beschäftigtendatenschutz worauf müsst ihr achten...
Post on 23-May-2020
3 Views
Preview:
TRANSCRIPT
Jörg Schlißke
Beschäftigtendatenschutz – Worauf müsst
ihr achten? Handlungshilfen für Euch
TÜV Informationstechnik GmbH
TÜV NORD GROUP
Jörg Schlißke, LL.B.
IT Security
Business Security & Privacy
Fachstelle für Datenschutz
Telefon: +49 201 8999 – 533
Mobil: +49 160 888 – 5643
E-Mail: j.schlisske@tuvit.de
URL: www.tuvit.de
Zur Person
© TÜV Informationstechnik GmbH – TÜV NORD GROUP 1 24.10.2015
Über TÜViT
24.10.2015 © TÜV Informationstechnik GmbH – TÜV NORD GROUP 2
TÜViT – Der Trust Provider für Qualität und Sicherheit
in der Informationstechnik
Neutral, objektiv und unabhängig von:
Herstellern,
Entwicklern,
Aktionären / Mitglieder
Interessengruppen oder
Regierungen
TÜViT ist ein privatwirtschaftliches Unternehmen, das
Produkte weder entwickelt noch verkauft
Agenda
Beschäftigtendatenschutz
Personalakte
Personalaktenführung
Rechte des Betriebsrates
Rechtsprechung
Das „neue“ IT-Sicherheitsgesetz (ITSiG)
24.10.2015 © TÜV Informationstechnik GmbH – TÜV NORD GROUP 3
Beschäftigtendatenschutz
24.10.2015 © TÜV Informationstechnik GmbH – TÜV NORD GROUP 4
Beschäftigten-
datenschutz
Beschäftigtendatenschutz
24.10.2015 © TÜV Informationstechnik GmbH – TÜV NORD GROUP 5
Arbeitgeber
Pflicht/Interesse, Informationen über die
Beschäftigten zu erheben und zu speichern
Arbeitnehmer
Interesse an Richtigkeit, Auskunft und Korrektur
Betriebsrat
Pflicht zur Förderung der Persönlichkeitsrechte
durch Kontroll- und Einflussmöglichkeiten
Allgemeine Feststellumgen
Beschäftigtendatenschutz
24.10.2015 © TÜV Informationstechnik GmbH – TÜV NORD GROUP 6
Datenschutzrechtliche Beziehung zwischen
Arbeitgeber und Arbeitnehmer:
Individualrecht, geregelt durch das Bundes-
datenschutzgesetz (BDSG) und bereichs-
spezifische Regelungen
Nach BDSG ist die Datenverarbeitung
grundsätzlich erlaubt für:
Begründung
Durchführung oder
Beendigung Beschäftigungsverhältnisses
zur Aufdeckung von Straftaten
Allgemeine Feststellungen
Beschäftigtendatenschutz
24.10.2015 © TÜV Informationstechnik GmbH – TÜV NORD GROUP 7
Datenschutzrechtliche Beziehung zwischen
Arbeitgeber und Arbeitnehmer:
Individualrecht, geregelt durch das Bundes-
datenschutzgesetz (BDSG) und bereichs-
spezifische Regelungen
Beispiel: Grundsätze des Personalakten-
einsichtsrechts, u.a. basierend auf
Fürsorgepflicht, § 75 II BetrVG
§ 83 BetrVG (Einsicht, Gegendarstellung)
BGB (Korrekturrechte, Schadensersatz etc.)
Allgemeine Feststellungen
Beschäftigtendatenschutz
24.10.2015 © TÜV Informationstechnik GmbH – TÜV NORD GROUP 8
Kontroll- und Mitbestimmungsrechte der
Mitarbeitervertretung:
Kollektivrecht, geregelt durch das
Betriebsverfassungsgesetz (BetrVG),
z.B. in Form einer Betriebsvereinbarung
Allgemeine Feststellungen
Beschäftigtendatenschutz
24.10.2015 © TÜV Informationstechnik GmbH – TÜV NORD GROUP 9
Personalakte
Personalakte
Beschäftigtendatenschutz
24.10.2015 © TÜV Informationstechnik GmbH – TÜV NORD GROUP 10
Zur Personalakte zählen alle
Aufzeichnungen, die sich mit der Person
des Arbeitnehmers und dem Inhalt und
Verlauf seines Beschäftigungsverhält-
nisses befassen – unabhängig davon, in
welcher Form oder unter welcher
Bezeichnung die Daten gespeichert sind.
