nach oben

Erschienen in:

2019 | OriginalPaper | Buchkapitel

6. Meldepflichten nach DSGVO, ITSiG bzw. NIS-Richtlinie: Vorgaben und Prüfung

verfasst von : Aleksandra Sowa

Erschienen in: IT-Revision, IT-Audit und IT-Compliance

Verlag: Springer Fachmedien Wiesbaden

Einloggen

Aktivieren Sie unsere intelligente Suche, um passende Fachinhalte oder Patente zu finden.

search-config

KI-gestützte Suche

Aus

Zusammenfassung

Menschen machen Fehler. Maschinen machen Fehler. Nolens volens kommt es in jeder Organisation irgendwann zu Sicherheits- oder Datenschutzvorfällen. In solchen Fällen ist derjenige im Vorteil, der vorbereitet ist. Eine Herausforderung liegt dabei auch in der Erfüllung der Pflichten zur behördlichen Meldung des Vorfalls. Zu den bereits bestehenden Meldepflichten über IT-Störungen, u. a. aus dem BSIG, TKG und aus Spezialgesetzen, ist jüngst die Pflicht zur Meldung der Verletzung des Schutzes personenbezogener Daten hinzugekommen. Angesichts der kurzen vorgeschriebenen Reaktionszeiten ist eine gemeinsame Berücksichtigung der verschiedenen Meldepflichten im Incident- sowie Notfallmanagement nahezu zwingend. Im vorliegenden Kapitel werden Vorgaben zu den Meldepflichten aus dem BSIG und der DSGVO zusammengestellt und Ansätze zur Prüfung der Umsetzung dieser Meldepflichten durch die Revision entwickelt.

Sie haben noch keine Lizenz? Dann Informieren Sie sich jetzt über unsere Produkte:

Springer Professional "Wirtschaft+Technik"

Online-Abonnement

Mit Springer Professional "Wirtschaft+Technik" erhalten Sie Zugriff auf:

über 102.000 Bücher
über 537 Zeitschriften

aus folgenden Fachgebieten:

Automobil + Motoren
Bauwesen + Immobilien
Business IT + Informatik
Elektrotechnik + Elektronik
Energie + Nachhaltigkeit
Finance + Banking
Management + Führung
Marketing + Vertrieb
Maschinenbau + Werkstoffe
Versicherung + Risiko

Jetzt Wissensvorsprung sichern!

Jetzt informieren

Springer Professional "Technik"

Online-Abonnement

Mit Springer Professional "Technik" erhalten Sie Zugriff auf:

über 67.000 Bücher
über 390 Zeitschriften

aus folgenden Fachgebieten:

Automobil + Motoren
Bauwesen + Immobilien
Business IT + Informatik
Elektrotechnik + Elektronik
Energie + Nachhaltigkeit
Maschinenbau + Werkstoffe

Jetzt Wissensvorsprung sichern!

Jetzt informieren

Springer Professional "Wirtschaft"

Online-Abonnement

Mit Springer Professional "Wirtschaft" erhalten Sie Zugriff auf:

über 67.000 Bücher
über 340 Zeitschriften

aus folgenden Fachgebieten:

Bauwesen + Immobilien
Business IT + Informatik
Finance + Banking
Management + Führung
Marketing + Vertrieb
Versicherung + Risiko

Jetzt Wissensvorsprung sichern!

Jetzt informieren

Vorheriges Kapitel Der Penetrationstest als Instrument der Internen Revision

Nächstes Kapitel Prüfung kartellrechtlicher Compliance durch Mock Dawn Raids als Instrument der IT-Revision

Mein besonderer Dank gilt Herrn Rechtsanwalt Dr. Henrik Hanßen, Senior Associate bei Hogan Lovells in Hamburg, für Erläuterungen und Hinweise zu den Meldepflichten nach DSGVO.

Schuster H (2018) „Unterschätzte Konsequenzen nach Cyber-Attacken“, Vogel Business Media/DATEV Rubrik „Trends und Innovationen“. https://www.datev.de/web/de/aktuelles/trends-und-innovationen/unterschaetzte-konsequenzen-nach-cyber-attacken/. Zugegriffen: 6. Aug. 2018

Hanßen H (2017) „Umsetzung der NIS-Richtlinie: neue Pflichten für Anbieter digitaler Dienste“, 27.01.2017. http://hoganlovells-blog.de/2017/01/27/umsetzung-der-nis-richtlinie-neue-pflichten-fuer-anbieter-digitaler-dienste/. Zugegriffen: 31. Mai 2018

BMI (2014) Pressemitteilung IT-Sicherheitsgesetz. http://www.bmi.bund.de/SharedDocs/Kurzmeldungen/DE/2014/12/bundeskabinett-beschlie%C3%9Ft-it-sicherheitsgesetz.html. Zugegriffen: 31. Mai 2018

BSI-KritisV (2016) Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-Kritisverordnung – BSI-KritisV). https://www.gesetze-im-internet.de/bsi-kritisv/BJNR095800016.html. Zugegriffen: 22. Apr. 2016

