Cyber­se­curity-Regulierung – Umsetzung NIS 2

Es besteht wohl gesicherte Kenntnis dazu, dass China hinter einem Hacker­an­griff auf das Bundesamt für Karto­graphie und Geodäsie (BKG) im Jahr 2021 steckt (hier). 2022 gab es einen umfang­reichen Cyber­an­griff auf die Handels­kammer Hamburg. In diesem Jahr kam es deutsch­landweit zu Hacker­an­griffen auf IHK-Unter­nehmen. Das Ziel waren vertrau­liche Daten von Unter­nehmen. Die Täter sind meist unbekannt. Bereits jetzt ist aber schon klar, dass KI die Profes­sio­na­li­sierung der Cyber­kri­mi­na­lität befeuert. Doch es geht nicht nur um Wirtschafts­kri­mi­na­lität, Betrug und wirtschaft­liche Schäden: Cyber­an­griffe auf kritische Infra­struk­turen wie Energie­ver­sorger, Kranken­häuser oder Wasser­werke können sehr weitrei­chende gesamt­ge­sell­schaft­liche Konse­quenzen haben. Daher ist eine zuver­lässige Cyber­si­cherheit wichtiger denn je und für unser gesell­schaft­liches Wohlergehen unent­behrlich (siehe auch hier) .

Am 27.12.2022 wurde die zweite EU-Richt­linie zur Netzwerk- und Infor­ma­ti­ons­si­cherheit (NIS-2-Richt­linie) im Amtsblatt veröf­fent­licht. Diese Richt­linie zielt auf eine Verbes­serung der Cyber­si­cherheit in der EU ab. Im Vergleich zur vorigen Richt­linie erweitert die NIS2 den Kreis der betrof­fenen Unter­nehmen, die Pflichten und die behörd­liche Aufsicht. Die Mitglied­staaten müssen die Richt­linie bis Oktober 2024 in natio­nales Recht umsetzen. Die nationale Umsetzung soll durch ein umfang­reiches Artikel­gesetz (NIS-2-Umset­zungs- und Cyber­si­cher­heits­stär­kungs­gesetz – „NIS2UmsuCG“) erfolgen, welches insgesamt über 32 Gesetze und Verord­nungen ändert. Hierfür liegt seit 24.07.2024 ein abgestimmter Regie­rungs­entwurf vor. Das Gesetz überführt die EU-weiten Mindest­stan­dards für Cyber­se­curity in deutsche Regulierung. Der bereits durch das IT-Sicher­heits­gesetz und dessen Neufassung (IT-Sicher­heits­gesetz 2.0) geschaffene Ordnungs­rahmen wird erweitert und wird nun große Teile der deutschen Wirtschaft mit knapp 30.000 Unter­nehmen betreffen. Ebenso wird die IT-Sicherheit der Bundes­ver­waltung weiter gestärkt. Im Schwer­punkt geht es um Folgende Änderungen:

  • Einführung von „Einrich­tungs­ka­te­gorien“ und Ausweitung des Anwen­dungs­be­reichs für IT-Anfor­de­rungen und Melde­pflichten. So soll es nun „Besonders wichtige
  • Einrich­tungen“ (BWE) und „wichtige Einrich­tungen“ (WE) sowie als Teil der BWE die „Betreiber kriti­scher Anlagen“ geben.
  • Ausweitung des Instru­men­ta­riums des Bundesamts für Sicherheit in der Infor­ma­ti­ons­technik (BSI) im Hinblick auf von der NIS-2-Richt­linie vorge­gebene Aufsichtsmaßnahmen.
  • Der Katalog der Mindest­si­cher­heits­an­for­de­rungen des Artikels 21 Absatz 2 NIS-2-Richt­linie wird in das BSI-Gesetz übernommen, wobei in der Inten­sität der jewei­ligen Maßnahme aus Gründen der Verhält­nis­mä­ßigkeit zwischen den Kategorien ausdif­fe­ren­ziert wird.
  • Die bislang einstufige Melde­pflicht bei Vorfällen wird durch das dreistufige Melde­regime der NIS-2-Richt­linie ersetzt. Dabei soll der bürokra­tische Aufwand für die Einrich­tungen im Rahmen des bestehenden mitglied­staat­lichen Umset­zungs­spiel­raums minimiert werden.
  • Gesetz­liche Veran­kerung wesent­licher natio­naler Anfor­de­rungen an das Infor­ma­ti­ons­si­cher­heits­ma­nagement des Bundes und Abbildung der zugehö­rigen Rollen und Verantwortlichkeiten.
  • Harmo­ni­sierung der Anfor­de­rungen an Einrich­tungen der Bundes­ver­waltung aus natio­nalen und unions­recht­lichen Vorgaben, um ein insgesamt kohärentes und handhab­bares Regelungs­regime zu gewährleisten.

