Betreiber Kritischer Infrastrukturen im Sektor Ernährung, die den Anforderungen des IT-Sicherheitsgesetzes unterliegen, müssen ihre Informationstechnologie seit dem 3. Mai 2018 nach dem Stand der Technik abgesichert haben. Mit dem branchenspezifischen Sicherheitsstandard (B3S) Lebensmittelhandel hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) nun den zweiten Sicherheitsstandard für eine KRITIS-Branche anerkannt. Im Rahmen des Cyber-Sicherheitstags der Allianz für Cyber-Sicherheit in Düsseldorf hat BSI-Präsident Arne Schönbohm den Bescheid zur Eignung des Standards an Vertreter des Lebensmittelhandels übergeben.
Link: www.bsi.bund.de
Viele Medizinprodukte folgen dem Trend zur Digitalisierung und besitzen die Möglichkeit zur Vernetzung. Hierbei werden häufig Technologien eingesetzt, die sich in anderen Bereichen bereits bewährt haben. Die daraus resultierenden Herausforderungen an die Cyber-Sicherheit unter Berücksichtigung besonderer Rahmenbedingungen – wie beispielsweise der langen Lebensdauer dieser Produkte oder deren Einsatz in unmittelbar patientensicherheitskritischen Bereichen – müssen von den Herstellern besonders berücksichtigt werden. Daher wurden in diesem Dokument zentrale Best Practices für Hersteller von netzwerkfähigen Medizinprodukten zusammengestellt. Die Empfehlungen sollen flankierend zu den regulatorischen Vorgaben bei Implementierung und Aufrechterhaltung eines angemessenen Cyber-Sicherheitsniveaus nach dem Stand der Technik unterstützen.
Link: www.allianz-fuer-cybersicherheit.de
Der TeleTrusT-Arbeitskreis „Stand der Technik“ wurde 2015 als Untergremium der TeleTrusT-AG „Recht“ initiiert. Die Gründung folgte der Forderung des IT-Sicherheitsgesetzes, den „Stand der Technik“ bei technischen und organisatorischen Vorkehrungen in Unternehmen zu berücksichtigen bzw. einzuhalten. Inzwischen fordert auch die EU-Datenschutz-Grundverordnung die Orientierung am Stand der Technik (Art. 32). Seitens des Gesetzgebers wurde jedoch bislang keine Konkretisierung des Technologieniveaus geliefert. Dies gilt nicht nur für Unternehmen, sondern auch für Behörden bzw. öffentliche Stellen.
Seit seiner Etablierung ist der TeleTrusT-AK „Stand der Technik“ bestrebt, betroffenen Unternehmen, Anbietern und Diensteistern Hilfestellung bei der Bestimmung des „Standes der Technik“ zu geben. Daraus resultierend wurde 2016 die 1. Version der TeleTrusT-Handreichung „Stand der Technik“ veröffentlicht, in der die technischen und organisatorischen Maßnahmen spezifiziert beschrieben sind.
Um die Aktualität des Dokumentes sicherzustellen, sieht sich der Arbeitskreis der Fortschreibung verpflichtet.
Link: www.teletrust.de
Das Rundschreiben findet Anwendung auf alle Versicherungsunternehmen und Pensionsfonds, die der Aufsicht der BaFin unterliegen. Es gilt nicht für Versicherungszweckgesellschaften im Sinne des § 168 Versicherungsaufsichtsgesetz (VAG) sowie den Sicherungsfonds im Sinne des § 223 VAG.
Das Rundschreiben enthält Hinweise zur Auslegung der Vorschriften über die Geschäftsorganisation im VAG, soweit sie sich auf die technisch-organisatorische Ausstattung der Unternehmen beziehen. Die BaFin berücksichtigt damit die besondere Bedeutung der Informationstechnik (IT) in den Unternehmen. Zentrales Ziel dieses Rundschreibens zu den VAIT ist es, dem Management der Unternehmen einen flexiblen und praxisnahen Rahmen für die Ausgestaltung der IT der Unternehmen, insbesondere auch für das Management der IT-Ressourcen und für das IT-Risikomanagement vorzugeben.
Das Rundschreiben adressiert Themenbereiche, die die BaFin derzeit als besonderes wichtig erachtet. Die Themenbereiche sind nach Regelungstiefe und -umfang nicht abschließender Natur. Jedes Unternehmen bleibt folglich auch jenseits der Konkretisierungen durch die VAIT verpflichtet, grundsätzlich auf gängige IT-Standards abzustellen sowie den Stand der Technik zu berücksichtigen.
Der modulare Aufbau der VAIT ermöglicht es der BaFin, flexibel auf aktuelle Entwicklungen zu reagieren.
