Mimecast Logo
Jetzt starten
Angebot einholen
    Einblicke in die Cyber-Resilienz
    Alle Themen
    Email Security
    Web Security
    Security Awareness Training
    Brand Protection
    Archive and Data Protection
    Threat Intelligence
    Archiv Datenschutz

    Europa verdoppelt seine Bemühungen um Cybersicherheit und Datenschutz

    Brüssel überarbeitet den EU-Sicherheitsrahmen und verschärft den Schutz personenbezogener Daten durch Durchsetzung, Rechtsstreitigkeiten und ergänzende Vorschriften.

    by Andrew Bulkeley
    GettyImages-1258077452-1200px.jpg

    Wichtige Punkte

    • Die NIS2-Cybersicherheitsrichtlinie wird in Kürze an die EU-Mitgliedstaaten zur Umsetzung weitergeleitet, wodurch Europas wichtigste politische Waffe gegen Cyberbedrohungen aktualisiert wird.
    • Die Durchsetzung des Datenschutzes und die Zahl der Rechtsstreitigkeiten nehmen im Rahmen der GDPR, der wichtigsten europäischen Datenschutzverordnung, zu, doch Kritiker fordern mehr.

    Die Wirtschaft hat die im letzten Monat erzielte [kl1] politische Einigung über einen überarbeiteten Rahmen für die Cybersicherheit in der Europäischen Union, genannt Netzwerk- und Informationssysteme 2 (NIS2), begrüßt.

    "NIS2 wird von mehr kritischen Stellen aus mehr Sektoren und Größenordnungen verlangen, eine komplexere Reihe von Verpflichtungen umzusetzen", schrieb DigitalEurope. Trotz der zusätzlichen Belastungen, die dies für die Unternehmen bedeutet, "ist es dringend notwendig, unsere Cyber-Resilienz zu erhöhen", fügte der Wirtschaftsverband hinzu.[1]

    Nach der Veröffentlichung der Richtlinie haben die 27 EU-Länder 21 Monate Zeit, um ihre nationalen Cybersicherheitsrahmen mit der NIS2 in Einklang zu bringen, während derer sich die Unternehmen auf die neuen Anforderungen vorbereiten.

    In der Zwischenzeit hat der Gerichtshof der Europäischen Union (EuGH) in einer weiteren wichtigen politischen Entscheidung grünes Licht dafür gegeben, dass Verbraucherschutzverbände Unternehmen verklagen können, die den Datenschutz von Einzelpersonen vernachlässigen oder missbrauchen.[2] Es wird erwartet, dass das Urteil eine Welle von Rechtsstreitigkeiten über den Datenschutz auslösen wird,[3] zusätzlich zu der zunehmenden Durchsetzung des EU-Datenschutzgesetzes, bekannt als Allgemeine Datenschutzverordnung (GDPR).

    In Anbetracht der laufenden Veränderungen hat die Umfrage von Mimecast State of Email Security 2022 gezeigt, dass Sicherheitsexperten in Dänemark, Deutschland und den Niederlanden gemischte Gefühle bezüglich der Cyber-Regulierung haben. So glauben nur etwa 20 % bis 25 %, dass sich das Risiko ihres Unternehmens deutlich verringern würde, wenn die Regierung den Unternehmen Mindestanforderungen an die Cybersicherheit auferlegen würde. Die überwiegende Mehrheit geht jedoch davon aus, dass sich ihre Befolgungskosten erhöhen würden.

    NIS2 verschärft Anforderungen an die Cybersicherheit

    Die Europäische Kommission hat die Änderungen, die mit NIS2 eingeführt werden, zusammengefasst:

    • Strengere Anforderungen an die Cybersicherheit für Unternehmen
    • Maßnahmen zur Sicherung von Lieferketten und Lieferantenbeziehungen
    • Verantwortlichkeit der obersten Führungsebene für die Nichteinhaltung von Cybersicherheitsverpflichtungen
    • Strengere Aufsichtsmaßnahmen für nationale Behörden
    • Strengere Durchsetzungsvorschriften
    • Vereinfachte Berichtspflichten

    NIS2 würde auch den Kreis der Unternehmen erweitern, die sich an die Vorschriften halten müssen, z. B. Unternehmen aus dem Gesundheitssektor, digitale Dienstleister, Hersteller kritischer Produkte und andere.[4]

    DigitalEurope begrüßte die neue Richtlinie, forderte aber auch, dass die europäischen Regulierungsbehörden angesichts des Mangels an fast 200.000 Cyber-Fachkräften in Europa einen pragmatischen Ansatz wählen sollten. "Die Umsetzung muss praktikabel sein, um echte Ergebnisse zu erzielen, und darf nicht zu einer Belastung unserer knappen Cyber-Ressourcen werden", schrieb der Branchenverband.

