2022 brachte uns massive Datenschutzverletzungen bei T-Mobile und The Guardian, bis hin zu den weitreichenden Serviceausfällen bei Microsoft oder Datenklau bei PayPal.
Diesen Monat konnten zehntausende Schweizer Kreditkarten-Abrechnungen von Firmenkunden von verschiedenen Banken (Kantonalbanken, Raiffeisen-Gruppe, Bank Cler, Migros Bank und Regional/Privat/Handelsbanken) online eingesehen werden (siehe Adrienne Fichter). Hier haben uns die EU Richtlinien und Verordnungen gefehlt, die klar festlegen was zu tun ist.
Die Firma Pentagrid hatte die Lücke entdeckt. Grund war ein Fehler im Spesenmanagement-Tool «eXpense» von der Firma Fiserv.
In diesem Beitrag zeigen wir die 15 EU Richtlinien und Verordnungen auf nach Fachgebiet, welche direkt oder indirekt Datenschutz, Cybersecurity und Marketing tangieren. Das Wichtigste im Überblick:
- Was ist der kritische Unterschied zwischen EU Verordnung und Richtlinie?
- Infrastruktur und Cybersicherheit
- Strategie, AI und Cybersecurity
- Marktanteile, Marktregulierungen und Cybersecurity
- Datenschutz, Datensicherheit und Cybersecurity
Mehr Informationen zu diesen Themen finden Sie auch kostenlos inkl. Downloads hier:
► White Papers – Datenschutz, Cybersicherheit, Audit, sowie auch
► InfoSec Advisories, Notfallplan Cybersecuirty, Guides
1. Unterschied zwischen Richtlinien und Verordnungen in der EU
- Eine Verordnung ist in ihrer Gesamtheit für alle EU-Länder verbindlich und sofort anwendbar.
- Eine Richtlinie ist ein Rechtsakt, in dem ein von allen EU-Ländern zu erreichendes Ziel festgelegt wird. Es ist jedoch Sache der einzelnen Länder, eigene Rechtsvorschriften zur Verwirklichung dieses Ziels zu erlassen.
Lesen Sie mehr inkl. Details unten.
Was ist eine EU Verordnung?
Eine Verordnung „Regulation“ wie z.B. die DSGVO muss nicht in nationales Recht umgesetzt werden. Sie ist in ihrer Gesamtheit für alle EU-Länder verbindlich und sofort anwendbar. Es findet keine nationale Anpassung oder Interpretation statt. Die Verordnung hat Vorrang vor nationalen Gesetzen.
Das bedeutet z.B. für die DSGVO, dass diese von Mitgliedstaaten nicht durch strengere Anforderungen verschärft werden darf oder durch nationale Regeln geschwächt wird.
Was ist eine EU Richtlinie?
Eine Richtlinie „Directive“ ist ein Rechtsakt, der Ziele vorgibt, die alle EU-Länder innerhalb eines bestimmten Zeitraums erreichen und in nationales Recht umsetzen müssen.
Es ist jedoch Sache der einzelnen Länder, festzulegen, wie sie diese Ziele durch die Umsetzung in ihre lokalen Gesetze erreichen wollen. Es steht ihnen frei, strengere Anforderungen hinzuzufügen.
Was ist der kritische Unterschied zwischen EU Verordnung und Richtlinie?
Eine Richtlinie kann auf unterschiedliche Weise in EU-Mitgliedstaaten durchgesetzt werden.
Eine Verordnung ist in ihrer Gesamtheit verbindlich und muss umgesetzt werden. Das bedeutet, dass kulturelle oder nationale Unterschiede, wenn nicht eliminiert, in einer Verordnung sehr klein gehalten werden.
Beispielsweise die DSGVO (Datenschutz-Grundverordnung). Hier ist die Umsetzung sehr einheitlich. Unterschiede gibt es jedoch sicherlich in der Höhe der verordneten Bussgelder. Diese sind tendenziell tiefer im südlichen Europa.
Warum sind EU Richtlinien eine Herausforderung?