Personalakte
Beschäftigtendatenschutz
24.10.2015 © TÜV Informationstechnik GmbH – TÜV NORD GROUP 11
Zur Personalakte zählen alle
Aufzeichnungen, die sich mit der Person
des Arbeitnehmers und dem Inhalt und
Verlauf seines Beschäftigungsverhält-
nisses befassen – unabhängig davon, in
welcher Form oder unter welcher
Bezeichnung die Daten gespeichert sind.
Dazu zählen:
Personalunterlagen
Entscheidungsgründe
Dienstliche Beurteilungen
Personalakte
Beschäftigtendatenschutz
24.10.2015 © TÜV Informationstechnik GmbH – TÜV NORD GROUP 12
Zur Personalakte zählen alle
Aufzeichnungen, die sich mit der Person
des Arbeitnehmers und dem Inhalt und
Verlauf seines Beschäftigungsverhält-
nisses befassen – unabhängig davon, in
welcher Form oder unter welcher
Bezeichnung die Daten gespeichert sind.
Dazu zählen nicht!!!:
Ermittlungen
Prüfungsakten
Sicherheitsakten
Personalplanungen
Prozessakten
Zeugnisentwürfe
Vorüberlegungen zu Stellenbesetzungen
Personalakte
Beschäftigtendatenschutz
24.10.2015 © TÜV Informationstechnik GmbH – TÜV NORD GROUP 13
Transparenz
Benachrichtigung, Anhörung, Einsichtsrecht, Auskunft
Richtigkeit/Aktenwahrheit
Gegendarstellung, Korrektur, Entfernung, Löschung
Zulässigkeit/Zweckbindung
Benachrichtigung, Anhörung, Einsichtsrecht, Auskunft
Vertraulichkeit
Zugriffs- und Übermittlungsverbot, organisatorische Abschottung
Personalaktenführung
Beschäftigtendatenschutz
24.10.2015 © TÜV Informationstechnik GmbH – TÜV NORD GROUP 14
Transparenz
Benachrichtigung, Anhörung, Einsichtsrecht, Auskunft
Die Einsichtnahme und inhaltliche Korrektur der Personalakte
durch den Betroffenen gehört zu den grundlegenden
Datenschutzrechten im Beschäftigungsverhältnis.
Sie dient der Gefahrenbegegnung des Betroffenen vor
unzutreffenden oder unzulässigen Unterlagen
(Nachteilsvorbeugung).
Sie leistet Beitrag zur Richtigkeit der gesammelten Daten.
Sie ermöglicht die Kenntnisnahme der Inhalte.
Personalaktenführung
Beschäftigtendatenschutz
24.10.2015 © TÜV Informationstechnik GmbH – TÜV NORD GROUP 15
Richtigkeit/Aktenwahrheit
Gegendarstellung, Korrektur, Entfernung, Löschung
Die Personalakte muss ein zutreffendes Bild des
Beschäftigten zeigen.
Keine Aufnahme unzulässiger und damit rechtswidriger
Daten.
Personalaktenführung
Beschäftigtendatenschutz
24.10.2015 © TÜV Informationstechnik GmbH – TÜV NORD GROUP 16
Zulässigkeit/Zweckbindung
Benachrichtigung, Anhörung, Einsichtsrecht, Auskunft
Die Datenerhebung ist immer zulässig, soweit sie rechtmäßig
ist.
Wahrung des Persönlichkeitsschutzes
Schutz vor Diskriminierung
Wahrung des Grundsatzes der Verhältnismäßigkeit
Hinsichtlich der Frage, welche Daten genutzt werden dürfen,
ist auf die Grundsätze, die in der Rechtsprechung zum Frage-
recht des Arbeitgebers bzw. zur Offenbarungspflicht des
Arbeitnehmers entwickelt worden sind, zurückzugreifen.
