[datensicherheit.de, 13.06.2023] Laut einer aktuellen Meldung des Bundesverbands IT-Sicherheit e.V. (TeleTrusT) begrüßt dieser den Entwurf des „NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes“ des Bundesministeriums des Innern zur Änderung des IT-Sicherheitsgesetzes. Dieses Gesetz, welches die Anforderungen der NIS-2-Richtlinie der EU umsetzen soll, soll demnach die IT-Sicherheit in Deutschland stärken. „Die NIS-2-Richtlinie der EU vom 14.12.2022 (2022/2555) regelt Maßnahmen zur Verbesserung des Cyber-Sicherheitsniveaus in der Europäischen Union und ändert dazu bestehendes Unionsrecht.“ Wie die vorhergehende NIS-Richtlinie stelle sie die Basis zur Regulierung der Betreiber Kritischer Infrastrukturen (KRITIS) dar. – „sie ist als Richtlinie bis zum 17.10.2024 in nationales Recht umzusetzen“.

TeleTrusT führt Vorteile der neuen Regelung auf

Der Entwurf des „Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz – NIS2UmsuCG)“ verfolge unter anderem die Ziele:

• Signifikante Ausweitung des Anwendungsbereichs des IT-Sicherheitsgesetzes durch Verpflichtung von „wichtigen Einrichtungen“, „besonders wichtigen Einrichtungen“ und Betreibern Kritischer Anlagen
• Erhöhung der Cyber-Resilienz
• Umsetzung eines verbesserten einheitlich hohen Cyber-Sicherheitsniveaus
• Verbesserung der Reaktionsfähigkeit durch Förderung des Austausches von Cyber-Sicherheitsinformationen
• Schaffung von Grundlagen für cyber-sicherheitsrelevante Normen und Verfahren für mögliche Not- und Krisenfälle.

Der Entwurf sieht laut TeleTrusT vor, dass ab 2024 zahlreiche Unternehmen in unterschiedlichsten Sektoren zum Teil bereits ab 50 Mitarbeitern oder 10 Millionen Euro Umsatz die gesetzlichen Maßnahmen zur IT-Sicherheit umsetzen müssten. Darüber hinaus sollten künftig auch Bundeseinrichtungen unter diese Regelungen fallen.

Die Ausweitung der gesetzlichen IT-Sicherheitsanforderungen laut TeleTrusT überfällig

Der TeleTrusT begrüßt nach eignen Angaben die geplante Stärkung der IT-Sicherheit: „Die Ausweitung der gesetzlichen IT-Sicherheitsanforderungen ist überfällig. Angriffe auf IT-Systeme machen weder an Landesgrenzen halt, noch betreffen sie allein Betreiber Kritischer Infrastrukturen“, betont RA Karsten U. Bartels LL.M., stellvertretender TeleTrusT-Vorstandsvorsitzender.

Die Ausweitung des Einsatzes zertifizierter IT-Produkte werde „ausdrücklich unterstützt“. Zertifizierte und damit durch unabhängige Dritte geprüfte Produkte erhöhten das Sicherheitsniveau. Der Einsatz nachweislich hochwertiger IT-Sicherheits-Lösungen könne zusätzlich auch einen Beitrag leisten, geopolitische Abhängigkeiten zu reduzieren.

TeleTrusT-Geschäftsführer fordert Schulterschluss von Wirtschaft, Industrie und Politik

„Um die gesamte Wertschöpfung und kritische Dienstleistungen besser zu schützen, ist der Schulterschluss von Wirtschaft, Industrie und Politik erforderlich“, so TeleTrusT-Geschäftsführer Dr. Holger Mühlbauer.

Bis zur Verabschiedung des Gesetzes sei die konkrete Ausgestaltung noch zu diskutieren. TeleTrusT bietet an, „konstruktive Sachbeiträge zu leisten und als kompetenter Partner Politik und Wirtschaft zu unterstützen“.

Weitere Informationen zum Thema:

OPENKRITIS
Das NIS2 Umsetzungsgesetz

intrapol.org, Dennis-Kenji Kipker, 10.05.2023
RefE für ein NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz – NIS2UmsuCG

NOERR, 22.05.2023
Entwurf des Umsetzungsgesetzes zur NIS2-Richtlinie / Eine Zeitenwende für die IT-Sicherheit in Deutschland?

[datensicherheit.de, 02.05.2021] Der Digitalverband Bitkom e.V. hat das neue, im April 2021 verabschiedete IT-Sicherheitsgesetz 2.0 der deutschen Bundesregierung kritisiert und sieht nach eigenen Angeben einen „fragwürdigem Mehrwert für die IT-Sicherheit“. In seiner Stellungnahme hält Rainer M. Richter, Geschäftsführer von IoT Inspector, dagegen: Dieses Gesetz sei lange überfällig und inkludiere endlich alle in IT-Netzwerken verwendeten Geräte.

IT-Sicherheitsgesetz 2.0 nimmt laut Bitkom Kollateralschäden in Kauf

In der Meldung „IT-Sicherheitsgesetz 2.0 nimmt Kollateralschäden in Kauf“ kritisiert der Bitkom: „Das IT-Sicherheitsgesetz 2.0 schafft eine Kombination aus technischer Zertifizierungsmaschinerie und politisch-regulatorischem Gutdünken mit fragwürdigem Mehrwert für die IT-Sicherheit. Rechts-, Planungs- und Investitionsunsicherheiten werden als Kollateralschäden in Kauf genommen, vor allem mit Blick auf den 5G-Netzausbau. Das wird der Zukunftsfähigkeit des Standorts schaden.“
Diese Position kann Richter nach eigenen Angaben nicht teilen: „Das Gesetz ist lange überfällig und inkludiert endlich alle Geräte, die in IT-Netzwerken verwendet werden – also auch die Millionen von IoT-Devices.“ Das jüngste Beispiel in den USA – dort seien Produkte von fünf bekannten Unternehmen und OEM-Herstellern aus Sicherheitsgründen ausdrücklich für den Einsatz in Behörden verboten worden – zeige, „wie wichtig eine Regulierung für solche Geräte ist“. Sein Team habe eine Unternehmenslösung entwickelt, die in wenigen Minuten sämtliche Schwachstellen in der Firmware eines IoT-Devices aufdecken könne. Für Hacker seien die smarten Helfer – vom Staubsaugerroboter über Router, von der Lichtsteueranlage bis zum Schließsystem oder Sicherheitskameras mit IP-Anschluss – ein Trojanisches Pferd, mit welchem ein Eindringen in gesicherte Netzwerke ohne weiteres möglich sei.

