skip to Main Content

Cyber Resilience Act-Pendant in den USA: Wer setzt den internationalen Standard?

Art der Meldung + Relevanz: Politische Initiative + Kräftemessen um die Deutungshoheit über IT-Security-Zertifizierungen Der Cyber Resilience Act (CRA) ist die jüngste EU-Initiative, die die Konformität mit Security-Eigenschaften für in der EU verkaufte Produkte verpflichtend machen soll. Die Kommission veröffentlichte den Entwurf im September 2022. Die USA scheinen nun ein US-amerikanisches Äquivalent zum CRA zu planen, das zunächst auf IoT-Komponenten angewandt werden soll. Dafür hat sich die US-Regierung existierende Ansätze aus Finnland und Singapur zum Vorbild genommen. Singapur und das BSI verkündeten erst kürzlich, dass sie ihre Zertifizierungen, das deutsche “IT-Sicherheitskennzeichen” und das “Cybersecurity Labelling Scheme” aus Singapur, gegenseitig anerkennen wollen. Bewertung: Wer den internationalen Standard bestimmt, bestimmt den Markt. Hier hat das Rennen gerade erst begonnen. Die EU hat…
This content is only available to members.
Read more

BSI und die Cyber-Sicherheitsbehörde von Singapur erkennen Cyber-Sicherheitskennzeichen gegenseitig an

Art der Meldung + Relevanz: Politische Initiative Das BSI und die  die Behörden aus Singabur haben eine bilaterale Vereinbarung zur gegenseitigen Anerkennung des Cybersecurity Labelling Scheme (CLS) und des deutschen IT-Sicherheitskennzeichens unterzeichnet. Produkte mit dem deutschen IT-Sicherheitskennzeichen des BSI können in Singapur ein Cybersecurity Label der Stufe 2 erhalten. Die Vereinbarung umfasst die vom BSI veröffentlichte Produktkategorie Smarte Verbrauchergeräte. Dieser liegt maßgeblich der europäische IoT-Basis-Standard ETSI EN 303 645 zugrunde. Bewertung: Bislang gilt die Vereinbarung nur für die Kategorie smarte Verbrauchergeräte. Hersteller dieser Geräte, die auf den internationalen Markt expandieren wollen, profitieren von der erleichterten Zertifizierung. Die Vereinbarung kann potenziell aber auch auf andere Kategorien ausgeweitet werden. Bislang gibt es nur IT-Sicherheitskennzeichen für Breitbandrouter, E-Mail-Dienste und eben smarte Verbauchergeräte. Weitere…
This content is only available to members.
Read more

Datenschutz-Abmahnwelle in Österreich wegen Google Fonts

Art der Meldung + Relevanz: Ein Gericht in München hat im Januar festgestellt, dass die Verwendung von Google Schriften (Fonts) auf Webseiten gegen die europäische Datenschutzgrundverordung (DSGVO) verstößt, da diese von Google nachgeladen werden müssen, dabei wird die IP-Adresse der Webseiten-Besucher an Google übermittelt Ein Anwalt aus Österreich startet eine Abmahnwelle, indem er im Namen seiner Mandantin Eva Zajaczkowska tausendfach Abmahnbriefe an Betreiber:innen von Webseiten verschickt und zur Bezahlung von 190 Euro auffordert. Experten vermuten dabei den Einsatz eines Bots zum automatischen Aufrufen und Loggen der Webseiten, dem widerspricht der Anwalt aber. Nach Schätzung von Blogs wie TechnikNews.net (wo die Abmahnwelle als erstes beschrieben wurde) sind in Österreich bislang mehr als 10.000 Webseiten abgemahnt worden. Der abmahnende Anwalt stützt sich…
This content is only available to members.
Read more

BSI wird Cyber-“Zentralstelle” – Grundgesetzänderung noch dieses Jahr?