Cybersecurity Audits oder Tätigkeiten, die unter eine EU Richtlinie fallen, müssen die einschlägigen nationalen Rechtsvorschriften ebenfalls berücksichtigen. Nur so kann ein umfassendes Verständnis aller geltenden Anforderungen erlangt werden.
Das heisst, ein Unternehmen kann sich nicht darauf verlassen, die Directive oder Richtlinie in allen Mitgliedstaaten einheitlich umsetzen zu können. Einige Nationen lieben es, den nationalen „Finish“ (vergleichbar mit dem Swiss Finish – siehe nDSG) einzusetzen. Egal warum dies so ist, der CISO muss diesen Eigenheiten berücksichtigen.
15 EU Richtlinien und Verordnungen: Europäische Zentralbank spurt vor – ION Ransomware Attacke am 31.1.2023 ruft die EZB auf den Plan. Cyber-Stresstests werden für Finanzinstitute zum Pflichtprogramm.
2. 15 EU Richtlinien und Verordnungen im Bereich Cybersicherheit
Informationssicherheit wird immer wichtiger im Bereich Infrastruktur, Markt aber auch Datenschutz und Marketing. Daten und Ressourcen müssen gegen Attacken oder Krisenfälle geschützt werden.
Es gilt das Vertrauen der Nutzer:innen, Konsumenten, Lieferanten, usw. zu schützen, d.h. Trust ist eine kritische Komponente im Geschäfts- und Privatleben.
Ist das Vertrauen einmal verloren, kann es zum Untergang eines 166 Jahre alten Unternehmens führen. Wie am 2023-03-19 im Falle der Credit Suisse geschehen. Joanne Hannaford hat ja 2022 noch den Rotstift bei IT und Cybersecurity bei Credit Suisse angesetzt (wir berichteten – siehe Tipps).
Tabelle 1 Infrastruktur: Cybersecurity Richtlinien und Verordnungen
Eine Verordnung oder Regulation ist in ihrer Gesamtheit verbindlich und gilt unmittelbar in allen EU-Mitgliedstaaten.
Bei einer Richtlinie oder Directive findet eine nationale Anpassung oder Interpretation statt.
Deshalb gilt für Cybersecurity Audits oder Tätigkeiten, die unter eine EU-Richtlinie fallen: Die einschlägigen nationalen Rechtsvorschriften müssen berücksichtigt werden.
Die Angaben in Tabelle 1 befassen sich mit kritischen Infrastrukturen, Resilienz und weiteren Faktoren.
Mit den Richtlinien will die EU einen einheitlichen Schutz vor physischen Störungen und Cyberangriffen gewährleisten.
In Deutschland werden 29’000 Firmen in diesen Sektoren erfasst: Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheitswesen, Trinkwasser, Abwasser, digitale Infrastruktur, öffentliche Verwaltung und Weltraum.
Mit Lieferanten werden es sicherlich > 100’000 Firmen sein. Denn diese Firmen haben auch wegen dem Outsourcing teilweise über 10,000 Zulieferer dritten und vierten Grades (siehe Grafik). Diese Zulieferer werden sich in Sachen Cybersecurity verbessern müssen, z.B. mit einem Vulnerability Disclosure Program.
Trend: Für Finanzinfrastrukturen will die EZB, dass Cyber-Stresstests durchgeführt werden. Dies betrifft auch Lieferanten von z.B. Banken (siehe unser Tweet zum Thema – Foto oben). Das heisst, Vulnerability Disclosure Programme werden bald zur Pflicht, auch in Europa.