IoT Inspector betont dringende Bedeutung des IT-Sicherheitsgesetzes 2.0

Ebenfalls eine Sicherheitslücke in der Firmware eines Netzwerkgerätes des Herstellers Citrix hätten Hacker bei dem Angriff auf die Uniklinik Düsseldorf im September 2020 ausgenutzt. Es habe einen ganzen Monat gedauert, bis das Krankenhaus wieder seinen Regelbetrieb habe aufnehmen könnee. Richter kommentiert:
„Wer dann noch behauptet, dass eine gesetzliche Regulierung hier einen fragwürdigen Mehrwert bietet, hat offensichtlich die Zeichen der Zeit nicht erkannt, oder ist sich des enormen Risikos nicht bewusst.” Sein Unternehmen analysiere zu Recherchezwecken immer wieder IoT-Geräte aller Art und decke so regelmäßig Schwachstellen auf, welche von Hackern innerhalb kürzester Zeit in großem Stil missbraucht werden könnten.

IT-Sicherheitsgesetz 2.0 verpflichtet zur Absicherung Kritischer Infrastrukturen

Betreiber Kritischer Infrastrukturen (Kritis) seien ab dem 1. Januar 2022 verpflichtet, Systeme zur Angriffserkennung innerhalb ihrer IT-Struktur einzusetzen. Die gelte für bundesweit rund 90 Kliniken, welche mehr als 30.000 vollstationäre Patienten pro Jahr versorgten.
Die sogenannten Whitehat-Hacker von IoT Inspector begrüßten daher die neue Position des BSI: „Dieser Schritt ist richtig und konsequent, denn die Bedrohungslage durch Cyber-Kriminalität in Deutschland bleibt auf einem angespannt hohen Niveau“, habe auch Arne Schönbohm, Präsident des BSI (Bundesamt für Sicherheit in der Informationstechnik), gewarnt.

BSI könnte auf Basis des IT-Sicherheitsgesetzes 2.0 Verbote aussprechen

In den USA für den Einsatz in Behörden und öffentlichen Netzen verboten, in den Niederlanden versehen mit gefährlichen Administratorrechten im Netz des Providers KPN und damit unter Spionageverdacht: Der chinesische Hersteller Huawei habe auch in Deutschland Komponenten für den Ausbau des mobilen 5G-Netzes bereitstellen sollen. Sofern das BSI auf der Basis des neuen IT-Sicherheitsgesetzes ein Verbot ausspricht, wäre dieses Risiko eliminiert, so Richter.
„Es muss klar werden, dass nicht nur Computer, Rechenzentren und Server ein Risiko sind, sondern jedes Device mit einem drahtgebundenen oder drahtlosen Netzwerkzugang. Jede Schwachstelle darin ist ein potentielles Einfallstor für Cyber-Kriminelle – neun von zehn IoT-Geräten haben nach unseren Stichproben Sicherheitslücken. Das muss dringend geändert werden“, fordert der Geschäftsführer von IoT Inspector.

Weitere Informationen zum Thema:

bitkom, 23.04.2021
IT-Sicherheitsgesetz 2.0 nimmt Kollateralschäden in Kauf / Bundestag vor Beschluss von IT-Sicherheitsgesetz 2.0 / Berg: „Rechts-, Planungs- und Investitionsunsicherheiten bleiben bestehen“

Süddeutsche Zeitung, 23.04.2021
Bundestag verabschiedet verschärftes IT-Sicherheitsgesetz

datensicherheit.de, 26.02.2021
IT-Sicherheitsgesetz 2.0: Politik muss laut eco Reißleine ziehen / Vertrauen in digitale Kommunikation darf nicht verspielt werden, fordert der Verband der Internetwirtschaft (eco)

[datensicherheit.de, 26.02.2021] Der eco – Verband der Internetwirtschaft e.V. kritisiert nach eigenen Angaben die geplanten Neuregelungen zum IT-Sicherheitsgesetz 2.0. Der stellvertretende eco-Vorstandsvorsitzende, Klaus Landefeld, fragt in seinem Kommentar: „Wer überwacht die Überwacher, wenn die Bundesregierung ganz klar staatliches Hacking fördert?“

Foto: eco e.V.

Klaus Landefeld: Wer überwacht die Überwacher…?

eco kritisiert Vorhaben als „unverhältnismäßig und schädlich“

Das vom Bundeskabinett kurz vor dem Jahreswechsel im Dezember 2020 beschlossene Zweite Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz 2.0) soll unter anderem den Schutz der Bundesverwaltung, Kritischer Infrastrukturen (KRITIS), sowie von Unternehmen im besonderen öffentlichen Interesse und dem Verbraucherschutz regeln.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) soll demnach in diesem Rahmen weitere Befugnisse erhalten, um IT-Unternehmen umfassend zu kontrollieren. Gleichzeitig aber solle das BSI der Öffentlichkeit wichtige Sicherheitsinformationen vorenthalten dürfen. Der eco kritisiert dieses Vorhaben als „unverhältnismäßig und schädlich für das allgemeine Vertrauen in IT-Systeme“.

eco warnt vor weiteren Planungs- und Rechtsunsicherheiten für Unternehmen

„Das IT-Sicherheitsgesetz 2.0 hätte einen sinnvollen Rechtsrahmen bilden können, um wirksam Cyber-Kriminalität zu bekämpfen und die Sicherheit digitaler Infrastrukturen zu erhöhen“, so Landefeld. Stattdessen rückten Sorgen um die Behördenwünsche in den Vordergrund, „wenn Technologie per Allgemeinverfügung als nicht vertrauenswürdig eingestuft und deren Einsatz weitgehend untersagt werden kann“.
So wolle das neue Gesetz nicht nur Betreiber Kritischer Infrastrukturen zur umfangreichen Dokumentation von IT-Sicherheitslücken verpflichten, sondern auch eine Vielzahl weiterer Unternehmen. Wer konkret unter die neu eingeführte Kategorie „Unternehmen von besonderem öffentlichen Interesse“ fällt, sei bislang jedoch nicht einmal abschließend definiert. Landefeld warnt: „Bei Unternehmen führt das zu weiteren Planungs- und Rechtsunsicherheiten.“

