Скачать книгу

- - geografische Ausdehnung math math - - Ursache math math - - Folgen - math math math Maßnahmen - - math math Kontakt für Nachfragen - - math math Meldefrist unverzüglich unverzüglich unverzüglich 72 Stunden Meldestelle BSI BNA, BSI BNA, BfDI DS-Aufsicht

      Tabelle 3.1: Die expliziten gesetzlichen Vorgaben für Unternehmen bezüglich der Meldepflicht eines IT-Sicherheits- beziehungsweise Datenschutzvorfalls.

      Die Meldepflichten sollen den Druck auf Unternehmen und Behörden erhöhen, die Vorgaben auch ernst zu nehmen. Hinzu kommt, dass das BSI regelmäßig Lagebilder zur Situation der IT-Sicherheit in Deutschland erstellt. Auch hierzu werden Daten über Vorfälle benötigt. Der Austausch von Informationen zu Vorfällen kann bisher nicht betroffenen Unternehmen helfen, sich selber besser aufzustellen. Der Austausch und das Voneinander-Lernen sind ein wesentlicher Aspekt der Verbesserung der Informationssicherheit, auf den wir im Kapitel 15 ausführlich eingehen.

      Im Rahmen der Evaluierung der NIS-Richtlinie war die Europäische Kommission unzufrieden mit der Bandbreite der Umsetzungen der Meldepflicht in den verschiedenen Mitgliedsländern. Unternehmen, die in Ländern mit weniger stringenten Vorgaben ansässig sind, haben Wettbewerbsvorteile, da die weniger aufwendigen Meldevorgaben weniger Kosten verursachen. Unternehmen, die in mehreren Mitgliedsländern tätig sind, müssen die unterschiedlichen Meldepflichten beachten und haben dadurch Nachteile. Insofern will die Kommission die Vorgaben zur Meldepflicht stringenter fassen und damit vereinheitlichen.

      Zur Konkretisierung werden sowohl im BSI-Gesetz (§ 8a Abs. 2) als auch in der DS-GVO (Art. 40 Abs. 2 lit. h) branchenspezifische IT-Sicherheitsstandards (kurz B3S) vorgesehen. Diese Standards müssen vom BSI beziehungsweise den Datenschutzaufsichtsbehörden genehmigt werden. Das BSI bezieht sich bei Vorgaben natürlich gerne auf seinen eigenen Standard, den IT-Grundschutz (siehe Kapitel 8).

      Die DS-GVO schreibt in Art 40 Abs. 4 DS-GVO vor, dass die Standards (in der deutschen Fassung der DS-GVO unglücklich »Verhaltensregeln« genannt) zwingend Regelungen zur »obligatorischen Überwachung der Einhaltung ihrer Bestimmungen durch die Verantwortlichen oder die Auftragsverarbeiter, die sich zur Anwendung der Verhaltensregeln verpflichten« enthalten müssen. Die Verhaltensregeln können neben dem technisch-organisatorischen Vorgehen auch die rechtlichen Rahmenbedingungen für die Verarbeitung personenbezogener Daten konkretisieren und gestalten. Eine Verhaltensregel zur IT-Sicherheit und zum technisch-organisatorischen Datenschutz sollte unabhängig von den anderen materiell-rechtlichen Regelungsbereichen sein. Dadurch werden die Zeitskalen für erforderliche Aktualisierungen getrennt. Technik entwickelt sich im Allgemeinen schneller als rechtliche Vorgaben.

      Mit dem § 75b wurde Ende 2019 eine Vorschrift zur Sicherstellung der IT-Sicherheit in ärztlichen, psychotherapeutischen und zahnärztlichen Praxen in das SGB V aufgenommen. Danach müssen von den Kassenärztlichen Bundesvereinigungen »Richtlinien zur IT-Sicherheit in der vertragsärztlichen und vertragszahnärztlichen Versorgung« erstellt werden. Diese wörtlich identischen Richtlinien sind Anfang 2021 in Kraft getreten.

      Der etwas später in das SGB-V eingefügte § 75c macht Vorgaben zur IT-Sicherheit in Krankenhäusern, die nicht unter die KRITIS-Regeln fallen (das sind kleinere Krankenhäuser mit weniger als 30.000 stationären Aufnahmen pro Jahr). Diese Vorgaben müssen seit dem 1. Januar 2022 von den kleineren Krankenhäusern eingehalten werden.

      Damit sind im medizinischen Bereich rechtliche Vorgaben zur IT-Sicherheit von der kleinsten Praxis bis zum größten Universitätsklinikum vorhanden. Die Vorgaben sind nicht einheitlich und leider über zwei Gesetze verteilt. Auf Dauer ist es nicht sinnvoll, die rechtlichen Vorgaben zur IT-Sicherheit in branchenspezifische Spezialgesetze wie zum Beispiel das SGB V zu schreiben. Es ist besser, wie auch im Datenschutz, sie in einem Gesetz branchenübergreifend zu bündeln.

      Für Betreiber öffentlicher Telekommunikationsnetze und Anbieter

Скачать книгу