| Richtlinien und Verordnungen | Regulations and Directives | Zusatzinformationen: Verfasst und bereitgestellt von DrKPI CyTRAP Labs Cybersicherheit | |
|---|---|---|---|
| 1. | Richtlinie (EU) 2022/2555 über Massnahmen für ein hohes gemeinsames Cyber Sicherheits- niveau in der Union auch NIS-2 genannt | Directive (EU) 2022/2555 on measures for a high common level of cybersecurity across the Union | Die EU Richtlinie 2022/2555 oft als NIS-2/NIS2 abgekürzt ist der europäische Rahmen für Betreiber kritischer Infrastrukturen und legt Cybersecurity Mindeststandards in der EU fest. Die Richtlinie betrifft 18 Sektoren und deren Unternehmen mit 50 Mitarbeiterinnen plus und ab 10 Mio EUR Umsatz.. mehr Infos… Die NIS2 erfasst in DE rund 29’000 Unternehmen.Mit den beiden Richtlinien will die EU einen einheitlichen Schutz vor physischen Störungen und Cyberangriffen gewährleisten (mehr DE, more in EN). |
| 2. | Richtlinie über die Resilienz kritischer Einrichtungen EU 2022/2557auch CER-Richtlinie genannt | Directive (EU) 2022/2557 on resilience of critical entities also called “Critical Entities Resilience (CER) | Die EU-Richtlinien zum Schutz Kritischer Infrastrukturen EU 2022/2557, auch CER-Richtlinie genannt. Dies ist die erste EU-Rechtsvorschrift, die eine Qualitätskontrolle von kritischem Personal im Critical Infrastructure Protection (CIP) Bereich vorsieht. Dies betrifft auch private Sicherheitsdienste. Normen oder Standards werden ebenfalls empfohlen, mehr Infos. |
| 3. | Verordnung über digitale Betriebsstabilität (DORA) | Digital Operational Resilience Act (DORA) | DORA ist eine Verordnung (Regulation). Sie verlangt, dass die Finanzinstitute alle Komponenten der operationellen Resilienz verwalten. DORA verlangt auch, dass sie Regeln für den Schutz, die Erkennung, die Eindämmung, die Wiederherstellung und die Reparatur von ICT-bezogenen Vorfällen befolgen, mehr Infos… |
| 4. | Gesetz über Cyberresilienz | Cyber Resilience Act | Der europäische Cyber Resilience Act (CRA), eine Verordnung (Regulation), zielt darauf ab, die Rahmenbedingungen für die Entwicklung sicherer Produkte mit digitalen Elementen festzulegen. Er stellt sicher, dass Hardware- und Softwareprodukte mit weniger Schwachstellen auf den Markt kommen. Ebenfalls verlangt CRA, dass die Hersteller die Sicherheit während des gesamten Lebenszyklus eines Produkts ernst nehmen. Fortschritte für den Act im Parlament. |
Notiz. Wenn kein Datum oder etwas anderes erwähnt wird, ist die Verordnung oder Richtlinie bereits in Kraft.
Aufgrund des extraterritorialen Geltungsbereichs (d.h. es reicht, wenn die Dienste in der EU angeboten werden) bei vielen dieser Verordnungen oder Gesetzen (z. B. DSGVO, DSA), gelten diese auch für Unternehmen mit Sitz ausserhalb der EU.
Die EU kann einseitig Regeln festlegen, die zu weltweiten Standards werden. Dies geschieht nicht durch Zwang oder extraterritorialen Geltungsbereich, sondern durch die Anziehungskraft ihres 450 Millionen Menschen zählenden Verbrauchermarkts.
Tabelle 2 Strategie, AI und Cybersecurity: Richtlinien und Verordnungen
Die Angaben in Tabelle 2 befassen sich mit Policy und Strategie in digitalen Märkten. Das wohl interessanteste ist die Verordnung zur künstlichen Intelligenz.