Staatliche Akteure erhalten Anreize, Softwarelücken geheimzuhalten, moniert der eco

Umgekehrt könne das BSI mit dem neuen Gesetz Informationen über Sicherheitslücken zurückhalten, „sofern es Sicherheitsbehörden gegenüber zur Verschwiegenheit verpflichtet ist“. Staatliche Akteure erhielten dadurch Anreize, Softwarelücken geheimzuhalten, um sich darüber weitere Informationen zu beschaffen oder diese gegebenenfalls für eigene Zwecke auszunutzen.
Dies wiederum schaffe Einfallstore für Cyber-Kriminelle und Industriespionage – es schwäche die allgemeine IT-Sicherheit erheblich. Auch könne das BSI Datenverkehr an von ihm benannte Server umleiten lassen, selbst Angriffe auf IT-Systeme vortäuschen und im Zuge dessen auch in diese Systeme eindringen.

eco-Forderung: Wertesystem einer digitalen Gesellschaft überdenken!

Landefeld: „Hier werden politische Interessen vor die IT-Sicherheit gestellt. Warum sind Unternehmen bei Sicherheitsvorfällen zu einer akribischen Meldepflicht an das BSI verpflichtet, aber staatliche Behörden dürfen wichtige Sicherheitsinformationen den Unternehmen vorenthalten? Wer überwacht die Überwacher, wenn die Bundesregierung ganz klar staatliches Hacking fördert?“
Der Trend dazu sei klar, dies sehe man auch schon beim geplanten BND-Gesetz. Faktisch dürfe der BND demnach 99,9 Prozent aller weltweiten Datenverkehre überwachen und nahezu nach Belieben in Computersysteme eindringen. Landefeld betont: „Wenn die Politik jetzt nicht gänzlich das Vertrauen in digitale Kommunikation und Dienste verspielen will, muss sie jetzt die Reißleine ziehen und das Wertesystem einer digitalen Gesellschaft überdenken.“

eco hatte Politik bereits vor vorschneller nationaler Regulierung gewarnt

Eine öffentliche Anhörung zum IT-Sicherheitsgesetz 2.0 sei für Montag, 1. März 2021, im Bundestag angesetzt und werde ab 14 Uhr live übertragen. Bereits im Vorfeld habe der Verband der Internetwirtschaft kritisiert, dass eine Beteiligung am Gesetzgebungsverfahren durch betroffene Unternehmen sowie Verbände und private Nutzer faktisch kaum möglich gewesen sei: „Ende vergangenen Jahres hatte das Bundesinnenministerium nach fast zwei Jahren Wartezeit einen knapp 100 Seiten umfassenden Referentenentwurf zum IT-Sicherheitsgesetz vorgelegt und eine Frist von lediglich 26 Stunden zur Kommentierung eingeräumt“, so der eco.
Weiter habe eco die Politik vor einer vorschnellen nationalen Regulierung gewarnt, „bevor auf europäischer Ebene nicht die Überarbeitung der NIS-Richtlinie abgeschlossen ist, welche ebenfalls im Dezember vorgelegt wurde“.

Weitere Informationen zum Thema:

datensicherheit.de, 16.12.2020
eco warnt vor Schwächung der Vertrauenswürdigkeit digitaler Kommunikation / Staatliche Überwachung statt Erhöhung der IT-Sicherheit in der eco-Kritik

datensicherheit.de, 10.12.2020
IT-Sicherheitsgesetz 2.0: eco warnt vor vorschneller nationaler Regulierung / Der Verband der Internetwirtschaft (eco) befürchtet hohes Risiko für Unternehmen und private Nutzer

datensicherheit.de, 15.05.2020
eco-Kommentar zum IT-Sicherheitsgesetz 2.0 / Scharfe Kritik des Verbands der Internetwirtschaft am Entwurf

[datensicherheit.de, 17.12.2020] Auch der Branchenverband Bitkom hat hierzu entschiedene Kritik angemeldet: Laut Medienberichten hat das Kabinett der Bundesregierung am 16. Dezember 2020 mehrere Gesetzesvorhaben beschlossen – unter anderem das Telekommunikationsmodernisierungsgesetz (TKMoG) und die Neuauflage des IT-Sicherheitsgesetzes.

Foto: bitkom

Bitkom-Präsident Achim Berg sieht enttäuschte Erwartungen

Stellungnahme des Bitkom-Präsidenten zum TKMoG

„Das wichtigste Ziel des Europäischen Kodex für elektronische Kommunikation war es, den Breitbandausbau zu beschleunigen. Aber anstatt die Richtlinie zügig umzusetzen, haben sich die zuständigen Ministerien in immer neuen Gesetzesideen verloren. Das gesamte Verfahren hat für die betroffenen Unternehmen vor allem zu mehr Unsicherheit geführt“, so der Kommentar des Bitkom-Präsidenten, Achim Berg, zum TKMoG.
Auch inhaltlich enttäusche dieser Entwurf die vormals hohen Erwartungen. Berg: „Wir begrüßen zwar die vorgesehenen Erleichterungen beim Gigabit- und 5G-Ausbau im Wegerecht. Hier baut der Gesetzesentwurf Hürden ab. Was jetzt kommt, ist eine neue staatliche Planungsbürokratie, die den wettbewerblichen Netzausbau erschwert.“ Außerdem werde das Ziel einer europäischen Harmonisierung im Verbraucherschutz konterkariert. Die betroffenen Unternehmen müssten nach Ansicht des Bitkom ausreichend Zeit bekommen, die neuen Vorgaben umzusetzen.

