Advertisement

Meldepflichten nach DSGVO, ITSiG bzw. NIS-Richtlinie: Vorgaben und Prüfung

  • Aleksandra SowaEmail author
Chapter

Zusammenfassung

Menschen machen Fehler. Maschinen machen Fehler. Nolens volens kommt es in jeder Organisation irgendwann zu Sicherheits- oder Datenschutzvorfällen. In solchen Fällen ist derjenige im Vorteil, der vorbereitet ist. Eine Herausforderung liegt dabei auch in der Erfüllung der Pflichten zur behördlichen Meldung des Vorfalls. Zu den bereits bestehenden Meldepflichten über IT-Störungen, u. a. aus dem BSIG, TKG und aus Spezialgesetzen, ist jüngst die Pflicht zur Meldung der Verletzung des Schutzes personenbezogener Daten hinzugekommen. Angesichts der kurzen vorgeschriebenen Reaktionszeiten ist eine gemeinsame Berücksichtigung der verschiedenen Meldepflichten im Incident- sowie Notfallmanagement nahezu zwingend. Im vorliegenden Kapitel werden Vorgaben zu den Meldepflichten aus dem BSIG und der DSGVO zusammengestellt und Ansätze zur Prüfung der Umsetzung dieser Meldepflichten durch die Revision entwickelt.

Literatur

  1. 1.
    Schuster H (2018) „Unterschätzte Konsequenzen nach Cyber-Attacken“, Vogel Business Media/DATEV Rubrik „Trends und Innovationen“. https://www.datev.de/web/de/aktuelles/trends-und-innovationen/unterschaetzte-konsequenzen-nach-cyber-attacken/. Zugegriffen: 6. Aug. 2018
  2. 2.
    Hanßen H (2017) „Umsetzung der NIS-Richtlinie: neue Pflichten für Anbieter digitaler Dienste“, 27.01.2017. http://hoganlovells-blog.de/2017/01/27/umsetzung-der-nis-richtlinie-neue-pflichten-fuer-anbieter-digitaler-dienste/. Zugegriffen: 31. Mai 2018
  3. 3.
    BMI (2014) Pressemitteilung IT-Sicherheitsgesetz. http://www.bmi.bund.de/SharedDocs/Kurzmeldungen/DE/2014/12/bundeskabinett-beschlie%C3%9Ft-it-sicherheitsgesetz.html. Zugegriffen: 31. Mai 2018
  4. 4.
    BSI-KritisV (2016) Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-Kritisverordnung – BSI-KritisV). https://www.gesetze-im-internet.de/bsi-kritisv/BJNR095800016.html. Zugegriffen: 22. Apr. 2016
  5. 5.
    BSI (2016) Das IT-Sicherheitsgesetz. Kritische Infrastrukturen schützen. BSI, BonnGoogle Scholar
  6. 6.
    BSI (2015) Die Lagebericht der IT-Sicherheit in Deutschland. BSI, Bonn (November 2016)Google Scholar
  7. 7.
    BSI (n. d.) Fragen und Antworten für Betreiber Kritischer Infrastrukturen zur Meldepflicht nach dem IT-Sicherheitsgesetz. https://www.bsi.bund.de/DE/Themen/Industrie_KRITIS/KRITIS/IT-SiG/FAQ/FAQ_zur_Meldepflicht/faq_meldepflicht_node.html. Zugegriffen: 6. Juli 2018
  8. 8.
    Fischer-Dieskau S (2017) „Umsetzung des IT-SiG – wo stehen wir?“, CAST-Workshop „Herausforderungen bei der Umsetzung von IT-SiG und DSGVO“, 11 Mai 2017Google Scholar
  9. 9.
    BSI. Melde- und Informationsportal des BSI, https://mip.bis.bund.de. Zugegriffen: 11. Mai 2017
  10. 10.
    BSI (2008) BSI-Standard 100-4: Notfallmanagement. BSI, BonnGoogle Scholar
  11. 11.
    FFIEC (2015) Business Continuity Planning (BCP). IT Examination Handbook. Federal Financial Institutions Examination Council, Februar 2016Google Scholar
  12. 12.
    Artikel-29-Arbeitsgruppe, WP 250 rev01 „Guidelines on personal data breach notification under Regulation 679/679“Google Scholar
  13. 13.
    Jandt in Kühling/Buchner (2018) DSGVO, 2. AuflGoogle Scholar
  14. 14.
    DSK-Kurzpapier Nr. 18 (2018)Google Scholar
  15. 15.
    Martini in Paal/Pauly, 2. Aufl. 2018, DSGVO, Art. 33Google Scholar
  16. 16.
    Marschall (2015) DuD, 183, 184Google Scholar
  17. 17.
    Schreibauer/Spittka (2017) in Wytibul (Hrsg.), EU-Datenschutz-GrundverordnungGoogle Scholar
  18. 18.
    Hanßen H, Sowa A (2018) „Meldepflichten an Behörden nach DSGVO, ITSiG und NIS-Richtlinie“, < kes > – Zeitschrift für Informations-Sicherheit, 4/2018Google Scholar
  19. 19.
    BaFin (2018) Rundschreiben 10/2017 (BA) in der Fassung vom 14.09.2018. Bankaufsichtliche Anforderungen an die IT (BAIT), 14. Sept. 2018Google Scholar
  20. 20.
    BaFin und BSI (2018) „Bankaufsichtliche Anforderungen an die IT Kritischer Infrastrukturen“, Rundschreiben an die Geschäftsleitungen der Unternehmen, die gemäß BSI-Kritisverordnung Betreiber Kritischer Infrastrukturen im Sektor Finanzen und Versicherungswesen sind, 3. Aug. 2018Google Scholar
  21. 21.
    BSI (2017) Orientierungshilfe zu Nachweisen gemäß § 8a (3) BSIG (Version 0.9.02), 30. Juni 2017Google Scholar
  22. 22.
    ENISA (2017) incident notification for DSPs in the context of the NIS Directive. A comprehensive guideline on how to implement notification for digital service providers, in the context of the NIS Directive. February 2017Google Scholar
  23. 23.
    BaFin (2017) Rundschreiben 09/2017 (BA) – Mindestanforderungen an das Risikomanagement – MaRisk, (Geschäftszeichen BA 54-FR 2210-2017/0002), 27. Okt. 2017Google Scholar
  24. 24.
    ISO (2005) ISO/IEC 27001:2005 Information technology – security techniques – information security management systems – requirements. ISO, GenevaGoogle Scholar
  25. 25.
    ISO (2013) ISO/IEC 27002:2013 Information technology – security techniques – code of practice for information security management. ISO, GenevaGoogle Scholar
  26. 26.
    ISACA (2016) Implementierungsleitfaden ISO/IEC 27001:2013. ISACA Germany – Fachgruppe InformationssicherheitGoogle Scholar
  27. 27.
    Hanßen H (2018) Meldung von Datenpannen nach der DSGVO: Meldeformulare der Aufsichtsbehörden. http://hoganlovells-blog.de/2018/07/30/meldung-von-datenpannen-nach-der-dsgvo-meldeformulare-der-aufsichtsbehoerden/. Zugegriffen: 30. Juli 2018
  28. 28.
    Sowa A (2017) Management der Informationssicherheit. Springer, WiesbadenCrossRefGoogle Scholar

Copyright information

© Springer Fachmedien Wiesbaden GmbH, ein Teil von Springer Nature 2019

Authors and Affiliations

  1. 1.Deutsche Telekom AGBonnDeutschland

Personalised recommendations