Trend: Im AI Bereich hat die EU eine Vorreiterrolle übernommen. Inwiefern sie diese zum Vorteil von Konsumenten und Firmen nutzen kann wird die Nahe Zukunft zeigen. siehe auch:
| Richtlinien und Verordnungen | Regulations and Directives | Zusatzinformationen: Verfasst und bereitgestellt von DrKPI CyTRAP Labs Cybersicherheit | |
|---|---|---|---|
| 5. | Cybersecurity Politik | European Cybersecurity Policies | Bei der Cyberverteidigungspolitik handelt es sich um ein strategisches Dokument, das darauf abzielt, die europäischen Kapazitäten im Bereich der Cybersicherheit zu stärken, die militärische und zivile Zusammenarbeit zu fördern. Außerdem soll sie dazu beitragen, potenzielle Sicherheitslücken zu schließen, strategische Abhängigkeiten zu verringern und Cyberfähigkeiten zu entwickeln. |
| 6. | Cybersecurity Strategie | Cybersecurity Strategy | Diese Strategie zielt darauf ab, ein globales und offenes Internet mit starken Schutzmechanismen für den Fall zu gewährleisten, dass die Sicherheit und die Grundrechte der Bürger in Europa gefährdet sind. |
| 7. | Gesetz über Künstliche Intelligenz | Artificial Intelligence Act (AIA) auch Rules of Artificial Intelligence genannt | Ziel des KI-Gesetzes (Verordnung / Regulation) ist die Harmonisierung der Vorschriften für KI-Systeme in der Europäischen Union. Nach einem risikobasierten Ansatz regelt es das Verbot bestimmter KI-Systeme und legt mehrere Verpflichtungen für die Entwicklung, Vermarktung und Nutzung von KI-Systemen fest. Dass KI-Systeme in der EU sicher sind und den bestehenden Gesetzen über Grundrechte, Normen und Werte entsprechen. Die Regelung definiert KI-Systeme weit und schliesst logik- oder regelbasierte Informationsverarbeitung (wie Expertensysteme) sowie probabilistische Algorithmen (wie maschinelles Lernen) ein. |
Notiz. Wenn kein Datum oder etwas anderes erwähnt wird, ist die Verordnung oder Richtlinie bereits in Kraft.
Aufgrund des extraterritorialen Geltungsbereichs (d.h. es reicht, wenn die Dienste in der EU angeboten werden) bei vielen dieser Verordnungen oder Gesetzen (z. B. DSGVO, DSA), gelten diese auch für Unternehmen mit Sitz ausserhalb der EU.
Die EU kann einseitig Regeln festlegen, die zu weltweiten Standards werden. Dies geschieht nicht durch Zwang oder extraterritorialen Geltungsbereich, sondern durch die Anziehungskraft ihres 450 Millionen Menschen zählenden Verbrauchermarkts.
Tabelle 3 Marktanteile, Marktregulierungen und Cybersecurity: EU Richtlinien und Verordnungen
Die Angaben in Tabelle 3 befassen sich mit Märkten, Marktanteilen und Marktregulierungen. Es gilt auch diese Richtlinien und Verordnungen zu meistern
Trend: Die Marktregulierung im digitalen Bereich wird von der EU vorangetrieben.
| Richtlinien und Verordnungen | Regulations and Directives | Zusatzinformationen: Verfasst und bereitgestellt von DrKPI CyTRAP Labs Cybersicherheit | |
|---|---|---|---|
| 8. | Gesetz für Digitale Dienste (DSA) | Digital Services Act (DSA) | Mit Hilfe eines gemeinsamen Regelwerks für die Pflichten von Vermittlern (z. B. Online-Plattformen) soll eine klare Verantwortlichkeit geschaffen werden. Das Ziel ist, durch den DSA (Verordnung /Regulation) allen Nutzern in hohem Masse Schutz zu gewährleisten, mehr Infos…Gemäss DSA müssen z.B. grosse Plattformen Monthly Active Users (MAU) Kennzahlen für die EU alle 6 Monate der EU Kommission mitteilen (erstmals Feb. 2023, check). Gilt ab Feb. 2024. |