Bitkom-Kritik am IT-Sicherheitsgesetz 2.0

„Die Bundesregierung will die Cyber- und IT-Sicherheit stärken, das begrüßen wir im Grundsatz sehr. Bei der Neuauflage des IT-Sicherheitsgesetzes gibt es aber großen Nachbesserungsbedarf. Das Gesetz ist zu wenig zielgerichtet, wirkt inhaltlich überdehnt und ist nur bedingt anschlussfähig an die EU-Gesetzgebung“, moniert Berg. Die personelle und finanzielle Stärkung des Bundesamts für Sicherheit in der Informationstechnik (BSI) sei richtig. Allerdings schüre die großangelegte Kompetenzerweiterung des BSI Erwartungen, die in der Praxis kaum erfüllbar seien.
Bei der Definition Kritischer Komponenten und ihrem Einsatz in Kritische Infrastrukturen (KRITIS) bleibe dieser Entwurf „zu unspezifisch“. Kritische Komponenten müssten auf Basis eines klaren Kriterien- und Funktionskatalogs identifiziert werden. Die zusätzlich vorgesehenen politischen Vertraulichkeitsbescheide böten dagegen keine Rechts-, Planungs- und Investitionssicherheit. Der Bitkom-Präsident warnt: „Der Ausbau der 5G-Netze steht damit auf tönernen Füßen, Deutschland droht seinen Vorsprung bei 5G zu verspielen. Insgesamt wird dieser Gesetzesentwurf der IT-Sicherheit in Deutschland nur bedingt nutzen. Viele Schwächen des Gesetzesvorschlags hätten sich vermeiden lassen, wenn die Bundesregierung frühzeitiger Sachverstand aus Wirtschaft, Wissenschaft und Gesellschaft hinzugezogen hätte.“

Weitere Informationen zum Thema:

datensicherheit.de, 16.12.2020
IT-SiG 2.0: VdTÜV begrüßt Ausweitung des Geltungsbereichs / VdTÜV mahnt aber Nachjustierungen beim IT-Sicherheitsgesetz 2.0 an

datensicherheit.de, 16.12.2020
eco warnt vor Schwächung der Vertrauenswürdigkeit digitaler Kommunikation / Staatliche Überwachung statt Erhöhung der IT-Sicherheit in der eco-Kritik

[datensicherheit.de, 16.12.2020] Mit den am 16. Dezember 2020 vom Bundeskabinett „in aller Eile beschlossenen Entwürfen für ein IT-Sicherheitsgesetz 2.0, das neue Telekommunikationsgesetz sowie das BND-Gesetz“ schwäche die Bundesregierung nachhaltig die allgemeine IT-Sicherheit und beschädige die Vertrauenswürdigkeit digitaler Kommunikation in Deutschland, kritisiert der eco – Verband der Internetwirtschaft e.V. und sieht eine fehlende Rechts- und Planungssicherheit für Unternehmen bei geringem Mehrwert für IT-Sicherheit. Die Bundesregierung sollte demnach Beratungen des IT-Sicherheitsgesetz 2.0 zugunsten europäischer Regelung zurückstellen

Foto: eco e.V.

Klaus Landefeld: Die Internetwirtschaft braucht objektive, sachgerechte und angemessene Vorgaben

eco bemängelt Ausweitung staatlicher Überwachung

„Nicht ‚Verbesserung der IT-Sicherheit‘, sondern ‚Ausweitung staatlicher Überwachung‘ lautet die korrekte Überschrift, unter der diese Gesetzesvorgänge eingeordnet werden können“, so der stellvertretende eco-Vorstandsvorsitzende, Klaus Landefeld, in seinem Kommentar. Alle drei Entwürfe enthielten Regelungen zur Überwachung digitaler Kommunikation, die gleichzeitig zu einer Schwächung der IT-Sicherheit führten.
Im IT-Sicherheitsgesetz 2.0 betreffe dies beispielsweise den Umgang mit Informationen über Sicherheitslücken und Daten, welche das BSI im Rahmen seiner neuen Befugnisse erhebt. Das Gesetz sehe unter anderem vor, dass das BSI Informationen über Sicherheitslücken zurückhalten solle, sofern es Sicherheitsbehörden gegenüber zur Verschwiegenheit verpflichtet sei.
Auch solle das BSI nun Datenverkehr an von ihm benannte Server umleiten lassen sowie selbst Angriffe auf IT-Systeme vortäuschen und im Zuge dessen auch in diese Systeme eindringen dürfen.

eco moniert überzogen strenge, teils nichtzielführende Anforderungen

Das TKG erweitere den Definitionsbereich der Telekommunikationsdienstleister, die künftig verpflichtet würden Überwachungsmaßnahmen umzusetzen und halte entgegen der inzwischen drei existierenden EuGH-Urteile weiterhin an der anlasslosen massenhaften Vorratsdatenspeicherung fest, welche in dieser Form als unionsrechtswidrig einzustufen sei.
Das BND-Gesetz schließlich ermögliche es dem Bundesnachrichtendienst zudem, das Kommunikationsverhalten sowie die GPS- und Bewegungsdaten von beliebigen Personen im In- und Ausland ohne Weiteres zu überwachen. Neben der allgemeinen Informationsbeschaffung im Internet zählten hierzu auch Daten, „die beim Online-Banking, bei Hotelbuchungen sowie über Mobilfunkgeräte und Navigationssysteme übermittelt werden“.
Überdies bedeuteten diese Regelungen für die betroffenen Unternehmen teils erhebliche Einschnitte in ihre Rechts-, Planungs- und Investitionssicherheit: „Im Namen der IT-Sicherheit von TK-Netzen und bei TK-Diensten werden überzogen strenge, teils nichtzielführende Anforderungen gestellt, die die IT-Sicherheit kaum erhöhen dürften, dafür aber die betroffenen Unternehmen vor erhebliche Herausforderungen stellen und schlimmstenfalls in ihrer Geschäftstätigkeit einschränken werden“, erläutert Landefeld.

eco plädiert für Abwarten der Entwicklungen auf europäischer Ebene

Ein zentrales Problem sei die fehlende Synchronisierung mit der europäischen Gesetzgebung, die eco mehrfach im Kontext des IT-SiG 2.0 angemahnt habe. Dies betreffe insbesondere die Harmonisierung des IT-Sicherheitsgesetzes mit der geplanten, von der EU-Kommission am 16. Dezember 2020 vorgestellten Überarbeitung der Richtlinie zur Gewährleistung einer hohen Netzwerk- und Informationssicherheit (NIS) auf europäischer Ebene:
„Eine vorschnelle nationale Regulierung birgt das Risiko, anschließend noch einmal gesetzgeberisch tätig werden zu müssen , weil im IT-Sicherheitsgesetz und in der NIS-Richtlinie systematisch unterschiedliche Ansätze verfolgt und unterschiedlich geregelt werden. Besser wäre es vor diesem Hintergrund gewesen, wenn man den Kabinettsbeschluss zum IT-SiG 2.0 zurückgestellt und die weiteren Entwicklungen auf europäischer Ebene abgewartet hätte“, sagt Landefeld. Für Unternehmen würden diese Nachbesserungen oft mit zusätzlichen Kosten verbunden sein, um bereits implementierte Systeme und Lösungen nochmals für die zusätzliche europäische Regulierung anzupassen.
„Die Internetwirtschaft braucht keinen Wildwuchs an Sicherheitsanforderungen, sondern objektive, sachgerechte und angemessene Vorgaben, welche den rechtsstaatlichen Anforderungen in Deutschland und Europa genügen“, betont Landefeld in seinem Fazit.

