Kürzlich in einem NIS-2-Workshop mit dem Management eines Kunden.
Thema: Meldepflichten bei IT-Sicherheitsvorfällen.
Seit kurzem gibt es das zentrale BSI-Portal für die Meldung von Sicherheitsvorfällen – gut und richtig. Doch dann kam die entscheidende Frage aus dem C-Level:
Was passiert, wenn ein IT-Sicherheitsvorfall zugleich personenbezogene Daten betrifft?
Reicht die Meldung beim BSI, oder müssen wir zusätzlich die Datenschutzaufsicht informieren?
Die kurze Antwort: Nein, eine Meldung reicht nicht.
Die lange Antwort ist genau das Problem.
Für NIS-2-regulierte Unternehmen läuft die Meldung über das BSI-Portal.
Für Datenschutzvorfälle hingegen sind die Landesdatenschutzbehörden zuständig, abhängig vom Hauptsitz des Unternehmens.
Ergebnis:
unterschiedliche Zuständigkeiten
unterschiedliche Portale
unterschiedliche Registrierungen
kein Datenaustausch
Aktuell gibt es keine mir bekannte Möglichkeit im BSI-Portal parallel eine Meldung an die zuständige Datenschutzbehörde abzusetzen oder aus einem Datenschutz-Meldeportal direkt das BSI zu informieren.
Aus Management-Sicht stellt sich daher die strategische Frage:
→ Wie stellen Unternehmen heute sicher, dass sie im Ernstfall nichts übersehen?
Meine Frage an Sie – insbesondere an CISOs, CIOs, CFOs & CEOs:
Wäre ein solcher „One-Stop-Meldeprozess“ aus Ihrer Sicht sinnvoll,
oder sogar notwendig? Ich freue mich auf Ihre Ansichten.
Tags
Beitrag teilen
Thomas Neeff
Thomas Neeff