BSI (2016) Das IT-Sicherheitsgesetz. Kritische Infrastrukturen schützen. BSI, Bonn

BSI (2015) Die Lagebericht der IT-Sicherheit in Deutschland. BSI, Bonn (November 2016)

BSI (n. d.) Fragen und Antworten für Betreiber Kritischer Infrastrukturen zur Meldepflicht nach dem IT-Sicherheitsgesetz. https://www.bsi.bund.de/DE/Themen/Industrie_KRITIS/KRITIS/IT-SiG/FAQ/FAQ_zur_Meldepflicht/faq_meldepflicht_node.html. Zugegriffen: 6. Juli 2018

Fischer-Dieskau S (2017) „Umsetzung des IT-SiG – wo stehen wir?“, CAST-Workshop „Herausforderungen bei der Umsetzung von IT-SiG und DSGVO“, 11 Mai 2017

BSI. Melde- und Informationsportal des BSI, https://mip.bis.bund.de. Zugegriffen: 11. Mai 2017

10.

BSI (2008) BSI-Standard 100-4: Notfallmanagement. BSI, Bonn

11.

FFIEC (2015) Business Continuity Planning (BCP). IT Examination Handbook. Federal Financial Institutions Examination Council, Februar 2016

12.

Artikel-29-Arbeitsgruppe, WP 250 rev01 „Guidelines on personal data breach notification under Regulation 679/679“

13.

Jandt in Kühling/Buchner (2018) DSGVO, 2. Aufl

14.

DSK-Kurzpapier Nr. 18 (2018)

15.

Martini in Paal/Pauly, 2. Aufl. 2018, DSGVO, Art. 33

16.

Marschall (2015) DuD, 183, 184

17.

Schreibauer/Spittka (2017) in Wytibul (Hrsg.), EU-Datenschutz-Grundverordnung

18.

Hanßen H, Sowa A (2018) „Meldepflichten an Behörden nach DSGVO, ITSiG und NIS-Richtlinie“, < kes > – Zeitschrift für Informations-Sicherheit, 4/2018

19.

BaFin (2018) Rundschreiben 10/2017 (BA) in der Fassung vom 14.09.2018. Bankaufsichtliche Anforderungen an die IT (BAIT), 14. Sept. 2018

20.

BaFin und BSI (2018) „Bankaufsichtliche Anforderungen an die IT Kritischer Infrastrukturen“, Rundschreiben an die Geschäftsleitungen der Unternehmen, die gemäß BSI-Kritisverordnung Betreiber Kritischer Infrastrukturen im Sektor Finanzen und Versicherungswesen sind, 3. Aug. 2018

21.

BSI (2017) Orientierungshilfe zu Nachweisen gemäß § 8a (3) BSIG (Version 0.9.02), 30. Juni 2017

22.

ENISA (2017) incident notification for DSPs in the context of the NIS Directive. A comprehensive guideline on how to implement notification for digital service providers, in the context of the NIS Directive. February 2017

23.

BaFin (2017) Rundschreiben 09/2017 (BA) – Mindestanforderungen an das Risikomanagement – MaRisk, (Geschäftszeichen BA 54-FR 2210-2017/0002), 27. Okt. 2017

24.

ISO (2005) ISO/IEC 27001:2005 Information technology – security techniques – information security management systems – requirements. ISO, Geneva

25.

ISO (2013) ISO/IEC 27002:2013 Information technology – security techniques – code of practice for information security management. ISO, Geneva

26.

ISACA (2016) Implementierungsleitfaden ISO/IEC 27001:2013. ISACA Germany – Fachgruppe Informationssicherheit

27.

Hanßen H (2018) Meldung von Datenpannen nach der DSGVO: Meldeformulare der Aufsichtsbehörden. http://hoganlovells-blog.de/2018/07/30/meldung-von-datenpannen-nach-der-dsgvo-meldeformulare-der-aufsichtsbehoerden/. Zugegriffen: 30. Juli 2018

28.

Sowa A (2017) Management der Informationssicherheit. Springer, WiesbadenCrossRef

Titel: Meldepflichten nach DSGVO, ITSiG bzw. NIS-Richtlinie: Vorgaben und Prüfung
verfasst von: Aleksandra Sowa
Verlag: Springer Fachmedien Wiesbaden
Buch: IT-Revision, IT-Audit und IT-Compliance
Print ISBN: 978-3-658-23764-6

Electronic ISBN: 978-3-658-23765-3

Copyright-Jahr: 2019
DOI: https://doi.org/10.1007/978-3-658-23765-3_6

Springer Professional

Zusammenfassung

Bitte loggen Sie sich ein, um Zugang zu Ihrer Lizenz zu erhalten.

Sie haben noch keine Lizenz? Dann Informieren Sie sich jetzt über unsere Produkte:

Springer Professional "Wirtschaft+Technik"

Springer Professional "Technik"

Springer Professional "Wirtschaft"