| 9. | Gesetz über digitale Märkte (DMA) | Digital Markets Act (DMA) | Beim DMA handelt es sich um eine kartellrechtsnahe Regulierung, welche bereits im Vorfeld zur Anwendung kommen soll (sog. ex-ante-Regulierung). Es geht um Betreiber von Online-Plattformen, die nach den Kriterien der Verordnung als Gatekeeper bzw. Torwächter eingestuft werden.Das sind solche mit mehr als 7,5 Milliarden Euro Jahresumsatz beziehungsweise 75 Milliarden Euro Marktwert. Sie haben mehr als 45 Mio Endnutzer monatlich in der EU und mehr als 10.000 gewerbliche Anbieter auf der Plattform, mehr Infos… Gilt ab Mai 2023. |
| 10. | Europäischer Raum für Gesundheits- daten (EHDS) | European Health Data Space (EHDS) | Das EHDS (Verordnung/Regulation) wird es den zuständigen Stellen ermöglichen, Gesundheitsdatensätze miteinander zu verknüpfen und sie innerhalb der Europäischen Union (EU) leichter zugänglich zu machen.Das EHDS setzt ehrgeizige Ziele. Es soll Patienten ermöglichen, auf ihre Gesundheitsdaten zuzugreifen, z. B. über ihre Smartphones, und sie frei mit Gesundheitsdienstleistern in ganz Europa zu teilen, mehr Infos… |
| 11. | Europäisches Chip-Gesetz (ECA) | European Chips Act (ECA) | Der European Chips Act (Richtlinie/Directive) zielt darauf ab, den derzeitigen Anteil der EU an der weltweiten Chipproduktion auf 20 % im Jahr 2030 zu verdoppeln. Er soll ebenfalls helfen, EUR 43 Mrd. an öffentlichen und privaten Investitionen zu mobilisieren, mehr Infos… Gilt wahrscheinlich ab 2023/24. Finanzierung grösste Herausforderung.PS. Der Einsatz von Halbleitertechnologie in der Automobilindustrie wird sich bis 2026 auf EUR 100 Mia fast verdreifachen. 2/3 der Medizintechnikunternehmen haben Chips in mehr als der Hälfte ihrer Produkte. |
Notiz. Wenn kein Datum oder etwas anderes erwähnt wird, ist die Verordnung oder Richtlinie bereits in Kraft.
Aufgrund des extraterritorialen Geltungsbereichs (d.h. es reicht, wenn die Dienste in der EU angeboten werden) bei vielen dieser Verordnungen oder Gesetzen (z. B. DSGVO, DSA), gelten diese auch für Unternehmen mit Sitz ausserhalb der EU.
Die EU kann einseitig Regeln festlegen, die zu weltweiten Standards werden. Dies geschieht nicht durch Zwang oder extraterritorialen Geltungsbereich, sondern durch die Anziehungskraft ihres 450 Millionen Menschen zählenden Verbrauchermarkts.
Tabelle 4 Datenschutz und Datensicherheit: Richtlinien und Verordnungen
Eine Verordnung oder Regulation ist in ihrer Gesamtheit verbindlich und gilt unmittelbar in allen EU-Mitgliedstaaten.
Bei einer Richtlinie oder Directive findet eine nationale Anpassung oder Interpretation statt.
Deshalb gilt für Cybersecurity Audits oder Tätigkeiten, die unter eine EU-Richtlinie fallen: Die einschlägigen nationalen Rechtsvorschriften müssen berücksichtigt werden.
Die Angaben in Tabelle 4 befassen sich mit digitalen Daten, deren Regulierungen und Kommunikation.
Trend: Seit Mitte 2022 werden immer mehr immer mehr Bussen gemäss DSGVO verhängt oder Gerichtsurteile ausgesprochen, welche als Wurzel des Datenschutzverstosses Cybersecurity anführen.