Personalaktenführung
Beschäftigtendatenschutz
24.10.2015 © TÜV Informationstechnik GmbH – TÜV NORD GROUP 17
Vertraulichkeit
Zugriffs- und Übermittlungsverbot, org. Abschottung
Der Zugriff auf Personalakten darf nur für solche Beschäftigte
und auf solche Daten eröffnet werden, soweit dies im Rahmen
der Personalverwaltung erforderlich ist.
Trennung besonders sensibler Daten (z.B. Angaben über
Abmahnungen) von anderen Daten und Vorgängen.
Personalaktenführung
Beschäftigtendatenschutz
24.10.2015 © TÜV Informationstechnik GmbH – TÜV NORD GROUP 18
Der Mitarbeitervertretung steht kein generelles, von konkreten,
gesetzlich zugewiesenen Aufgaben losgelöstes Informationsrecht
durch Zugriff auf die Personalakten oder ein Personalinformations-
system zu.
Arbeitgeber und Betriebsrat müssen die freie Entfaltung der
Persönlichkeit der Mitarbeiter wahren und fördern.
(§ 75 Abs. 2 BetrVG)
Der Betriebsrat achtet darauf, dass die Personaldaten-
verarbeitungen den gesetzlichen Anforderungen genügen.
Eine daraus resultierende Betriebsvereinbarung ist betriebs-
internes Datenschutzrecht und eine spezielle Erlaubnisnorm
im Sinne von § 4 Abs. 1 BDSG.
Rechte des Betriebsrates
Beschäftigtendatenschutz
24.10.2015 © TÜV Informationstechnik GmbH – TÜV NORD GROUP 19
BetrVG Inhalt der Bestimmung
§ 75 II Schutz und Förderung der freien Entfaltung der Persönlichkeit
der Arbeitnehmer
§ 80 I Kontrolle der Einhaltung sämtlicher zu Gunsten der Arbeitnehmer
bestehender Datenschutzregelungen
§ 83 Einsicht in die Personalakten
§ 90 Unterrichtung und Beratung über die Auswirkungen geplanter
neuer Techniken
§ 87 I Mitbestimmung beim Einsatz neuer Überwachungseinrichtungen;
d.h. auch bei jeder automatisierten Verarbeitung von Arbeitnehmer-
daten mit der Möglichkeit der Leistungs- und Verhaltenskontrolle
§ 94 I Mitbestimmung bei formalisierter Erhebung von Arbeitnehmerdaten
§ 94 II Mitbestimmung bei der Gestaltung von Beurteilungsgrundsätzen
§ 95 I Mitbestimmung bei der Gestaltung von Auswahlrichtlinien
Rechte des Betriebsrates
Beschäftigtendatenschutz
24.10.2015 © TÜV Informationstechnik GmbH – TÜV NORD GROUP 20
OVG Münster: Urteil vom 09.05.2011 - 1 A 440/10
Das dem Betriebsrat des Betriebs, in dem der Beamte die zugewiesene
Tätigkeit ausübt zukommende Recht zur Stellungnahme beinhaltet keinen
Anspruch auf Einsicht in Personalakten und insbesondere ärztliche Gutachten.
Gleichwohl ist der Betriebsrat möglichst umfassend über die Gründe der
Zurruhesetzung zu unterrichten, soweit dadurch nicht das allgemeine
Persönlichkeitsrecht des Beamten verletzt wird.
aber!
§ 83 Einsicht in die Personalakten
(1) Der Arbeitnehmer hat das Recht, in die über ihn geführten Personalakten
Einsicht zu nehmen. Er kann hierzu ein Mitglied des Betriebsrats
hinzuziehen. Das Mitglied des Betriebsrats hat über den Inhalt der
Personalakte Stillschweigen zu bewahren, soweit es vom Arbeitnehmer im
Einzelfall nicht von dieser Verpflichtung entbunden wird.
(2) Erklärungen des Arbeitnehmers zum Inhalt der Personalakte sind dieser auf
sein Verlangen beizufügen.