Weitere Informationen zum Thema:

eco VERBAND DER INTERNETWIRTSCHAFT E.V., 11.12.2020
Anmerkungen zum RefE TKMoG (Stand 9. Dezember) als Ergänzung der Stellungnahme vom 20.11.2020 zum Diskussionsentwurf TKMoG1 (Stand 6. November)

eco VERBAND DER INTERNETWIRTSCHAFT E.V., 11.12.2020
Anmerkungen zum RefE TKMoG (Stand 9. Dezember) als Ergänzung der Stellungnahme vom 20.11.2020 zum Diskussionsentwurf TKMoG1 (Stand 6. November)

eco VERBAND DER INTERNETWIRTSCHAFT E.V., 03.12.2020
eco Stellungnahme zum RefE eines Gesetzes zur Änderung des Gesetzes über den Bundesnachrichtendienst zur Umsetzung der Vorgaben aus dem Urteil des Bundesverfassungsgerichts vom 19. Mai 2020 (1 BvR 2835/17)

eco VERBAND DER INTERNETWIRTSCHAFT E.V., 20.11.2020
Stellungnahme zum Diskussionsentwurf TKG-Modernisierungsgesetz des BMWi und BMVIvom 06.11.2020

datensicherheit.de, 16.12.2020
IT-SiG 2.0: VdTÜV begrüßt Ausweitung des Geltungsbereichs / VdTÜV mahnt aber Nachjustierungen beim IT-Sicherheitsgesetz 2.0 an

datensicherheit.de, 10.12.2020
IT-Sicherheitsgesetz 2.0: eco warnt vor vorschneller nationaler Regulierung / Der Verband der Internetwirtschaft (eco) befürchtet hohes Risiko für Unternehmen und private Nutzer

datensicherheit.de, 04.12.2020
BND-Gesetz: eco kritisiert aktuellen Entwurf / eco warnt vor massiver Ausweitung der Spionagemethoden

datensicherheit.de, 21.10.2020
Online-Durchsuchung kommt doch: eco warnt vor Schwächung des Vertrauens / eco bewertet Ausweitung der Mitwirkungs- und Zusammenarbeitspflichten hinsichtlich Datenschutz und IT-Sicherheitsanforderungen als kritisch

[datensicherheit.de, 16.12.2020] Der Verband der TÜV e.V. (VdTÜV) begrüßt in seiner aktuellen Stellungnahme das am 16. Dezember 2020 im Bundeskabinett verabschiedete IT-Sicherheitsgesetz 2.0 (IT-SiG 2.0) im Grundsatz, mahnt aber „Nachjustierungen“ an: „Das neue IT-Sicherheitsgesetz wird dazu beitragen, den Schutz vor Cyber-Angriffen zu verbessern“, so Dr. Joachim Bühler, Geschäftsführer des VdTÜV. Dies habe bereits das im Jahr 2015 verabschiedete erste IT-Sicherheitsgesetz gezeigt, welches jetzt novelliert werde.

VdTÜV setzt auf Stärkung der Widerstandsfähigkeit gegen Cyber-Risiken

„Wir begrüßen, dass der enge Geltungsbereich des Gesetzes ausgeweitet wird und in Zukunft weitaus mehr Unternehmen höchste Anforderungen an die IT-Sicherheit erfüllen müssen als bisher“, meint Dr. Bühler. Dies stärke die Widerstandsfähigkeit gegen Cyber-Risiken in der Wirtschaft insgesamt. Bisher hätten nur rund 2.000, zu den Betreibern Kritischer Infrastrukturen (Kritis) zählende Unternehmen, die Vorgaben dieses Gesetzes erfüllen müssen.
Künftig würden auch „Unternehmen im besonderen öffentlichen Interesse“ erhöhte IT-Sicherheitsanforderungen erfüllen müssen. Das betrifft laut Dr. Bühler zum Beispiel große Unternehmen mit besonderer gesamtwirtschaftlicher Bedeutung oder Unternehmen, welche staatliche Sicherheitsinteressen berühren.

Laut VdTÜV deutlicher Nachbesserungsbedarf beim geplanten IT-Sicherheitskennzeichen

Deutlichen Nachbesserungsbedarf sieht der TÜV-Verband nach eigenen Angaben beim geplanten IT-Sicherheitskennzeichen für Produkte: Ziel sei es, Verbrauchern eine bessere Orientierung beim Kauf vernetzter Produkte mit digitalen Funktionen zu ermöglichen. So sollten Produkte eine Kennzeichnung vom Bundesamtes für Sicherheit in der Informationstechnik (BSI) erhalten, „wenn sie bestimmte Anforderungen an die IT-Sicherheit erfüllen“. Voraussetzung für die Vergabe des Kennzeichens sei eine Erklärung des Herstellers, „dass sein Produkt den Vorgaben entspricht“.
Das BSI überprüfe anhand von Unterlagen des Herstellers, ob die Angaben plausibel sind. „Eine reine Plausibilitätsprüfung von Dokumenten reicht nicht aus, um die IT-Sicherheit eines Produktes umfassend zu bestätigen“, erläutert Dr. Bühler. Für eine „substantiierte Verbraucherinformation“ sei eine tatsächliche Produktprüfung notwendig, welche von einer herstellerunabhängigen Stelle durchgeführt werde. „Für die Verbraucher muss klar sein, was eine Produktkennzeichnung aussagt“, betont Dr. Bühler. Echte Sicherheit und verlässliche Orientierung biete „nur eine fundierte Produktprüfung durch unabhängige Dritte“.

