärkte Durchsetzung der Benachrichtigungspflicht bei sicherheitsrelevanten Vorfällen.

Die GDPR gilt für Unternehmen, auch wenn diese außerhalb Europas ansässig sind, und beinhaltet erhöhte mögliche Strafen von bis zu vier Prozent des jährlichen weltweiten Umsatzes. Insbesondere fordern beide Gesetze von den Unternehmen angemessene Sicherheitsmaßnahmen auf dem Stand der Technik im Hinblick auf ihre Risiken, persönliche Daten sowie den Schutz von Netzen und Informationssystemen.

Im Rahmen der NIS-Richtlinie müssen Unternehmen den Behörden Cybersicherheitsvorfälle melden, wenn diese einen signifikanten oder wesentlichen Einfluss auf die Bereitstellung oder Kontinuität ihrer Dienste haben; Entsprechend der GDPR, müssen Unternehmen den zuständigen Behörden alle Verletzungen der persönlichen Daten mitteilen, es sei denn, es ist unwahrscheinlich, dass die Verletzung in einem Risiko für die Rechte und Freiheiten des Einzelnen resultiert.

Wann müssen die Unternehmen vorbereitet sein?

Die NIS-Richtlinie muss bis zum 10. Mai 2018 von den EU-Mitgliedstaaten in ihre nationale Gesetzen übernommen und angewandt werden. Bis zu diesem Zeitpunkt werden die Unternehmen über die spezifischen Anforderungen unterrichtet sein, die in ihrem Mitgliedstaat angewandt und durchgesetzt werden.

Wer hat die NIS-Richtlinie zu erfüllen?

Die NIS-Richtlinie gilt für bestimmte Unternehmen, nämlich die Betreiber von grundlegenden Diensten und für digitale Dienstleister.

  • Zu Betreibern von grundlegenden Diensten zählen Unternehmen in den Bereichen Transport, Energie und Gesundheitswesen. Die Mitgliedstaaten sind dafür verantwortlich, die Unternehmen in diesen Kategorien zu identifizieren.
  • Digitale Serviceprovider sind Unternehmen, die eine der drei Leistungen erbringen: Cloud-Computing-Services, Online-Marktplätze oder Online-Suchmaschinen.

Für wenn gilt die GDPR?

Die GDPR gilt für Unternehmen, die eines der folgenden Kriterien erfüllen:

  • Sie sind in der EU ansässig.
  • Ihr Angebot an Waren oder Dienstleistungen richtet sich an EU-Bürger.
  • Sie erfassen das Verhalten der EU-Bürger, was innerhalb der Europäischen Union stattfindet.

Die GDPR ist eine Verordnung und als solche müssen die Mitgliedstaaten nationale Gesetze zu verabschieden, um sie umzusetzen. Die Unternehmen müssen der Regelung bis zum 25. Mai 2018 nachkommen.

Angesichts der Tiefe der Gesetze, wird das Etablieren oder Verfeinern der Cybersicherheitspraktiken in Übereinstimmung mit der NIS-Richtlinie und der GDPR einen funktionsübergreifenden Prozess notwendig machen, der sich über viele Monate erstrecken kann. Führungskräfte sollten daher proaktiv handeln und einen Identifizierungsprozess starten, wie sich die Praxis unverzüglich mit den Gesetzen in Einklang bringen lässt.

Aufbau eines Bereitschaftsplans

Die NIS-Richtlinie und die GDPR können Unternehmen als Chance nutzen, um Cyber- und Datenschutzrisiken mit einem neuen Ansatz zu verwalten, indem Sie den Fokus auf Prävention verlagern und globale Quellen von Bedrohungsdaten nutzen, um ihre kritischen Informationsbestände zu schützen. Um diesen Prozess zu beginnen, sollten sich die Verantwortlichen für Informationssicherheit und Datenschutz im Unternehmen die folgenden Fragen stellen:

A: Gelten die NIS-Richtlinie und die GDPR für unser Unternehmen?
B: Wurden bereits Verantwortliche für die Einhaltung dieser Gesetze identifiziert?
C: Wie bestimmen wir, was der Stand der Technik („State-of-the-Art“) für unser Unternehmen ist?
D: Haben wir bereits das Risiko für unsere Daten oder unsere Systeme beurteilt?

Aktivitäten starten

Sprechen Sie mit Ihrem Datenschutzbeauftragten, CISO und CIO über zeitgemäße Maßnahmen, um die persönlichen Daten der EU-Bürger sowie sensible Geschäftsdaten zu schützen. Sprechen Sie mit Ihrer Rechtsabteilung, um festzustellen, ob Sie entweder von der NIS-Richtlinie oder der GDPR oder von beiden betroffen sind. Bestimmen Sie Ihre Fähigkeit, den Gesetzen nachzukommen und die Umsetzung der Gesetze in den EU-Ländern, in denen Sie Geschäfte machen, zu verfolgen.

www.paloaltonetworks.com
 

GRID LIST
Tb W190 H80 Crop Int 706ed058ba0004d4fe9159b0807ac61f

WhatsApp und Co. können für Unternehmen teuer werden

Mit Inkrafttreten der EU-Datenschutzverordnung werden Kommunikationstools wie WhatsApp…
Frau hält EU-Flagge

DSGVO und Versicherer – Eins nach dem Anderen

Die EU-Datenschutz-Grundverordnung stärkt den Datenschutz und die Rechte der Versicherten…
Tb W190 H80 Crop Int 41266e15a4e5a9846fa11a56dc162bde

Compliance-Check testet Datenschutzpraxis von Unternehmen

Der europäische Security-Hersteller ESET stellt Organisationen und Unternehmen einen…
Datenschutz

Ab 2018 haften Geschäftsführer in Millionenhöhe

Wenn Geschäftsführer und Vorstände die neue EU-Datenschutz-Grundverordnung (DSGVO) nicht…
Security Specialist

Der moderne Datenschutzbeauftragte

Mittlerweile ist Datenschutz in aller Munde, unter anderem durch neue Regularien, die in…
Marcel Mock

Zweiter Anlauf für den Verschlüsselungsstandort Nummer 1 | Statement

Wir dürfen gespannt sein, wie die neue Bundesregierung die vom letzten Kabinett…
Frische IT-News gefällig?
IT Newsletter Hier bestellen:

Newsletter IT-Management
Strategien verfeinert mit profunden Beiträgen und frischen Analysen

Newsletter IT-Security
Pikante Fachartikel gewürzt mit Shortnews in Whitepaper-Bouquet