Rechtsprechung
IT-Sicherheitsgesetz (ITSiG)
24.10.2015 © TÜV Informationstechnik GmbH – TÜV NORD GROUP 21
IT-Sicherheitsgesetz
1977 - Einbruch im Computer der US AIRFORCE
1986 - NASA Hack
1994 - Betriebsspionage bei Siemens (ICE)
2000 - „I Love You“ oder „In einem Tag um die Welt...“
2009 - Conficker, Befall u.a. bei Bundeswehr, brit. u. franz. Armee
2010 - zunehmend Industrie-Malware (Stuxnet, Duqu, Flame)
2013 - Entwendung von Kundendaten bei Vodafone und Telekom
2014 - Viren in kostenlosen Smartphone-Apps
2014 - Datendiebstahl von Sony-Servern (100 Terabyte)
2015 - Ausfall der französischen Sendergruppe TV5 Monde
2015 - Angriff auf Datennetz des Bundestags mit Spähprogramm
2015 - Cyberattacke auf Personalverwaltung der US-Regierung
IT-Sicherheitsgesetz (ITSiG)
24.10.2015 22 © TÜV Informationstechnik GmbH – TÜV NORD GROUP
Vorkommnisse
IT-Sicherheitsgesetz (ITSiG)
24.10.2015 23 © TÜV Informationstechnik GmbH – TÜV NORD GROUP
Häufigste IT-Sicherheitsvorfälle in Unternehmen (2014/2015) Quelle: Statista 2015
Folgeschäden durch
einen Cyberangriff Quelle: Kaspersky 2014
8%
8%
14%
16%
17%
19%
28%
Ausspähen elektr. Kommunikation
Abhören von Besprechungen
Diebstahl physicher Dokumente
Sabotage IT-Systemen, Prozesse
Diebstahl elektronischer Dokumente
Social Engineering
Diebstahl von IT- oder TK-Geräten
Kleine und mittlere
Unternehmen
33.000 €
Mittelständische
Unternehmen
41.000 €
Großunternehmen
363.000 €
Entwicklung von IT-Sicherheitsereignissen
IT-Sicherheitsgesetz (ITSiG)
24.10.2015 24 © TÜV Informationstechnik GmbH – TÜV NORD GROUP
Auftreten von Computerkriminalität nach Branchen (2014 / 2015) Quelle: Statista 2015
44%
44%
45%
48%
51%
52%
52%
58%
58%
60%
66%
68% Automobilbau
Chemie und Pharma
Finanz und Versicherungswesen
Medien und Kultur
Gesundheit
IT und Telekommunikation
Handel
Gesamt
Transport und Verkehr
Energie- und Wasserversorger
Ernährung
Maschinen- und Anlagenbau
Entwicklung von IT-Sicherheitsereignissen
IT-Sicherheitsgesetz (ITSiG)
24.10.2015 25 © TÜV Informationstechnik GmbH – TÜV NORD GROUP
Ziele des IT-Sicherheitsgesetzes
Mindestanforderungen an IT-Sicherheit für KRITIS, gesetzlich verankern
Sicherheit informationstechnischer Systeme in Deutschland verbessern
im Hinblick auf Vertraulichkeit, Verfügbarkeit, Integrität und Authentizität
Aktuellen und zukünftigen Gefährdungen der IT-Sicherheit wirksam
begegnen
Verstärkter Schutz der Bürgerinnen und Bürger im Internet
Verbesserung der IT-Sicherheit von Unternehmen
Stärkung des BSI und des Bundeskriminalamtes (BKA)
Besondere Aufmerksamkeit gilt KRITIS-Betreibern
Unterschiedlichste Sicherheitsniveaus
Mindestniveau an IT-Sicherheit schaffen
Kommunikation mit BSI ausbauen
Vert
raulic
hkeit
Verf
ügbark
eit
Inte
gritä
t
Auth
entizität
IS-Sicherheit
IT-Sicherheitsgesetz (ITSiG)
24.10.2015 26 © TÜV Informationstechnik GmbH – TÜV NORD GROUP
Entwicklung des IT-Sicherheitsgesetzes
03/2013: Referentenentwurf des BMI
12/2013: Entwurf IT-Sicherheitskatalog der BNetzA
08/2014: Referentenentwurf I
12/2014: Beschlussfassung des Bundeskabinetts
(mehr Datenschutz für betroffene Firmen)
02/2015: Stellungnahme der Bundesregierung, Übergabe an BT
03/2015: 1. Beratung im Bundestag
04/2015: Öffentliche Anhörung
06/2015: Beschluss des Bundesrats
