Bußgelder und ihre Überwachung

Aktuelles

Seit Jahren verschärft der Gesetzgeber, egal ob national oder europäisch, die Regulierung der Vorgaben, die Unternehmen einzuhalten haben, was die Ausstattung, Dokumentation, Organisation und Kommunikation in Sachen Cyber-Security angeht.

Der Übergang vom Bundesdatenschutzgesetz (BDSG) zur Datenschutz-Grundverordnung (DSGVO) ist davon ebenso betroffen, wie die Richtlinie zur Netzwerk- und Informationssicherheit (NIS1 zu NIS2), der Artificial Intelligence Act (AIA innerhalb NIS2 für Vermarktung und Nutzung künstlicher Intelligenz), der Digital Markets Act (DMA zur Regulierung für marktbeherrschende Online-Plattformen), der Digital Services ACT (DSA für vermittelnde Online Dienste), der Cyber Resilience ACT (CRS zur Stärkung der Cyberesilienz), das IT Sicherheitsgesetz, das BSI Gesetz, TIBER, DORA und, und, und….

Die Liste ist lang und – Sie ahnen es schon – durch die Bank strafbewehrt, wenn Sie als betroffenes Unternehmen vom Pfad der Tugend abweichen.

Natürlich macht es Sinn, die nicht bestrittene Notwendigkeit, den Schutz der Infrastruktur zu stärken, mit den entsprechenden „Motivationen“ zu flankieren. Eine der Hauptaufgaben eines jeden Security-Verantwortlichen ist es also erst einmal zu prüfen, ob – und wenn ja in welchem Umfang – das eigene Unternehmen betroffen ist.

Lassen wir einmal außen vor, dass, wenn alle Unternehmen ihren Verpflichtungen nachkommen wollten, gar nicht die Menge an unterstützenden Experten verfügbar ist und untersuchen nur, inwieweit die Bußgeldkataloge dazu beitragen, die Auflagen zu erfüllen.

Wir als Berater im Feld behaupten, dass die drohenden Strafen zwar drakonisch klingen, in der Realität die Aktivitäten ob ihrer korrekten (inhaltlich, zeitlich, organisatorisch) aber gar nicht ernsthaft verfolgt und schon gar nicht zur Anzeige gebracht werden. Wie auch? Die entsprechenden Autoritäten sind ja schon damit ausgelastet, die verabschiedeten Gesetze, Verordnungen, Richtlinien, und Handlungsanweisungen so aufzubereiten, dass mit best practize Beispielen, Rahmenwerken, Leitfäden, Software Tools, Tutorials, Schulungen und vielem mehr der geneigte Anwender überhaupt versteht, was ein MUSS, ein SOLLTE oder ein KANN ist.

Zudem zeigt die Praxis, dass Vorgaben mit kurzen Umsetzungsfristen häufig dazu führen, sich dem Einzelthema zu widmen (gegebenenfalls auszuschreiben und zu beschaffen), um dann festzustellen, dass die Integration in Bestandssysteme unerwartete Herausforderungen birgt, die letztlich dazu führen, dass die Aktivitäten sehr schnell an Tempo verlieren und letztlich das Ziel gar nicht erreicht wird. Ein schönes Beispiel dafür ist die Anomalieerkennung BSI Gesetz §8a.

In 2023 ein hervorragendes Umsatzjahr für die Hersteller entsprechender Komponenten, seit Mai 2023 keine Verlautbarung, wie viele KRITIS-Unternehmen tatsächlich die Anforderungen erfüllt

haben. Die Zahlen, die unter der Hand kursieren stimmen in etwa mit den ungeöffneten Packungen bzw. nicht installierten Komponenten überein.

Aktuelle Fälle von tatsächlich verhängten Strafen, die man gut im Netz recherchieren kann, sind aus 2019 und betreffen Verstöße gegen die DSGVO.

Ist es da nicht vielleicht hilfreicher, wenn man als Staat die Sicherheit der wichtigen Unternehmen stärken will, dass einmal über BUNDESEINHEITLICHE Regelungen der Subvention von Maßnahmen zu versuchen?

Wir meinen ja nur…..

Und für alle, die genauer wissen möchten, was da auf sie zukommen kann: NIS-2 Bußgelder

Das Thema ist top-aktuell. Wenn Sie mehr Informationen benötigen, rufen Sie uns an, schicken Sie eine Mail oder kommen Sie zu den Veranstaltungen, die wir im Rahmen unseres Blogs rechtzeitig ankündigen werden.

Vorheriger Beitrag
CRA
Nächster Beitrag
Due Diligence – Showstopper oder Marktwerttreiber?

Aktuelles von CYBEResilienz

Hier lesen Sie Aktuelles rund um Themen zu Cyber-Attacken, wie man sich schützen kann und wie CYBEResilienz Ihnen hilft, Ihre Systemlandschaft sicherer zu machen.

Kategorien