VdTÜV kritisiert beim Gesetzgebungsverfahren auffallend kurze Frist für Kommentierung

Aus Sicht des TÜV-Verbands sollten sich staatliche Stellen „unter Wahrung des Subsidiaritätsprinzips sowie des Grundsatzes der Staatsentlastung auf hoheitliche Aufgaben konzentrieren“. Dem BSI würden im IT-Sicherheitsgesetz 2.0 Aufgaben wie die Akkreditierung von Prüforganisationen, die Zertifizierung von IT-Produkten oder sicherheitsrelevanten Dienstleistungen sowie die Marktaufsicht zugedacht. So solle das BSI künftig private Prüforganisationen zulassen bzw. akkreditieren und überwachen, mit denen sie gleichzeitig um die Zertifizierung von sicherheitskritischen Systemen in der Wirtschaft konkurriere. Allerdings berge die Konzentration, Durchmischung und Überlagerung von Aufgaben und Kompetenzen das Risiko von Interessenkonflikten innerhalb einer Behörde.
Zum Gesetzgebungsverfahren kritisiert der VdTÜV – wie auch andere Verbände – die „auffallend kurze Frist für die Kommentierung des Gesetzentwurfs“. Dr. Bühler führt aus: „Das IT-Sicherheitsgesetz betrifft Wirtschaft und Verbraucher massiv. Ausreichend Zeit für eine sachgerechte Anhörung der Verbände ist daher zwingend geboten und wichtiger Teil des demokratischen Verfahrens.“

Weitere Informationen zum Thema:

TÜV VERBAND
Stellungnahme des TÜV-Verbands zum IT-Sicherheitsgesetz / Der TÜV-Verband kommentiert den Referentenentwurf für ein zweites IT-Sicherheitsgesetz vom 1. Dezember 2020.

datensicherheit.de, 10.12.2020
IT-Sicherheitsgesetz 2.0: eco warnt vor vorschneller nationaler Regulierung / Der Verband der Internetwirtschaft (eco) befürchtet hohes Risiko für Unternehmen und private Nutzer

[datensicherheit.de, 10.12.2020] Der Verband der Internetwirtschaft (eco) appelliert an die Politik, die Beratungen des sogenannten IT-Sicherheitsgesetzes 2.0 zurückzustellen und die weiteren Entwicklungen auf europäischer Ebene abzuwarten. Das Bundesinnenministerium (BMI) hat demnach nach fast zwei Jahren einen Referentenentwurf zum IT-Sicherheitsgesetz 2.0 vorgelegt. Der eco kritisiert nach eigenen Angaben „scharf“, dass das BMI für das knapp 100 Seiten umfassende Dokument lediglich eine Frist von 26 Stunden eingeräumt habe.

Stellvertretender eco-Vorstandsvorsitzender sieht Ausdruck gesetzgeberischer und politischer Hilflosigkeit

„Es geht nur noch darum, die Entwürfe noch in diesem Jahr ins Kabinett zu bringen“, so Klaus Landefeld, der stellvertretende eco-Vorstandsvorsitzende. Dies sei Ausdruck „bloßer gesetzgeberischer und politischer Hilflosigkeit“, wie hier vor dem Ende dieser Legislaturperiode agiert werde.
Die Debatte um das IT-Sicherheitsgesetz finde auch vor dem Hintergrund einer umfassenden Novellierung des Telekommunikationsgesetzes statt. Hierzu hatte das Bundeswirtschaftsministerium (BMWi) laut eco am 9. Dezember 2020 einen neuen Gesetzentwurf mit 465 Seiten versendet und eine Frist bis Freitag, den 11. Dezember 2020, angesetzt.

eco rät, Beratungen zum IT-Sicherheitsgesetz 2.0 zurückzustellen

Der eco appelliert nun an die Politik, „in Anerkennung der Konsequenzen für den weiteren Gesetzgebungsvorgang, die Beratungen des IT-Sicherheitsgesetzes 2.0 zurückzustellen und die weiteren Entwicklungen auf europäischer Ebene abzuwarten“. Dies betreffe insbesondere die angestrebte Harmonisierung des IT-Sicherheitsgesetzes mit der geplanten Überarbeitung der Richtlinie zur Gewährleistung einer hohen Netzwerk- und Informationssicherheit (NIS) auf europäischer Ebene, die ebenfalls unmittelbar bevorstehe.
„Eine vorschnelle nationale Regulierung birgt das Risiko, anschließend noch einmal gesetzgeberisch tätig werden zu müssen“, warnt Landefeld vor voreiligen Schritten. Für Unternehmen seien diese Nachbesserungen oft mit zusätzlichen Kosten verbunden, um bereits implementierte Systeme und Lösungen nochmals für den neuen Regulierungsrahmen anzupassen. Eine Überarbeitung der NIS-Richtlinie sei für das Jahr 2021 in Aussicht gestellt worden.

eco befürchtet Aushöhlung des Grundrechtschutzes

Auch sollten die im IT-Sicherheitsgesetz angestrebten Regelungen für den Einsatz von sogenannten kritischen Komponenten beziehungsweise deren Untersagung möglichst europäisch adressiert und behandelt werden. „Nationale Sonderregelungen sollten ausschließlich für eng umgrenzte Bereiche mit klaren gesetzlichen Definitionen vorgesehen sein“, betont Landefeld. Andernfalls drohe Unternehmen erhebliche Rechtsunsicherheit. „Damit IT-Sicherheit in Deutschland effektiv reguliert wird und sich in im europäischen digitalen Binnenmarkt sinnvoll weiterentwickeln und gestärkt werden kann, müssen diese Probleme nun möglichst zügig adressiert und gelöst werden.“
„Die neuen Befugnisse für das BSI werfen ein Schlaglicht auf eine zentrale Debatte um das IT-Sicherheitsgesetz 2.0“, so der eco. Dies betreffe den Umgang mit Informationen über Sicherheitslücken und die Daten, welche das BSI im Rahmen seiner neuen Befugnisse erhebe. Das Gesetz sehe unter anderem vor, dass das BSI Informationen über Sicherheitslücken zurückzuhalten solle, sofern es Sicherheitsbehörden gegenüber zur Verschwiegenheit verpflichtet sei. Auch könne das BSI nun Datenverkehr an von ihm benannte Server umleiten lassen und selbst Angriffe auf IT-Systeme vortäuschen und im Zuge dessen auch in diese Systeme eindringen. „Die Maßnahmen, die das BSI hier ergreifen und anordnen kann, werfen Zweifel daran auf, dass der Grundrechtschutz hier gewahrt ist“, sagt Landefeld.

eco zum Hintergrund:

Der erste Entwurf zum IT-Sicherheitsgesetz 2.0 sei 2019 inoffiziell an die Öffentlichkeit gelangt und vom eco „scharf kritisiert“ worden. Nachdem das BMI am 1. Dezember 2020 zunächst einen nicht abgestimmten Diskussionsentwurf veröffentlicht habe, auf den der eco sich in einer Stellungnahme beziehe, sei ein aktualisierter Referentenentwurf am 9. Dezember 2020 gefolgt.
Obwohl darin weitere Aspekte zur IT-Sicherheit grundlegend überarbeitet worden seien, habe das Bundesinnenministerium lediglich eine Rückmeldefrist bis Freitag, den 11. Dezember 2020, 14 Uhr, eingeräumt. Auch zu dieser Version habe der eco fristgerecht eine Stellungnahme eingereicht.