07/2015: Verabschiedung im Bundesrat Inkrafttreten
Ende 2015: Verordnung: Spezifizierung von KRITIS-Betreibern – 1. Korb
(Energie, IKT, Ernährung, Wasser)
Mitte 2016: Verordnung: Spezifizierung von KRITIS-Betreibern – 2. Korb
(Transport & Verkehr, Finanzen, Gesundheit)
Ende 2018: ITSiG in allen Sektoren umgesetzt
IT-Sicherheitsgesetz (ITSiG)
24.10.2015 27 © TÜV Informationstechnik GmbH – TÜV NORD GROUP
Umfang des IT-Sicherheitsgesetzes
Gesetz zur Erhöhung der Sicherheit informationstechnischer
Systeme
kein eigenständiges Gesetz, sondern Artikelgesetz
Sammlung von Änderungen und Erweiterungen bereits
bestehender Gesetze
Findet lediglich Anwendung für KRITIS-Betreiber
BSIG
AtG EnWG
TMG TKG BBesG BKAG BGebG
Änderungen und
Erweiterungen
Ge
se
tz z
ur
Stä
rku
ng
de
r S
ich
erh
eit in
de
r
Info
rma
tio
nste
chn
ik
Ato
mg
ese
tz
En
erg
iew
irts
ch
afts-
ge
se
tz
Te
lem
ed
ien
ge
setz
Te
leko
mm
un
ika
tio
ns-
ge
se
tz
Bu
nd
esb
eso
ldu
ngs-
ge
se
tz
Bu
nd
eskrim
ina
lam
t-
ge
se
tz
Bundesgebühre
n-
ge
se
tz
Bereits bestehende
Gesetze
IT-Sicherheitsgesetz (ITSiG)
IT-Sicherheitsgesetz (ITSiG)
24.10.2015 28 © TÜV Informationstechnik GmbH – TÜV NORD GROUP
Übersicht Kritischer Infrastrukturen (KRITIS)
Institutionen mit zentraler Bedeutung für das staatliche Gemeinwesen
Einrichtungen, Anlagen oder Teile aus verschiedenen Sektoren und Branchen
sind häufig vernetzt und voneinander abhängig Risiko: Kaskadeneffekt
Ausfälle oder Beeinträchtigungen bedeuten nachhaltig erhebliche
Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit
Schwerpunkt auf Versorgung der Gesellschaft mit wichtigen Dienstleistungen
(Top-Down)
Qualität: Dienstleistungen in KRITIS-Sektoren, relevant für Versorgungskette
Quantität: Schwellwerte innerhalb dieser Dienstleistungen werden getroffen
In Summe geschätzte (lt. ITSiG) 2.000 KRITIS-Betreiber
Ende 2015 soll BMI mit Rechtsverordnung konkrete Abgrenzungen der
KRITIS-Betreiber genauer festlegen
Outsourcing schützt nicht vor KRITIS-Status!
IT-Sicherheitsgesetz (ITSiG)
24.10.2015 29 © TÜV Informationstechnik GmbH – TÜV NORD GROUP
Übersicht Kritischer Infrastrukturen (KRITIS)
IT-Sicherheitsgesetz (ITSiG)
24.10.2015 30 © TÜV Informationstechnik GmbH – TÜV NORD GROUP
Beispiel zur Identifikation relevanter KRITIS-Anlagen
KRITIS-Sektor: Energie
Branche / Dienstleistung Prozessschritte Anlagentypen
Stromversorgung Erzeugung Kraftwerke, dezentrale
Energieerzeugungsanlagen
Übertragung Übertragungsnetze,
Strombörsen,
Speicherkraftwerke
Verteilung Verteilnetze,
Stromanschlüsse
Gasversorgung Förderung Gasaufbereitungsanlagen
Transport Ferngasnetze, Speicher,
Börsen
Verteilung Verteilnetze, Anschlüsse
IT-Sicherheitsgesetz (ITSiG)
24.10.2015 31 © TÜV Informationstechnik GmbH – TÜV NORD GROUP
Nicht erfasste KRITIS-Anlagen
Von der Anwendbarkeit (§§ 8a und 8b) ausgeschlossen
„…die auf Grund von Rechtsvorschriften Anforderungen erfüllen müssen, die
mit den Anforderungen nach § 8a vergleichbar oder weitergehend sind“
Kleinstunternehmen i. S. d. Empfehlung 2003/361/EG der EU-Kommission
(< 10 Mitarbeiter, < 2 Mio. € Jahresumsatz bzw. Jahresbilanzsumme)
Betreiber öffentlicher TK-Netze oder öffentlich zugänglicher TK-Dienste
Sicherheitskonzept [§ 109 TKG-E]
Betreiber von Energieversorgungsnetzen oder Energieanlagen i. S. d.
