Im vierten Teil unserer Blogreihe „sicher & resilient“ schauen wir auf den Cyber Resilience Act (CRA) und dessen Anforderungen an die Produktsicherheit sowie die Pflichten für Hersteller. Der CRA ergänzt die bestehenden Sicherheitsregelungen, indem er erstmals die Produktsicherheit digitaler Geräte und Software in den Fokus rückt. Während das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes (NIS2UmsuCG, Regierungsentwurf) und das […]
Informationssicherheit
Informationssicherheit
„sicher & resilient“: das KRITIS-Dachgesetz – Teil 3
Im dritten Teil unserer Blogreihe „sicher & resilient“ schauen wir auf das KRITIS-Dachgesetz, das als Regierungsentwurf am 06.11.2024 verabschiedet, aber als Gesetz bisher noch nicht verkündet wurde. Das KRITIS-Dachgesetz ergänzt das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG, Regierungsentwurf), indem es die Anforderungen an die Sicherheit und Resilienz kritischer Infrastrukturen in Deutschland erweitert. Während das NIS2UmsuCG den Fokus […]
„sicher & resilient“: Anforderungen und Umsetzung des NIS2UmsuCG – Teil 2
Im zweiten Teil unserer Blogreihe „sicher & resilient“ befassen wir uns mit den Anforderungen und der Umsetzung des NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes, kurz NIS2UmsuCG (Regierungsentwurf vom 22.07.2024, das Gesetz ist noch nicht verkündet). Das NIS2UmsuCG markiert einen Meilenstein für die Cybersicherheitsstrategie in Deutschland. Es setzt die EU-Richtlinie NIS 2 national um und verpflichtet Betreiber kritischer und […]
„sicher & resilient“: NIS2UmsuCG, KRITIS-Dachgesetz und Cyber Resilience Act (CRA) – Teil 1
In unserer Blogreihe „sicher & resilient“ möchten wir Ihnen einen Überblick über die neuen Anforderungen aus dem NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG), dem KRITIS-Dachgesetz und dem Cyber Resilience Act (CRA) geben. Wir beleuchten dabei die Synergien dieser Regelwerke und zeigen praktische Herausforderungen für den Umsetzungs- und Auditierungsprozess auf. Die Sicherheit kritischer Infrastrukturen und digitaler Produkte steht […]
Rechnungsversand per E-Mail birgt erhebliche Risiken für Unternehmen
Viele Unternehmen versenden im B2C-Bereich ihre Rechnungen inzwischen digital. Dass dies jedoch auch nach hinten losgehen und das Unternehmen im schlimmsten Fall auf der unbezahlten Forderung sitzen bleibt, zeigt das Urteil des OLG Schleswig (OLG) vom 18.12.2024 (Az. 12 U 9/24). Zum Sachverhalt Ein privater Kunde überwies eine Rechnung in Höhe von über 15.000 Euro […]
RUN – Neue Prüfvorgaben des BSI
Das „RUN“-Dokument – steht für „Reife- und Umsetzungsgradbewertung im Rahmen der Nachweisprüfung“ – des Bundesamts für Sicherheit in der Informationstechnik (BSI) wurde am 2. Januar 2025 in Version 1.0 veröffentlicht (vgl. Mitteilung des BSI). Es bietet einen einheitlichen und strukturierten Ansatz, um die Umsetzung der Anforderungen aus § 8a BSIG zu bewerten. Dieser Blogbeitrag beschreibt […]
NIS-2 Umsetzung in Deutschland nicht mehr vor der Bundestagswahl
Nachdem Mitte Januar vom Bitkom noch eine Meldung kam, dass die FDP kurzfristig auf einen Beschluss zum NIS2UmsuCG hinwirken möchte, berichtete der Tagesspiegel Background heute, dass die Gespräche dazu gescheitert sind. Das NIS2UmsuCG wird in dieser Legislaturperiode also nicht mehr verabschiedet – genau wie das KRITIS-Dachgesetz. Laut Tagesspiegel Background geben sich SPD, Grüne und FDP […]
Enhancing Cybersecurity in the EU: Implementing the NIS2 Directive
The European Commission has taken a significant step forward in ensuring robust cybersecurity across the Union with the adoption of the Commission Implementing Regulation C(2024) 7151 on October 17, 2024. This regulation delineates the technical and methodological requirements for cybersecurity risk management under the NIS2 Directive. It also specifies when incidents are to be considered […]
Europäischer Datenschutzausschuss zur Verarbeitung personenbezogener Daten
Neben verschiedenen aktuellen höchstrichterlichen Entscheidungen zu der Auslegung von Art. 6 Abs. 1 lit f der Datenschutz-Grundverordnung (DSGVO) und einigen spärlichen konkreten Aussagen zur Anwendbarkeit und Auslegung der Rechtsgrundlage durch die deutschen Aufsichtsbehörden (bspw. zur Anwendbarkeit der Rechtsgrundlage im Falle der Direktwerbung) veröffentlichte nun der Europäische Datenschutzausschuss (EDSA) am 9. Oktober 2024 seine neue Leitlinie […]
Verarbeitung von Sozial- und Gesundheitsdaten in der Cloud: Mehraufwand durch C5-Testat?