Art der Meldung + Relevanz: Parlamentarische Anfrage + GG-Änderung nicht mit Opposition abgesprochen Im Rahmen der Cybersicherheitsagenda der Bundesregierung soll das Bundesamt für Sicherheit in der Informationstechnik (BSI) zur “Zentralstelle” für IT-Sicherheit werden, wie das Bundeskriminalamt für die Polizei. Der Bundestag soll noch in diesem Jahr über die neuen Aufgaben des BSI abstimmen. Das geht aus einer Antwort der Bundesregierung auf eine parlamentarische Anfrage der CDU/CSU-Fraktion hervor. Was sich dadurch in der Praxis ändert und ob es mittelfristig zusätzliche Mittel für die neue Funktion des BSI als Zentralstelle im Bund-Länder-Verhältnis geben wird, bleibt jedoch offen. Laut der Antwort der Regierung sind die zusätzlichen Haushaltsmittel im Zusammenhang mit dem Cybersicherheitsprogramm des Bundesinnenministeriums für die nächsten drei Jahre jedoch noch nicht zugewiesen…
This content is only available to members.
Read more

CISA legt Strategiepapier vor

Art der Meldung + Relevanz: Politische Initiative + CISA Strategiepapier gibt Aufschluss über US-amerikanische Maßnahmen für Cybersicherheit Die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) hat ihre Strategie für die Jahre 2023–25 veröffentlicht. Die CISA ist das US-Gegenstück zum Bundesamt für Sicherheit in der Informationstechnik und ist dem Department for Homeland Security (Ministerium für Innere Sicherheit) untergeordnet. In dem Papier verkündet die CISA v.a.: Risiken für die Kritische Infrastruktur (KRITIS) reduzieren und die Resilienz dieses Sektors stärken. Die nationale operative Kooperation und das Teilen von Informationen auszubauen. Allgemein will die CISA eine nationale Vernetzung aller relevanten Organisationen voranbringen. Sie will nicht nur die Cyber-Sicherheit und Resilienz staatlicher Organe schützen, sondern sucht auch eine intensive Partnerschaft mit privaten Unternehmen und Institutionen.…
This content is only available to members.
Read more

Studie zur Cloud-Nutzung in der Finanzindustrie

Art der Meldung + Relevanz: Studie + Großes Geschäftspotenzial für Cloud-Anbieter und IT-Sicherheitsanbieter in der Finanzbranche Für die Branchenanalyse der Cloudnutzung im Finanzsektor befragten der Digitalverband Bitkom und die Unternehmensberatung KPMG 101 Finanzunternehmen. In 2021 steigerten Finanzdienstleister den Anteil an Cloudanwendungen um zwölf Prozent. Weitere 14 Prozent der befragten Firmen diskutieren oder planen bereits den Einsatz von Clouds. Ihr Fokus liegt besonders häufig auf sogenannte Software- sowie Infrastructure-as-a-Service-Lösungen. Etwas mehr als ein Viertel hat sich für die sogenannte Cloud-Too-Strategie entschieden. Die Zahl derer, die ausschließlich auf Cloud-Anwendungen setzten (Cloud-Only-Strategie), hat sich mit 13 Prozent im Vergleich zu 2021 fast verdoppelt. Fast zwei Drittel haben Probleme bei der Cloud-Integration insbesondere in den Bereichen Compliance (60 Prozent) und Sicherheit (44 Prozent). Anbieter…
This content is only available to members.
Read more

IT-Souveränitätsgesetz für Hamburg

Art der Meldung + Relevanz: Gesetzentwurf des Hamburger Senats + Eingeschränkte Vertriebsmöglichkeiten für IT-Anbieter im Public Sector Der Hamburger Senat hat einen Entwurf für ein IT-Souveränitätsgesetz verabschiedet. Dieses verpflichte die öffentliche Verwaltung, IT-Aufträge in besonders sensiblen Bereichen nur noch an Unternehmen der öffentlichen Hand zu vergeben. Damit soll die Abhängigkeit von privaten Unternehmen reduziert werden und die Handlungsfähigkeit der Verwaltung sichergestellt werden. Begründung: Eine Abhängigkeit von privaten Anbietern berge veschiedene Risiken (z.B. eingeschränkte Informationssicherheit, weniger Flexibilität und mangelnde Transparenz). Bewertung: Es ist bereits gängige Praxis der Verwaltung, IT-Verfahren v.a. den öffentlich-rechtlichen Dienstleistern anzuvertrauen. Eine gesetzliche Regelung dazu gab es bislang aber nicht. Das ermöglichte den Spielraum im Bedarfsfall selbst Verträge mit Anbietern abzuschließen.  Der Gesetzentwurf betrifft alle IT-Anbieter, die ihre…
This content is only available to members.
Read more