EnWG IT-Sicherheitskatalog [§ 11 (1b) EnWG-E]
Genehmigungsinhaber nach § 7 Absatz 1 des Atomgesetzes
Leitfaden für Sicherheitsüberprüfungen [§ 19a (1) AtG]
sonstige KRITIS-Betreiber mit vergleichbaren oder weitergehenden
Anforderungen ähnlich denen zu § 8b Absatz 3 bis 5 BSIG-E
Erkenntnisse des BSI werden dennoch weitergegeben
IT-Sicherheitsgesetz (ITSiG)
24.10.2015 32 © TÜV Informationstechnik GmbH – TÜV NORD GROUP
Aufgaben betroffener KRITIS-Betreiber
Einhaltung eines angemessenen Mindestniveaus an IT-Sicherheit
Nachweiserbringung über die Einhaltung durch Sicherheitsaudits
Einrichtung, Betrieb und Aufrechterhaltung einer Kontaktstelle
Meldung erheblicher IT-Sicherheitsvorfälle (BSI oder BNetzA)
IT-Sicherheitsgesetz (ITSiG)
24.10.2015 33 © TÜV Informationstechnik GmbH – TÜV NORD GROUP
Aufgaben betroffener KRITIS-Betreiber
Einhaltung eines angemessenen Mindestniveaus an IT-Sicherheit Implementierung angemessener technischer, organisatorischer Vorkehrungen
entsprechend dem Stand der Technik (Soll-Vorschrift)
zeitnahe Sicherheits-Updates könnten unvorhersehbare Auswirkungen auf komplexe
KRITIS-System haben und diese somit gefährden
Vermeidung von Störungen der Grundwerte (Sicherheitsziele):
Vertraulichkeit, Verfügbarkeit, Integrität und Authentizität
Schutz der IT-Systeme, Komponenten oder Prozesse, welche für die
Funktionsfähigkeit der Kritischen Infrastrukturen maßgeblich sind
Wahrung der Angemessenheit hinsichtlich Kostenaufwand Schutzbedarf
Umsetzungsfrist von zwei Jahren nach Inkrafttreten des ITSiG (25.07.2017)
Sicherheitskonzepte von Betreibern öffentlicher Telekommunikationsnetze
werden alle zwei Jahre von der BNetzA überprüft
IT-Sicherheitsgesetz (ITSiG)
24.10.2015 34 © TÜV Informationstechnik GmbH – TÜV NORD GROUP
Verfügbarkeit [availability]
Zugriff auf Informationen
im vereinbarten Rahmen
Vertraulichkeit [confidentiality]
Zugriff auf Informationen
nur durch Berechtigte
Authentizität [authenticity]
Echtheit, Zuverlässigkeit
und Glaubwürdigkeit
Integrität [integrity]
Richtigkeit, Vollständigkeit
von Informationen
IT-Sicherheitsgesetz (ITSiG)
24.10.2015 35 © TÜV Informationstechnik GmbH – TÜV NORD GROUP
KRITIS-Betreiber und ihre Branchenverbände können branchenspezifische
Standards zur Gewährleistung der Sicherheitsanforderungen vorschlagen
BSI muss Eignung dieser Sicherheitsstandards auf Antrag feststellen
bereits existierende Standards (noch nicht offiziell vom BSI anerkannt)
IT-Sicherheitskatalog: IS-Anforderungen für Strom- und Gasnetzbetreiber
BDEW Whitepaper: Anforderungen an sichere Steuerungs- und TK-Systeme
BSI TR-03109: Technische Vorgaben für Betrieb intelligenter Messsysteme
VGB-S-175: IT-Sicherheit für Erzeugungsanlagen
ICS Security Kompendium: IT-Sicherheit für industrielle Steuerungsanlagen
Mitwirkung bei optionalen Sicherheitsbewertungen durch das BSI von
IT-Produkten, -Systemen oder -Diensten
Pflicht zur Aktualisierung oder zum Austausch dieser
unabhängig von der eigenen Risikobewertung
IT-Sicherheitsgesetz (ITSiG)