- Datenbank mit Liste der Firmen und höhe der Bussgelder – laufend aktualisiert
| Richtlinien und Verordnungen | Regulations and Directives | Zusatzinformationen: Verfasst und bereitgestellt von DrKPI CyTRAP Labs Cybersicherheit | |
|---|---|---|---|
| 12. | Datengesetz | Data Act | Das Datengesetz (Verordnung/Regulation) legt gemeinsame Regeln für die gemeinsame Nutzung von Daten fest, die durch die Nutzung vernetzter Produkte oder damit verbundener Dienste (z. B. das Internet der Dinge, Industriemaschinen) erzeugt werden.Dies soll die Fairness bei Verträgen über die gemeinsame Nutzung von Daten gewährleisten. Kompromiss bei Swedish Presidency 2023-01-23. |
| 13. | Daten-Gover- nance-Gesetz (DGA) | Data Governance Act (DGA) | Das DGA zielt darauf ab, einen Rahmen zu schaffen, der die gemeinsame Nutzung von Daten erleichtert. Auf diese Weise können z.B. Daten des öffentlichen Sektors für andere Zwecke als die, für die sie ursprünglich erhoben wurden, verwendet werden (Bsp. Gesundheitsdaten).Das Gesetz soll den neutralen Zugang zu Daten und Interoperabilität gewährleisten, sowie Lock-in-Effekte vermeiden. Gilt ab 24. Sept. 2023. |
| 14. | Datenschutz- Grundverord- nung (DSGVO) | General Data Protection Regulation (GDPR) | Die Datenschutzgrundverordnung (Tools hier) regelt die Verarbeitung personenbezogener Daten. Sie dient der Vereinheitlichung des Datenschutzrechts.Erklärtes Ziel ist der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zugleich die Gewährleistung des freien Verkehrs solcher Daten (Art. 1 Abs. 1 DSGVO). DSGVO soll die Transparenz darüber erhöhen, wie Websites und Unternehmen mit den personenbezogenen Daten umgehen, die aus einer Vielzahl von Online-Aktivitäten gewonnen werden können. Mehr im DrKPI CyTRAP Datenschutz WikiDie DSGVO verlangt auch, dass Sie die Personen darüber informieren, welche Informationen Sie über sie haben und wie sie verwendet werden. Das bedeutet, dass Sie, wenn Sie künstliche Intelligenz einsetzen, um die personenbezogenen Daten einer Person zu verarbeiten, diese normalerweise darüber informieren müssen, mehr Infos… |
| 15. | Verordnung über die elektronische Kommuni- kation | ePrivacy Regulation | Was ist der Unterschied zwischen DSGVO / GDPR und ePrivacy?DSGVO legt die Grundregeln für den Schutz personenbezogener Daten fest. ePrivacy befasst sich mit der gesamten elektronischen Kommunikation wie Textnachrichten, E-Mails, WhatsApp-Nachrichten und jeder anderen Form. Dazu gehören auch die Inhalte von Anrufen, Metadaten (wie Standortverfolgung) und Cookies (Online Trackers) auf einer Website.Die beiden Richtlinien ergänzen sich. Beide müssen eingehalten werden, um regelkonform / compliant zu bleiben. Doch es könnte noch eine Weile dauern, bis die Verordnung durchkommt (siehe Europäisches Parlament) |
Notiz. Wenn kein Datum oder etwas anderes erwähnt wird, ist die Verordnung oder Richtlinie bereits in Kraft.
Aufgrund des extraterritorialen Geltungsbereichs (d.h. es reicht, wenn die Dienste in der EU angeboten werden) bei vielen dieser Verordnungen oder Gesetzen (z. B. DSGVO, DSA), gelten diese auch für Unternehmen mit Sitz ausserhalb der EU.
Die EU kann einseitig Regeln festlegen, die zu weltweiten Standards werden. Dies geschieht nicht durch Zwang oder extraterritorialen Geltungsbereich, sondern durch die Anziehungskraft ihres 450 Millionen Menschen zählenden Verbrauchermarkts.
Cybersichereit Richtlinien und Verordnungen : Sich Fachwissen aneignen bedingt, dass wir Fachartikel, Studien und Daten studieren – ohne Schweiss keinen Preis.
3. Fazit: Cybersicherheit EU Richtlinien und Verordnungen
Am Anfang dieses Beitrages erwähnte ich die Problematik mit den Kreditkartenabrechnungen, welche online eingesehen werden konnten.
Interessant war in diesem Falle aus der Schweiz auch, dass laut Republik-Recherche weder die Eidgenössische Finanzmarktaufsicht (Finma), noch der eidgenössische Datenschutzbeauftragte (Edöb) zuständig fanden. Laut DSG besteht auch nur eine Meldepflicht, wenn die Verletzung der Datensicherheit zu einem hohen Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person führen könnte. Da dies als nicht vorhanden eingeschätzt wurde, sah der Datenschutzbeauftragte keinen Grund aktiv zu werden.
