Kürzlich in einem NIS-2-Workshop mit dem Management eines Kunden.
Thema: Meldepflichten bei IT-Sicherheitsvorfällen.

Seit kurzem gibt es das zentrale BSI-Portal für die Meldung von Sicherheitsvorfällen – gut und richtig. Doch dann kam die entscheidende Frage aus dem C-Level:

Was passiert, wenn ein IT-Sicherheitsvorfall zugleich personenbezogene Daten betrifft?

Reicht die Meldung beim BSI, oder müssen wir zusätzlich die Datenschutzaufsicht informieren?

Die kurze Antwort: Nein, eine Meldung reicht nicht.
Die lange Antwort ist genau das Problem.

Für NIS-2-regulierte Unternehmen läuft die Meldung über das BSI-Portal.
Für Datenschutzvorfälle hingegen sind die Landesdatenschutzbehörden zuständig, abhängig vom Hauptsitz des Unternehmens.

Ergebnis:
unterschiedliche Zuständigkeiten
unterschiedliche Portale
unterschiedliche Registrierungen
kein Datenaustausch

Aktuell gibt es keine mir bekannte Möglichkeit im BSI-Portal parallel eine Meldung an die zuständige Datenschutzbehörde abzusetzen oder aus einem Datenschutz-Meldeportal direkt das BSI zu informieren.

Aus Management-Sicht stellt sich daher die strategische Frage:
→ Wie stellen Unternehmen heute sicher, dass sie im Ernstfall nichts übersehen?

Meine Frage an Sie – insbesondere an CISOs, CIOs, CFOs & CEOs:

Wäre ein solcher „One-Stop-Meldeprozess“ aus Ihrer Sicht sinnvoll,
oder sogar notwendig? Ich freue mich auf Ihre Ansichten.

Tags

Beitrag teilen

Weitere Artikel

Die ISO 27001 fordert von Ihnen, regelmäßig ein sog. Internes Audit (engl. Internal Audit) Ihres ISMS (Informationssicherheitsmanagementsystem) durchzuführen, um die Standard-Konformität zu überprüfen. Obgleich es „internes Audit“ heißt, dürfen – und sollten – Sie selbstverständlich...
Personalmangel im IT-Security Bereich 3 Tage (ISC)2 Security Congress in Las Vegas sind zu Ende gegangen. Wie ein roter Faden zog sich auch dieses Jahr das Thema Knappheit an qualifiziertem Personal durch die Veranstaltung. Zero...
Wenn wir auf das Jahr 2022 zurückblicken, erinnern wir uns an eine Vielzahl von IT-Sicherheitsbedrohungen und -vorfällen. Einige der wichtigsten Ereignisse und Trends im Bereich der IT-Sicherheit im vergangenen Jahr waren: Ransomware und Datenlecks Ransomware:...