    Die GDPR entwickelt sich weiter

    Nach der DSGVO, die nun in ihr viertes Jahr geht, müssen Unternehmen die personenbezogenen Daten von EU-Bürgern schützen, die sie erheben, aufbewahren, nutzen und weitergeben. Diesen Aktivitäten sind Grenzen gesetzt, und die Bürger können die Unternehmen auffordern, ihre Daten zu korrigieren oder zu löschen.

    Unternehmen und Aufsichtsbehörden erfahren immer wieder, wie weitreichend und kostspielig die Datenschutzgrundverordnung sein kann. Auch wenn nach dem oben beschriebenen neuen EuGH-Urteil mit einer Zunahme der Privatklagen zu rechnen ist, scheint die Durchsetzung der Vorschriften ebenfalls zuzunehmen, da sich die Geldbußen zwischen Januar 2021 und Januar 2022 auf 1,2 Milliarden Dollar verfünffachen werden.[5] Aber auch die Politiker haben ein offenes Ohr für die Bedenken gegen die Vorschriften und bemühen sich, den Unternehmen bei der Einhaltung zu helfen.

    Gleichzeitig bleiben die Forderungen nach einer noch umfassenderen Reform der Datenschutz-Grundverordnung, auch wenn sie schwach sind, bestehen. So wird beispielsweise kritisiert, dass die Durchsetzung der EU-weiten Datenschutz-Grundverordnung von den nationalen Behörden abhängt und dass die Regulierungsbehörden in einigen Ländern nur langsam reagieren.[6] Die Vizepräsidentin der Europäischen Kommission, Věra Jourová, wünscht sich eine einheitliche europäische Durchsetzungsbehörde nach dem Vorbild der zentralen Bearbeitung von Monopol- und Geldwäschevorschriften durch die Europäische Kommission. "Entweder werden wir alle gemeinsam zeigen, dass die Durchsetzung der DSGVO effektiv ist, oder sie wird sich ändern müssen, und ... alle möglichen Änderungen werden in Richtung einer stärkeren Zentralisierung gehen", sagte sie.

    Eine solche Reform ist in nächster Zeit unwahrscheinlich, aber der Europäische Datenschutzbeauftragte Wojciech Wiewiórowski hat bereits eine Konferenz für Juni einberufen, um über alternative Durchsetzungsmodelle zu sprechen. "Es gibt viel Raum für Diskussionen und viel Verbesserungspotenzial in der Art und Weise, wie die derzeitigen Governance-Modelle in der Praxis umgesetzt werden", sagte er bei der Ankündigung der Konferenz im Dezember.

    Auf jeden Fall sind die europäischen Politiker bereits dabei, den Datenschutz über personenbezogene Daten hinaus zu erweitern. Sie arbeiten an einem neuen Gesetz (dem Data Act), um sicherzustellen, dass die Menschen Zugang zu den nicht-personenbezogenen Daten haben, die von Geräten des Internets der Dinge (IoT) wie intelligenten Heimsystemen und vernetzten Autos erzeugt werden.[7] Wenn man das Gerät besitzt, so argumentieren sie, besitzt man auch die Informationen, die es erzeugt.