Weitere Informationen zum Thema:

datensicherheit.de, 04.12.2020
BND-Gesetz: eco kritisiert aktuellen Entwurf

eco VERBAND DER INTERNETWIRTSCHAFT E.V., 10.12.2020
Ergänzende Anmerkungen und Stellungnahme zum Referentenentwurf des Bundesministeriums des Innern für Bau und Heimat eines Zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (Zweites IT-Sicherheitsgesetz –IT-SiG 2.0)(Stand 9.12.2020)

eco VERBAND DER INTERNETWIRTSCHAFT E.V., 09.12.2020
Stellungnahme zum Diskussionsentwurf des Bundesministeriums des Innern für Bau und Heimat eines Zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (Zweites IT-Sicherheitsgesetz –IT-SiG 2.0)(Stand 1.12.2020)

eco VERBAND DER INTERNETWIRTSCHAFT E.V., 26.06.2019
Eckpunkte zum Referentenentwurf des “Zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme“(IT-SiG 2.0)

[datensicherheit.de, 15.05.2020] Nachdem im vergangenen Jahr ein Entwurf für das IT-Sicherheitsgesetz 2.0 an die Öffentlichkeit gelangt und auch von Seiten des Verbands der Internetwirtschaft scharf kritisiert worden war, hat das Bundesministerium des Innern, für Bau und Heimat (BMI) die Beratungen nun wiederaufgenommen und die Ressortabstimmung gestartet.

Backdoors und gezielte Schwächung von Verschlüsselung kontraproduktiv

Für den eco – Verband der Internetwirtschaft müssen im Rahmen des IT-SiG 2.0 die Verantwortlichkeiten und Haftung für IT-Sicherheit ausgewogen geregelt sowie Sicherheitslücken zügig geschlossen werden: Staatliche Backdoors sowie die gezielte Schwächung von Verschlüsselung sind kontraproduktiv für die IT-Sicherheit und gefährden das Vertrauen in die Nutzung digitaler Dienste.

Zu den nun anstehenden Beratungen sagt eco-Vorstand Klaus Landefeld:

„Die mit dem Referentenentwurf geplanten ausgeweiteten Befugnisse für das BSI müssen verhältnismäßig sein. Schnüffelklauseln oder Portscan-Paragraphen in einem IT-Gesetz sind keine Option und untergraben die Vertraulichkeit elektronischer Dienste und Kommunikation: Jede unnötig provozierte Sicherheitslücke könnte künftig von Nachrichtendiensten oder Kriminellen ausgenutzt werden, um an sensible Informationen von Nutzer/innen, Behörden und Firmen zu kommen.“

Auch ist nicht klar, inwieweit das BSI mit der ZITIS-Stelle zusammenarbeitet, so dass sich zusätzlich die Frage ergibt, ob bekannte Sicherheitslücken tatsächlich geschlossen oder nicht doch von Sicherheitsbehörden für deren Zwecke verwendet werden. „Wir erwarten, dass das Verhältnis von BSI und ZITIS klargestellt wird. Das BSI muss zur Durchsetzung von IT-Sicherheit und nur dafür da sein“, so Landefeld.

Klare, transparente, nachvollziehbare und verhältnismäßige Regeln gefordert

Der eco fordert klare, transparente, nachvollziehbare und verhältnismäßige Regeln: „Wir stehen im Bereich der Kritischen Infrastrukturen schon heute vor dem Problem, dass wir umfassende Meldepflichten haben und an Datenschutzbeauftragte und BSI melden müssen.“ Solche Meldepflichten dürfen nicht unendlich ausgeweitet werden, sie müssen für die Unternehmen handhabbar und transparent ausgestaltet werden.

Weitere Informationen zum Thema:

datensicherheit.de, 04.05.2020
Netzwerkdurchsetzungsgesetz: eco veröffentlicht Leitlinien zur Reform

datensicherheit.de, 29.04.2020
eco zum Medienstaatsvertrag: Bundesländer müssen EU-Kritik dringend berücksichtigen

[datensicherheit.de, 22.05.2019] Am 14.11.2019 veranstaltet der Bundesverband IT-Sicherheit e.V. (TeleTrusT) in Berlin den jährlichen IT-Sicherheitsrechtstag, in dem die aktuelle Rechtslage sowie ihre technischen Umsetzungsmöglichkeiten leicht verständlich und praxisnah vorgestellt werden. Im diesjährigen Fokus stehen insbesondere die EU-Datenschutz-Grundverordnung (DSGVO), der EU Cybersecurity Act, das Geschäftsgeheimnisschutzgesetz sowie die Änderungen im Rahmen des angekündigten IT-Sicherheitsgesetzes 2.0.

Wichtige rechtliche Vorgaben der europäischen und nationalen Gesetzgeber in den vergangenen Jahren verabschiedet

In den vergangenen Jahren haben die europäischen und nationalen Gesetzgeber wichtige rechtliche Vorgaben verabschiedet, die in der unternehmerischen und behördlichen Praxis eingehalten werden müssen. Nicht immer sind diese Vorgaben eindeutig definiert, um unmittelbar in der Praxis umgesetzt zu werden. Interdisziplinäre Referenten werden die datenschutzrechtlichen und IT-sicherheitsgesetzlichen Pflichten erörtern und ihre Lösungsansätze und Umsetzungsmöglichkeiten vorstellen.