24.10.2015 36 © TÜV Informationstechnik GmbH – TÜV NORD GROUP
Nachweiserbringung über die Einhaltung durch Sicherheitsaudits
zweijährige Nachweispflicht über die Einhaltung der Sicherheitsstandards
Nachweiserfüllung auf „geeignete Weise“
(Sicherheitsaudits, Prüfungen oder Zertifizierungen)
lediglich 3rd-Party-Audits zulässig
Übermittlung einer Aufstellung der Überprüfungen einschließlich eventuell
aufgedeckter Mängel an das BSI
Befugnisse des BSI bei aufgedeckten Mängeln:
Einfordern der gesamten Audit-, Prüf-, oder Zertifizierungsergebnisse
Verlangen der Mängelbeseitigung im Einvernehmen mit Aufsichtsbehörde
IT-Sicherheitsgesetz (ITSiG)
24.10.2015 37 © TÜV Informationstechnik GmbH – TÜV NORD GROUP
Einrichtung, Betrieb und Aufrechterhaltung einer Kontaktstelle
Benennung (innerhalb von 6 Monaten) einer Kontaktstelle an das BSI
für die Kommunikation zur Krisenfrüherkennung, -reaktion und -bewältigung
Sicherstellung der Erreichbarkeit dieser Kontaktstelle zu jeder Zeit (24/7)
impliziert hohe Verfügbarkeit der Meldesysteme
bidirektionale Kommunikation mit BSI zum Austausch über Informationen zur
Lage der Informationssicherheit
Benennung einer, dem gleichen Sektor übergeordneten Kontaktstelle möglich
(SPOC = Single Point of Contact)
Ablauf des Übermittlungsprozesses muss nachvollziehbar und auditierbar sein
IT-Sicherheitsgesetz (ITSiG)
24.10.2015 38 © TÜV Informationstechnik GmbH – TÜV NORD GROUP
Meldung erheblicher IT-Sicherheitsvorfälle
Meldung erheblicher Störungen der Verfügbarkeit, Integrität, Vertraulichkeit
und Authentizität (lt. ITSiG) bei möglichem oder tats. Ausfall der KRITIS.
Energienetzbetreiber Weiterleitung durch BSI an die Bundesnetzagentur
(BNetzA)
unverzügliche Meldung, auch im Vorfeld konkreter Schadenseintritte
1. zur Verfügung stehende Informationen, ohne viel Rechercheaufwand
2. nachträgliche Ergänzung zusätzlich relevanter Informationen aus dem Verlauf
der Bearbeitung des Vorfalls
Art und Umfang der Störung
technische Rahmenbedingungen
vermutetet oder tatsächliche Ursache
Auswirkungen und betroffene Informationstechnik
Branche des KRITIS-Betreibers
pseudonyme Meldung bei Störungen an Systemen
z. B. durch Schadprogramme, Hackerattacken, technische Defekte
namentliche Meldung nur bei tatsächlichem Ausfall oder Beeinträchtigung
Empfehlung: Etablierung einer IT-Sicherheitsorganisation:
IT-Sicherheitsbeauftragter (ITSB)
Betrieblicher Datenschutzbeauftragter (DSB)
Informationssicherheitsmanagement-Team (IS-Team):
ITSB
bDSB
Betriebsrat
CIO / Unternehmensentwicklung
Leiter IT bzw. Bereichsverantwortliche
IT-Sicherheitsgesetz (ITSiG)
24.10.2015 39 © TÜV Informationstechnik GmbH – TÜV NORD GROUP
TÜV Informationstechnik GmbH TÜV NORD GROUP
Jörg Schlißke, LL.B.
IT Security – Fachstelle für Datenschutz
Langemarckstr. 20
45141 Essen
Telefon: +49 201 8999 – 533
Telefax: +49 201 8999 – 666
E-Mail: j.schlisske@tuvit.de
URL: www.tuvit.de
Vielen Dank für Ihre Aufmerksamkeit!
24.10.2015 40 © TÜV Informationstechnik GmbH – TÜV NORD GROUP
top related