Meldepflichten bei #Cyberangriffen sind wichtig – doch was passiert, wenn sich #Cyberkriminelle diese ebenso als #Erpressungsmittel zunutze machen? In der aktuellen Ausgabe des IT-#Administrators klären Tilmann Dittrich und ich darüber auf, welche Meldepflichten nach deutschem #Recht auch jenseits von #NIS2 und #KRITIS bestehen, warum es wichtig ist, diese zu erfüllen – und was passieren kann, wenn man diesen Pflichten nicht nachkommt. Folgende zentrale Tipps für #Unternehmen sind wichtig, um in Sachen #Cybersecurity #Meldung auf der sicheren Seite zu sein:
- Treffen Sie zumindest die gesetzlich vorgeschriebenen IT-Sicherheitsmaßnahmen. Hierfür ist eine Orientierung an behördlichen Standards möglich.
- Bereiten Sie den Ernstfall vor: Ein Cyber Incident Plan kann nicht erst während eines Vorfalls erstellt werden.
- Berücksichtigen Sie gesetzliche Meldepflichten in den Notfallplänen und sorgen Sie für die Zusammenarbeit von IT und Rechtsabteilung.
- Üben Sie den Ernstfall: Awareness ist mehr als nur ein Modewort.
- Ermitteln Sie bei IT-Vorfällen zeitnah und mit den notwendigen (ggf. auch externen) Ressourcen. Denken Sie hier immer auch an Fehlverhalten durch Unternehmensangehörige!
- Geben Sie die Meldungen in den vorgesehenen Zeiträumen ab: Behörden und Versicherer können hier wichtige Hilfestellungen zur Krisenbewältigung geben. Zudem sind rasche Meldungen auch bei einem später festgestellten Fehlverhalten gegenüber der Behörde ein gutes Argument als Zeichen der Kooperation für die Entscheidung, ob und in welcher Höhe eine Sanktion in Betracht kommt.
Den vollständigen Beitrag gibt es hier zum freien Download: https://intrapol.org/wp-content/uploads/2024/05/Artikel_Recht_ITA0424.pdf