Digitalcheck: Für jedes Gesetz soll digitale Machbarkeit geprüft werden

Art der Meldung + Relevanz: Parlamentarische Anfrage + Bundesregierung konzeptionalisiert den Digitalcheck In der Antwort der Bundesregierung auf die Kleine Anfrage der Fraktion der CDU/CSU über den Digitalcheck vom 07.07.2022 gibt die Bundesregierung Auskunft über die geplante Überprüfung aller neuen Gesetze, inwiefern diese auch digital umgesetzt werden könnten. Im Koalitionsvertrag der Ampel wurde dieser Digitalcheck angekündigt: “Kompetenzen in der Bundesregierung werden neu geordnet und gebündelt, ein zentrales zusätzliches Digitalbudgeteingeführt und Gesetze einem Digitalisierungscheck unterzogen” (Koalitionsvertrag, S. 15) Das Konzept der Bundesregierung für den Digitalcheck wird im Bundesministerium des Innern (BMI) und für Heimat entwickelt, ein Grobkonzept eines Digitalchecks wurde schon während der GroKo 2020 im BMI entwickelt. Das finale Konzept ist noch im Aufbau, alle Ressorts werden dabei eingebunden. Da…
This content is only available to members.
Read more

Fragen und Antworten der EU-Kommission zu Standardvertragsklauseln

Art der Meldung + Relevanz: Art der Meldung + Relevanz: Gesetzesentwurf  + Rechtliche Grauzonen im Datenschutz werden reduziert Am 4. Juni 2021 hat die EU-Kommission neue Standardvertragsklauseln für Drittlandsübermittlungen und zur Auftragsverarbeitung beschlossen. Diese sollen die neuen Anforderungen der DSGVO und die „Schrems II“-Entscheidung des EuGH berücksichtigen. Nun hat die EU-Kommission basierend auf den Rückmeldungen einen Katalog von Fragen und Antworten veröffentlicht, um die praktische Anwendung zu erleichtern. Der Katalog soll fortlaufend erweitert und aktualisiert werden. Bewertung: Relevant ist diese Meldung für alle Unternehmen, die personenbezogene Daten mit Unternehmen/Organisationen in Drittstaaten austauschen. Für Datenübermittlungen in Drittstaaten sind Standardvertragsklauseln fast die einzige Möglichkeit, DSGVO-konform zu bleiben. In Einzelfällen existieren Abkommen mit Drittstaaten, etwa der vom EUGH kassierte Privacy Shield und das…
This content is only available to members.
Read more

Digital Services Act: Wer übernimmt die Plattformaufsicht in Deutschland?

Art der Meldung + Relevanz: Publikation + Neuer Stakeholder im Bereich Plattformaufsicht Mit dem Digitale-Dienste-Gesetz („Digital Services Act“, DSA), wird es erstmals in der EU gemeinsame Regeln für Plattformen wie Social Media, Dienste und Onlinedienste u.a. auch für Clouds geben. So verpflichtet es beispielsweise Plattformen dazu, Nutzerbeschwerden zu erleichtern und Daten für die Forschung bereitzustellen Die drängendste Frage deshalb: Wer kümmert sich um die Durchsetzung des DSA? Dafür muss jedes Land einen „Koordinator für digitale Dienste“ benennen („Digital Services Koordinator“, DSC), der sich an der Aufsicht beteiligt. Bewertung: In Deutschland ist noch unklar, wer die Einhaltung des DSA überwachen und die Funktion des DSC übernehmen soll. Mit Fragen der Plattformregulierung beschäftigen sich bereits mehrere deutsche Behörden, aber keine Stelle erfüllt…
This content is only available to members.
Read more

NIS2: Führungskräfte sollen für Datenpannen haften

Art der Meldung + Relevanz: Gesetzentwurf + Neue Haftungsrisiken für Geschäftsführer Die EU-Gremien haben sich vorläufig auf einen Entwurf für die NIS2-Richtlinie geeinigt, mit der die Sicherheitsanforderungen für Netz- und Informationsdienste erneuert werden sollen. Führungskräfte betroffener Unternehmen und Behörden sollen für Verstöße gegen die Pflichten zum Einhalten der Cybersicherheit verantwortlich gemacht werden. Sie müssen mit bis zu  2 Prozent des Jahresumsatzes Haftungsrisiko rechnen (Lösegeldforderungen als Maßstab). Mit der NIS2- Richtlinie soll nun auch mittlere und große Einrichtungen aus einer erweiterten Zahl von Sektoren erfasst werden (nicht mehr nur die KRITIS-Unternehmen), z.B. aus den Bereichen elektronischer Kommunikationsdienste und digitaler Dienste, die Abwasser- und Abfallwirtschaft, Hersteller kritischer Produkte, Post- und Kurierdienste und die öffentliche Verwaltung usw. Betriebe mit über 250 Mitarbeitern und…
This content is only available to members.
Read more