    Wahrscheinlicher als eine kurzfristige Neufassung der DSGVO ist die fortgesetzte Auslegung und Verfeinerung des bestehenden Rechts. Der Europäische Datenschutzausschuss (EDPB) hat beispielsweise kürzlich einen einheitlicheren Ansatz für die Durchsetzung von Sanktionen in der EU vorgeschlagen, zu dem die Öffentlichkeit Stellung nehmen kann.[8]

    Der EDPB versucht auch zu klären, welche Anstrengungen Unternehmen unternehmen müssen, wenn sie auf eine Anfrage nach persönlichen Informationen antworten, und hat einen Entwurf für Leitlinien für das Auskunftsrecht der Bürger vorgelegt. Der Entwurf besagt, dass Unternehmen die Herausgabe von Informationen verweigern können, wenn dies den Datenschutz anderer verletzen würde oder wenn eine Anfrage unverhältnismäßig ist, aber es wird darauf hingewiesen, dass der Beantwortung von Datenanfragen keine weiteren Grenzen gesetzt werden können - auch nicht durch Verträge.[9]

    Rechtsexperten merkten an, dass die Klarstellung dem Grundsatz der Verhältnismäßigkeit zuwiderläuft, der sonst in der Datenschutz-Grundverordnung so sehr im Vordergrund steht, d. h. dass Unternehmen in der Lage sein sollten, abzuwägen, ob der Aufwand, den sie für die Suche und das Auffinden personenbezogener Informationen im Zusammenhang mit einer Datenanfrage betreiben müssen, in einem angemessenen Verhältnis zur Beziehung des Unternehmens zu dieser Person steht.

    Die britische Aufsichtsbehörde, das Information Commissioner's Office (IOC), hat in der Vergangenheit den Grundsatz der Verhältnismäßigkeit bestätigt. Die Unternehmen konnten sich bis Mitte März zu den Leitlinien äußern, und der endgültige Entwurf muss noch veröffentlicht werden.

    Die Quintessenz

    Europäische Unternehmen müssen ihre Cybersicherheitsabwehr verstärken und ihre Datenschutzstrategien verbessern, da Brüssel zwei wichtige Richtlinien aktualisiert und verfeinert: NIS2 und GDPR. Auch die Folgen werden immer gravierender, da mehr Durchsetzungsmaßnahmen und private Rechtsstreitigkeiten zu erwarten sind. Erfahren Sie unter , wie Mimecast beim Aufbau von Cyber-Resilienz und bei der Archivierung und Verwaltung personenbezogener Daten helfen kann, um die sich ändernden Erwartungen der Regulierungsbehörden zu erfüllen.


     

    [1] "NIS2 wesentlicher Schritt zu einem widerstandsfähigeren Europa, Notwendigkeit einer pragmatischen Umsetzung," DigitalEurope

    [2] "Verbraucherschutzverbände können mit Verbandsklagen gegen Verstöße gegen den Schutz personenbezogener Daten vorgehen," Gerichtshof der Europäischen Union

    [3] "Europas oberstes Gericht blockiert weitere GDPR-Klagen gegen Big Tech," TechCrunch

    [4] "Kommission begrüßt politische Einigung über neue Vorschriften zur Cybersicherheit von Netz- und Informationssystemen," Europäische Kommission

    [5] "Geldbußen für Verstöße gegen die EU-Datenschutzgrundverordnung versiebenfachen sich," Politico

    [6] "EU-Spitzenbeamter warnt, dass die Datenschutzbestimmungen möglicherweise geändert werden müssen," Politico

    [7] "Data Act: Die EU macht ihren nächsten Schritt für Industriedaten," International Association of Privacy Professionals

    [8] "Leitlinien 04/2022 zur Berechnung von Geldbußen im Rahmen der Datenschutz-Grundverordnung," Europäischer Datenschutzausschuss

    [9] "EU-Leitfaden für Anträge auf Zugang zu personenbezogenen Daten," Pinsent Masons

    gettyimages-1302475655.png
    Nächster Punkt
    Archiv Datenschutz |
    Erfüllung der nächsten Welle von US-Datenschutzvorschriften

    Verwandte Artikel

    Archiv Datenschutz
    Weniger ist mehr: Der Cyber-Fall für Datenminimierung
    Archiv Datenschutz
    Was ist Datensicherung und Sicherungsspeicherung?
    Archiv Datenschutz
    Plattformübergreifende Angriffe könnten Ransomware noch tödlicher machen

    Abonnieren Sie Cyber Resilience Insights für weitere Artikel wie diesen

    Erhalten Sie die neuesten Nachrichten und Analysen aus der Cybersicherheitsbranche direkt in Ihren Posteingang

    Anmeldung erfolgreich

    Vielen Dank, dass Sie sich für den Erhalt von Updates aus unserem Blog angemeldet haben

    Wir bleiben in Kontakt!

    Zurück zum Anfang