Seit dem 01. Juli 2024 ist der §393 SGB V „Cloud-Einsatz im Gesundheitswesen; Verordnungsermächtigung“ gültig. Hierin beschreibt der Gesetzgeber IT-Sicherheitsanforderungen an Cloud-Computing-Dienste betreffend der Verarbeitung von Sozial- und Gesundheitsdaten. Das kann z. B. Cloud-Anbieter betreffen, deren Kunden Ärzt*innen, Krankenhäuser, Therapeut*innen, Apotheken oder Kranken- und Pflegekassen bzw. Dienstleister, die im Auftrag Sozial- und Gesundheitsdaten prozessieren, sind. Demnach […]
Kritische Infrastrukturen im Fokus: Der All-Gefahren-Ansatz der CER-Richtlinie für Physische Sicherheit, Cybersicherheit und Resilienzmanagement
Die Sicherstellung der Stabilität und Sicherheit kritischer Infrastrukturen hat in der heutigen Zeit oberste Priorität. Mit der Critical Entities Resilience (CER)–Richtlinie (EU 2022/2557) und der NIS2-Richtlinie (EU 2022/2555) verfolgt die Europäische Union das Ziel, die Resilienz von Betreibern kritischer Infrastrukturen zu stärken. Während die CER-Richtlinie den Schwerpunkt auf physischen Schutz legt, fokussiert sich die NIS2-Richtlinie […]
TRBS 1115 Teil 1: Cybersicherheit für sicherheitsrelevante Mess-, Steuer- und Regeleinrichtungen
In der heutigen vernetzten und technologiegetriebenen Welt gewinnt die Anlagensicherheit zunehmend an Bedeutung, da Anlagen immer komplexer werden und die Konsequenzen von Sicherheitsversagen gravierend sein können. Cyberangriffe auf Anlagensteuerungssysteme können dabei nicht nur die Anlagenverfügbarkeit gefährden, sondern ggf. auch das Personal und die Umwelt. Daher ist es entscheidend, Cybersicherheit als integralen Bestandteil der Arbeitsschutzstrategie zu […]
Zero Trust Security
In einer Ära, in der die Gefahr von Cyberangriffen hoch ist und Datenschutzverstöße fast täglich Schlagzeilen machen, reichen traditionelle Sicherheitsmaßnahmen nicht mehr aus, um sensible Informationen zu schützen. Eine mögliche Lösung kann die Zero Trust Architektur – ein revolutionärer Ansatz für die Cybersicherheit, der das traditionelle Sicherheitsmodell auf Basis von Perimetern herausfordert und sich für […]
Cloud-Computing im Gesundheitswesen: Neue Regelungen ab Juli 2024
Zum 1. Juli 2024 ist eine eine bedeutende Änderung im Bereich des Cloud-Computings im Gesundheitswesen in Kraft getreten. Der § 393 des Sozialgesetzbuchs V (SGB V) wurde im Rahmen des Artikel 2 Nummer 6 des Digitalgesetzes (DigiG) umfassend überarbeitet. Diese Anpassung soll die Nutzung von Cloud-Computing-Diensten durch Leistungserbringer, Kranken- und Pflegekassen sowie ihres Auftrags(daten)verarbeiter (ja, […]
Umsetzung der NIS-2-Richtlinie – es geht weiter
Das Bundesministeriums des Innern und für Heimat (BMI) hat einen vierten Referentenentwurf zum NIS-2-Umsetzungs-und Cybersicherheitsstärkungsgesetz veröffentlicht (NIS2UmsuCG, Bearbeitungsstand: 24.06.2024 16:13). Was hat sich im Wesentlichen geändert? Bei der Regulierung von Einrichtungen der Bundesverwaltung haben sich einige Details geändert. Informationssicherheitsbeauftragte der Bundesministerien und -behörden sollen ihre Berichts- und Beratungsaufgaben unabhängig und weisungsfrei erfüllen. Die Ausnahmen für […]