„Wir möchten den Teilnehmerinnen und Teilnehmern anwendbares Wissen näher bringen, wie die zahlreichen Anforderungen der diversen Gesetze mit derselben Schnittmenge, nämlich IT-Sicherheit, effektiv, konsolidiert und rechtssicher umgesetzt werden können. Neben dem IT-Sicherheitsgesetz und dessen geplanter Neuauflage betrifft das die DSGVO und das neue Gesetz zum Schutz von Geschäftsgeheimnissen. Eine besondere Rolle werden auch die angekündigten Zertifizierungen zur IT-Sicherheit spielen.“ erklärt RA Karsten U. Bartels LL.M., stellvertretender TeleTrusT-Vorstandsvorsitzender und Leiter der TeleTrusT-AG „Recht“.

Praxisnahe Veranstaltung

Die Veranstaltung ist praxisnah angelegt, um jedem Interessenten die Möglichkeit zu geben, sich über die aktuelle Gesetzeslage zu informieren, die Möglichkeiten der rechtskonformen Umsetzung kennenzulernen und dabei wertvolle Kontakte zu knüpfen. Daher richtet sich die Veranstaltung an Interessierte aus Unternehmen und öffentlichen Einrichtungen und Behörden jeder Größe.

Aus dem Programm:

• Dr. Martin Hecheltjen, BSI: „IT-Sicherheitsgesetz 2.0“
• RA Paul Voigt, Taylor Wessing: „EU Cybersecurity Act“
• Thomas Dorstewitz, enercity: „DSGVO und KRITIS: Umsetzung am Praxisbeispiel enercity AG“
• RA Karsten U. Bartels, HK2: „Umsetzung des Geschäftsgeheimnisschutzgesetzes im Unternehmen“
• Rolf Blunk, Otaris: „Data protection by design/by default“
• Dr. Dennis-Kenji Kipker, Universität Bremen: „Rechtliche Pflichten zu IT-sicherheitsbezogenen Softwareupdates“

Weitere Informationen zum Thema:

TeleTrusT
IT-Sicherheitsrechtstag 2019

TeleTrusT
Vollständiges Programm und Anmeldung

datensicherheit.de, 17.07.2018
IT-Sicherheitsrechtstag in Berln am 25.10.2018

datensicherheit.de, 13.06.2018
Stand der Technik: TeleTrusT veröffentlicht revidierte und erweiterte Handreichung

datensicherheit.de, 30.08.2017
IT-Sicherheitsrechtstag 2017: Erfolgreiche Umsetzung gesetzlicher Anforderungen

[datensicherheit.de, 17.07.2018] Die  gesetzeskonforme Umsetzung der IT-Sicherheit in Unternehmen, öffentlichen Stellen und Behörden erfordert zahlreiche technische, organisatorische und rechtliche Maßnahmen. So stellt die Datenschutz-Grundverordnung seit dem 25.05.2018 deutlich erhöhte Anforderungen an den technischen Datenschutz. Das IT-Sicherheitsgesetz gilt sogar bereits seit 2015. Der Bundesverband IT-Sicherheit e.V. (TeleTrusT) präsentiert im Rahmen einer interdisziplinären Informationsveranstaltung am 25.10.2018 in Berlin Erfahrungen, Lösungsansätze und Praxistipps.

TeleTrusT veranstaltet den mit Fachexperten besetzten IT-Sicherheitsrechtstag bereits zum dritten Mal. Im Fokus stehen die Möglichkeiten der erfolgreichen Umsetzung gesetzlicher IT-Sicherheits- und Datenschutzanforderungen in der Unternehmens- und Behördenpraxis.

 IT-Sicherheitsgesetz und EU-DSGVO setzen wichtige regulatorische Vorgaben

Unter anderem mit dem IT-Sicherheitsgesetz und der EU-Datenschutz-Grundverordnung (DSGVO) haben die Gesetz- und Verordnungsgeber auf nationaler und europäischer Ebene wichtige regulatorische Vorgaben gesetzt. Unternehmen und Behörden sind aufgefordert, Ihre Strukturen sowie die technischen, organisatorischen und rechtlichen Maßnahmen zu überprüfen und unter Berücksichtigung des Standes der Technik anzupassen. Insbesondere sind die Maßnahmen und Verfahren umfänglich zu dokumentieren.

 „Wir möchten mit den Teilnehmern unseres IT-Sicherheitsrechtstages vor allem die Erfahrungen, die wir seit dem Geltungsbeginn der DSGVO in Sachen IT-Sicherheit gesammelt haben, weitergeben und diskutieren“, erklärt RA Karsten U. Bartels LL.M., TeleTrusT-Vorstandsmitglied.

Referenten aus der technischen, juristischen, betrieblichen, aufsichtsbehördlichen und gutachterlichen Praxis werden die praxisrelevanten Herausforderungen der datenschutzrechtlichen und IT-sicherheitsgesetzlichen Pflichten erörtern und ihre Lösungs- und Umsetzungsmöglichkeiten beleuchten. Die Veranstaltung richtet sich an Unternehmen, öffentliche Stellen und Behörden jeder Größe.

Aus dem Programm:

• RA Karsten U. Bartels, LL.M., HK2 Rechtsanwälte, TeleTrusT-Vorstand, Leiter TeleTrusT-AG „Recht“
  Begrüßung
• Tomasz Lawicki, Schwerhoff Consultants, Leiter TeleTrusT-AK „Stand der Technik“
  Moderation
•  RA Paul Voigt, LL.M., Taylor Wessing
  „Das IT-Sicherheitsgesetz in der Praxis“
• RA Karsten U. Bartels, LL.M., HK2 Rechtsanwälte
  „Die DSGVO in der Praxis“
• Dr. Ilona M. Pawlowska, LL.M., Deutsche Akkreditierungsstelle (DAkkS)
  „Akkreditierungen von Zertifizierungsstellen nach DSGVO“
• Ernst-H. Paap, Hamburger Sparkasse
  „Regulatorische Anforderungen und Auswirkungen auf das ‚Daily Business‘ “
• Frank Helle, Hermes Forwarding
  „Vorgehensweise für die Umsetzung der DSGVO im Unternehmen“
• Barbara Thiel, Die Landesbeauftragte für den Datenschutz Niedersachsen
  „Umsetzung der DSGVO aus aufsichtsbehördlicher Sicht“
• Panel-Diskussion

Weitere Infrmatione zum Thema:

TeleTrusT
Sicherheiheisrechtstag 2018: Programm und Anmeldung

datensicherheit.de, 13.06.2018
Stand der Technik: TeleTrusT veröffentlicht revidierte und erweiterte Handreichung