Die prinzipienorientierten Anforderungen des Rundschreibens zu den VAIT tragen dem Proportionalitätsprinzip Rechnung. Für Unternehmen, die dem Anwendungsbereich des Aufsichtssystems Solvabilität II unterliegen, bleiben die in den Mindestanforderungen an die Geschäftsorganisation (MaGo) enthaltenen Anforderungen unberührt.
Link: www.bafin.de
Freitag, 16. Februar 2018
Ab dem 25. Mai 2018 wird die europäische Datenschutz-Grundverordnung (EU-DSGVO) unmittelbar anwendbar sein. Sie bringt eine Reihe von Veränderungen für den Umgang mit personenbezogenen Daten mit sich. Diese Checkliste gibt Unternehmen hilfreiche Anregungen zur Umsetzung der datenschutzrechtlichen Anforderungen im betrieblichen Kontext.
Link: www.bmwi.de
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat ein Eckpunktepapier zur IT-Sicherheit von Blockchain-Anwendungen veröffentlicht. Als nationale Cyber-Sicherheitsbehörde stößt das BSI damit einen gesellschaftlichen Dialog zwischen Wissenschaft, Industrie, Behörden und Bürgern zur Gestaltung von sicheren Blockchain-Anwendungen an. Ziel ist es, sektorspezifische Empfehlungen zu formulieren.
Link: www.bsi.bund.de
Die Bedeutung der Informationssicherheit ist für den Energiesektor von hoher und weiterhin zunehmender Bedeutung. Vor diesem Hintergrund hat die Bundesnetzagentur nach § 11 Abs. 1b EnWG den Auftrag, einen Katalog von Sicherheitsanforderungen zum Schutz gegen Bedrohungen für Telekommunikations- und elektronische Datenverarbeitungssysteme, die für einen sicheren Betrieb von Energieanlagen notwendig sind, zu erstellen (sog. „IT-Sicherheitskatalog“).
Link: www.bundesnetzagentur.de
Anfang November veröffentlichte die BaFin die Bankaufsichtlichen Anforderungen an die IT (BAIT, siehe BaFinJournal November 2017). Die BAIT sind nunmehr der zentrale Baustein der IT-Aufsicht für alle Kredit- und Finanzdienstleistungsinstitute in Deutschland. Sie richten sich an die Geschäftsleitungen der Unternehmen.
Ziel der BAIT ist es, einen verständlichen und flexiblen Rahmen für das Management der IT-Ressourcen, des Informationsrisikos und der Informationssicherheit zu schaffen. Sie sollen auch dazu beitragen, das unternehmensweite IT-Risikobewusstsein in den Instituten und gegenüber den Auslagerungsunternehmen zu erhöhen. Auch die Erwartungen der Bankenaufsicht an die Institute in Bezug auf die Steuerung und Überwachung des IT-Betriebs – einschließlich des hierfür notwendigen Berechtigungsmanagements, der Anforderungen an das IT-Projektmanagement und die Anwendungsentwicklung – ist nunmehr transparent. Die BAIT adressieren insgesamt die Themenbereiche, die die Aufsicht aufgrund der Ergebnisse der IT-Prüfungspraxis als besonders wichtig einstuft.
Link: www.bafin.de
Mittwoch, 6. Dezember 2017
Mit der Veröffentlichung der ersten Edition des IT-Grundschutz-Kompendiums wurden zunächst die wesentlichen bzw. die am häufigsten genutzten Bausteine der 15. Ergänzungslieferung der IT-Grundschutz-Kataloge migriert. Mit der zweiten Edition wird das IT-Grundschutz-Kompendium mit neuen Bausteinen sowie mit weiteren migrierten Bausteinen ergänzt werden. An einigen Stellen im IT-Grundschutz-Kompendium wird bereits auf Bausteine verwiesen, die nicht Bestandteil der ersten Edition sind, aber spätestens mit der zweiten Edition nachgeliefert werden. Für Zielobjekte, für die es im IT-Grundschutz-Kompendium noch keine Bausteine gibt, sollten soweit vorhanden zwischenzeitlich die bestehenden Bausteine der IT-Grundschutz-Kataloge genutzt werden.
Link: www.bsi.bund.de
Dienstag, 7. November 2017
Die Informationstechnik ist die Basisinfrastruktur für sämtliche fachlichen, aber auch alle nichtfachlichen Prozesse bei Banken. In einer globalisierten Finanzwelt, in der immer mehr Menschen digital bezahlen beziehungsweise Geld transferieren und in der viele Anleger ihre Geldanlage online bestreiten, haben IT-Governance und Informationssicherheit für die Aufsicht inzwischen den gleichen Stellenwert wie die Ausstattung der Institute mit Kapital und Liquidität.
Link: www.bafin.de