In der EU, gemäss der Datenschutz-Grundverordnung (DSGVO Artikel 33), wäre die Sachlage in diesem Falle anders. Hier ist von einer Meldung nur dann abzusehen, wenn die Verletzung „voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen“ führt (DSGVO Artikel 33). In der Praxis heisst dies, dieser Fall hätte innert 72 Std. nach dem 11 Nov. 2022 der Datenschutzbehörde gemeldet werden müssen. All Kunden hätten auch informiert werden müssen, usw.
Das Beispiel zeigt, gute legislative Arbeit hilft viele Dinge zu klären. Es macht die Arbeit für Firmen einfacher und gibt den betroffenen Personen die Rechte und Werkzeuge sich notfalls zu wehren.
EU Richtlinien und Verordnungen: Trends Cybersecurity 2030
Im Idealfall schaffen diese 15 EU Regulierungen und Verordnungen Klarheit für Firmen und Konsumenten. Es reduziert auch das Risiko, dass sich schwarze Schafe Cybersecurity Schwachstellen im grossen Stil zu Nutze machen.
Doch die Erfahrungen zeigen, dass die Dinge sich entwickeln und auch hier die Rechtsprechung gefordert ist.
Beispielsweise wird die Nutzung von Microsoft 365 in Schulen z.B. in Hessen und Baden-Würtemberg untersagt aus Datenschutz und Sicherheitsgründen (siehe Tools and Tipps). Doch in anderen Bundesländern und Mitgliedstaaten ist dies kein Problem.
Auch ist die Äquivalenz eine Herausforderung, z.B. zwischen der EU und der Schweiz. Ob das neue Schweizer DSG, welches am 1. Sept. 2023 in Kraft tritt, äquivalent sein wird, ist unklar. Der Kreditkarten-Fall hier im Beitrag beschrieben, hinterlässt hierzu offene Fragen.
Auch bei der Datensicherheit und Facebook Seiten ist das letzte Wort noch nicht gesprochen. Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) Deutschland hat die Abschaltung der Facebookseite der Bundesregierung angeordnet 2023-02-17. Deren Presseamt hat nun beim Verwaltungsgericht Köln Klage 2023-03-20 gegen die Anordnung des Bundesdatenschutzbeauftragten eingereicht. Bis das Gericht entscheidet, darf die Facebookseite der Bundesregierung weiter betrieben werden. Auch die holländische Regierung überlegt ob sie Facebook verlassen soll wegen Datenschutz und Cybersecurity Problemen.
Inwiefern der Fall vor dem Verwaltungsgericht Köln bei negativem Entscheid für die Bundesregierung für andere EU-Mitgliedsstaaten Konsequenzen hätte, ist zur Zeit unklar.
Die 15 EU Regulierungen und Verordnungen in Tabellen 1 – 4 sind hilfreich. Doch erst die Gerichtsentscheide sichern eine einheitliche und faire Umsetzung in allen Mitgliedstaaten.
Über DrKPI® – CyTRAP Labs
Gerne beraten wir Sie in allen Fragen rund um die Themen Digital Marketing, SEO Analytics und Cybersecurity.
Wir helfen Ihnen mit unserer langjährigen Erfahrung bei der professionellen, effizienten und erfolgreichen Umsetzung Ihrer Digital Marketing Strategie — z.B. mit den richtigen KPIs aus dem DrKPI® PageTracker – oder beim Aufbau von Ihrem Vulnerability Disclosure Programm (VDP).
Wir unterstützen Sie bei der Projektplanung, dem Prozess-Management, mit der VDP Umsetzung und dem Controlling.
Unser Motto: Messen, was zählt
8 Antworten
Resilience ist hier sicher ein Thema.
Also wie gut sind die Lieferketten.
Das Beispiel hier mit Viseca liess mich staunen. auch hier ein Zulieferant, dessen Tool versagt hat!
Komisch ist, das die Viseca nicht denkt sie muss deren Kunden – Banken und deren Kunden Firmen informieren… Schade das das CH DSG dies nicht so verlangt wie die DSGVO.