Gesundheitsdigitalisierungspotenzial liegt weitgehend brach

Art der Meldung + Relevanz: Art der Meldung + Relevanz: Studie + Verbesserung der politischen und regulatorischen Rahmenbedingungen erforderlich Nutzenpotenzial durch digitale Prozesse im Gesundheitswesen wird auf rund 42 Mrd. Euro/Jahr beziffert Studie (McKinsey) erstmals vor vier Jahren: Potenzial lag bei 34 Mrd. Euro/Jahr Gründe/Faktoren für Steigerung: Entwicklung der Gesundheitskosten Nutzen höher als erwartet z.B. bei Online-Terminbuchungen, Telekonsultationen oder Patienten-Fernüberwachung weitere Gründe: höheren Akzeptanzraten, größeren Effizienzsteigerungen u. Technologie-Innovationen Auswertung basiert auf Auswertung seit 2018, welche Chancen mit den definierten 26 Digital-Technologien im Gesundheitssystem bereits ergriffen worden: aktuell 1,4 Mrd. Euro/Jahr zu hebende Potenzialanteile: 61 Prozent aus Produktivitätssteigerungen bei den Leistungserbringern (Ärzte, Krankenhäuser, Apotheken) u. 39 Prozent aus Nachfragereduzierungen fünf größte Hebel (ca. 22 Mrd. Euro): elektronische Patientenakte (ePA): flächendeckender Einsatz…
This content is only available to members.
Read more

Entwurf für den European Health Data Space Ende April erwartet

Art der Meldung + Relevanz: EU Gesetzentwurf + Neue Zugänge zu Gesundheitsdaten auch für private Unternehmen Im Mai 2021 startete die Europäische Kommission das Gesetzgebungsverfahren für den europäischen Gesundheitsdatenraum (auf Englisch: European Health Data Space, kurz: EHDS). Mitte März wurde der erste Kommissionsentwurf für das Gesetz als Leak veröffentlicht. Die offizielle Veröffentlichung erwarten wir für Ende April. Der Entwurf soll positive Rahmenbedingungen für medizinische Innovationen schaffen Mit der vorgesehen EU-weiten Standardisierung von Patientenakten wird die Bündelung von Gesundheitsdaten aus dem gesamten Unionsraum möglich. Für eine sekundäre Nutzung (z.B. Forschung) sollen zukünftig nicht mehr zwischen öffentlichen und privaten Organisationen unterschieden werden. In Deutschland war der Zugriff auf Gesundheitsdaten bislang ausschließlich öffentlichen Einrichtungen vorbehalten. Bewertung: Das neue EHDS-Gesetz wird für Unternehmen der…
This content is only available to members.
Read more

EU plant Gesetz zur Cyberresilienz

Art der Meldung + Relevanz: Gesetzvorhaben + Auswirkungen auf IT-Hersteller und Dienstleister Das Gesetz zielt darauf ab, gemeinsame Cybersicherheitsregeln für digitale Produkte und damit verbundene Dienste festzulegen. Bis zum 25.05.22 läuft dafür die öffentliche Konsultation, deren Ergebnisse dann in den Gesetzgebungsvorschlag der Kommission einfließen werden und sich in den politischen Rahmen der neuen EU-Cybersicherheitsstrategie 2020 einfügen. Das Gesetz zur Cyber-Resilienz (CRA) wird den bestehenden EU-Rechtsrahmen ergänzen (NIS-Richtlinie, Cybersecurity Act und kommende NIS2-Richtlinie) Erfasst werden von der Regelung sollen „materielle digitale Produkte“ (drahtlos und drahtgebunden) sowie nicht eingebettete Software. Bewertung: Der Cyberresilience Act soll Cybersicherheit, Verbraucherschutz und Innovation horizontal produktübergreifend und über den gesamten Lebenszyklus hinweg vereinheitlichen. Technischer Umsetzungsmaßstab für die rechtlichen Vorgaben aus dem CRA wären die harmonisierten technischen Standards…
This content is only available to members.
Read more

Anschrift

Albrechtstraße 13
10117 Berlin - Deutschland
Telefon +4930 400 54 100
E-Mail berlin@elfnullelf.de

Newsletter

elfnullelf Newsletter abbonieren

elfnullelf GmbH – Copyright 2022 Spreepublik | Impressum | Datenschutzerklärung | CO2 neutraler Server
Back To Top