ANTWORT 1
Lieber Roger
Danke für den Kommentar. Ja die Zulieferanten sind ein Problem. Habe unten ne Grafik angehängt die das illustriert.
Resilience der Lieferkette mit den immer mehr Zulieferanten macht das ganz nicht einfach.
Wenn nur einer was falsch macht. Ähnlich mit der Familie, wenn einer Malware auf dem Handy hat … oder die Grippe, kriegen es meist alle :-(
C’est la vie… aber macht die Aufgabe der Security Leute immer schwieriger.
Schönen Tag.
Die Supply-Chain – Lieferkette vom USA Pentagon ist geographisch stark verteilt und hat viele Unterlieferanten. Wenn was schiefgeht funktioniert die Just-in-Time Lieferkette nicht mehr.
Chávez, Staff & Heal, Alexandra (2023-02-01). The strain of arming Ukraine. Financial Times, FT Big Read. Defence Industry. S. 17. Aufgerufen am 1. Feb. 2023 auf https://ig.ft.com/us-defence-industry/
ANTWORT 2
Roger
Was mir auch noch Sorgen macht ist der Fall mit der Viseca weil die Kunden nicht informiert wurden. Ja die Logs zeigen das niemand anderes die Daten abgerufen haben soll. Aber Logs kann man fälschen wie wir alle wissen (what is an access file)
Ich habe das oben auch unter Trends 2030 mit einem Slide erklärt – 5 Unterschiede des CH DSG zum DSGVO
Hoffe das ist nützlich.
Urs
DrKPI CyTRAP
Neues Datenschutzgesetz der Schweiz (DSG) tritt am 1. Sept. 2023 in Kraft. 5 Unterschiede zur DSGVO sind hier zu berücksichtigen. Ob das äquivalent ist zur DSGVO? Ist heute nicht ganz klar.
Fiserv is a Fortune 500 company that operates in more than 100 countries – a Fintech.
It has had security problems before see the case:
Bessemer System Federal Credit Union against Fiserv Solutions LLC and Fiserv Inc. on May 28, 2019, Civil Division No. 2018-01130 Court of Common Pleas of Mercer County.
The case was moved to UNITED STATES DISTRICT COURT FOR THE WESTERN DISTRICT OF PENNSYLVANIA Case 2:19-cv-00624-RJC
https://ia903001.us.archive.org/19/items/gov.uscourts.pawd.256788/gov.uscourts.pawd.256788.2.0.pdf
Could not find the final decision.
ANTWORT 1
Hi John
Thanks for this important info.
Case 2:19-cv-00624-RJC 202-07-14 – Opinion from Robert J. Colville, United States District Judge
Der Vorwurf der Bessemer System Federal Credit Union and Fiserv Solutions LLC and Fiserv Inc. ist:
„Anstatt die Probleme durch eine Aktualisierung der Sicherheit zu beheben, setzte Fiserv weiterhin veraltete Sicherheitsmethoden ein, lange nachdem Fiserv auf die Schwachstellen aufmerksam gemacht worden war“, heisst es in der Klage der Kreditgenossenschaft (Credit Union).
Gruss Urs
ANTWORT 2
Die Botschaft für Unternehmen, die ihr Geschäft mit Hilfe von Sicherheitsprodukten schützen wollen, lautet:
👉 Seien Sie sehr vorsichtig, was Sie unterschreiben. 👈
Das ist auch der Grund, warum viele CISOs nur befristete Verträge akzeptieren.
Es ist einfacher, einen Vertrag zu verlängern, der sich bewährt hat, als aus einem Vertrag auszusteigen, der nicht erfolgreich ist.
Ich konnte keinen Finalen Gerichtsentscheid finden.
Sehr guter Beitrag danke für die Mühe
Grüße aus Augsburg
PS. Sorry für die späte Antwort, das war irgendwie im Spam gelandet…. deshalb die Verspätung.
Lieber Andreas
Danke für dein Lob. Hoffe es hat was gebraucht.
Freundlichst
Urs