Geschaffen wird zudem die Position eines „CISO (Chief Infor­mation Security Officer) Bund“ als zentralem Koordi­nator für Maßnahmen zur Infor­ma­ti­ons­si­cherheit in Einrich­tungen der Bundes­ver­waltung und zur Unter­stützung der Ressorts bei der Umsetzung der Vorgaben für das Informationssicherheitsmanagement.

Mit Blick auf die EU-Vorgaben ist abzusehen, dass das NIS2UmsuCG noch in diesem Herbst verab­schiedet wird. (Dirk Buchsteiner)

2024-08-09T15:47:43+02:009. August 2024|Cybersecurity, Datenschutz, Digitales|

KI und Umwelt

In Berlin fand am 14.05.2024 das Green-AI Hub Forum statt. Hierbei handelt es sich um KI-Initiative des BMUV. Die Veran­staltung, die hochka­rätig von Bundes­um­welt­mi­nis­terin Steffi Lemke eröffnet wurde, bot Einblicke in aktuelle Praxis­bei­spiele für praktische KI-Anwen­dungen zur Optimierung von Produk­ti­ons­pro­zessen in Unter­nehmen. Vor Ort und im Livestream (hier abrufbar) konnte man erfahren, wie Green AI in der Praxis funktio­niert. Das BMUV zeigte erste Ergeb­nisse der Green-AI Hub Pilot­pro­jekte aus dem Mittel­stand (siehe auch hier). Im Kern geht es darum, wie Künst­liche Intel­ligenz (KI) für mehr Ressour­cen­ef­fi­zienz einge­setzt werden kann. Rund 120 Vertre­te­rinnen und Vertreter aus Wirtschaft, Verbänden und Forschung tauschten sich über KI-Techno­logien aus und wie Unter­nehmen diese gewinn­bringend einsetzen können.

Die vorge­stellten zehn Beispiele der Unter­nehmen kamen aus verschie­denen Bereichen. So berichtete beispiels­weise ein Verpa­ckungs­her­steller über die Einbettung der KI in die betrieb­lichen Prozesse. Durch den KI-Einsatz konnten im Schnitt 10 bis 15 Prozent Material- und Energie­ein­spa­rungen erzielt werden. Ein Unter­nehmen optimierte im KI-Pilot­projekt den Herstel­lungs­prozess der entwi­ckelten Heizungs­an­lagen. Durch die verbes­serte Planung und Dimen­sio­nierung neuer Hallen lassen sich Nutzungs­daten sammeln und so die Größe und Ausstattung ähnlicher Hallen zukünftig besser planen. Auch hier wurden Material, Energie und CO2 einge­spart. Ein Hersteller von Einlagen konnte durch KI-gestützten 3D-Druck ortho­pä­di­scher Einlagen konnte hierdurch ebenfalls die Materi­al­bilanz drastisch verbessern.

Als Teil der KI-Strategie der Bundes­re­gierung fördert das BMUV die nachhaltige Gestaltung von KI und die Nutzung ihrer Chancen zugunsten von Klima und Umwelt mit 150 Millionen Euro. Im Auftrag des BMUV koordi­niert die Zukunft – Umwelt – Gesell­schaft (ZUG) gGmbH die Umsetzung des Green-AI Hub Mittel­stand. Den Betrieb übernehmen das Deutsche Forschungs­zentrum für Künst­liche Intel­ligenz (DFKI), das Wuppertal Institut, das VDI Techno­lo­gie­zentrum und das VDI Zentrum Ressour­cen­ef­fi­zienz. (Dirk Buchsteiner)

2024-05-16T19:31:20+02:0015. Mai 2024|Digitales, Industrie|

Der Countdown für den elektro­ni­schen Kündi­gungs­button läuft!

Das Gesetz für faire Verbrau­cher­ver­träge (wir berich­teten) wurde bereits im letzten Jahr verab­schiedet und am 10. August 2021 im Bundes­ge­setz­blatt veröf­fent­licht, seine Wirkung trat jedoch gestaffelt ein, denn es enthielt zahlreiche Übergang­fristen, um den betrof­fenen Unter­nehmen die Umstellung zu erleichtern.

Zum 01. Juli 2022 greift nun die letzte Umset­zungs­stufe. Dann müssen gem. § 312k BGB Unter­nehmen, die über eine Website Verbrau­chern den elektro­ni­schen Abschluss eines Dauer­schuld­ver­hält­nisses ermög­lichen (z.B. den Abschluss eines Strom- oder Gaslie­fer­ver­trages) einen sogenannten „Kündi­gungs­button“ auf ihrer Website einge­richtet haben.

Das Gesetz spricht hier von einer „Kündi­gungs­schalt­fläche“ über die der Kunde sowohl ordentlich, als auch außer­or­dent­liche Vertrags­kün­di­gungen erklären können soll. Diese Schalt­fläche (der Kündi­gungs­button) darf nicht versteckt sein, sondern muss „gut lesbar“ mit nichts anderem als den Wörtern „Verträge hier kündigen“ oder mit einer entspre­chenden eindeu­tigen Formu­lierung beschriftet sein.

Klickt der Kunde auf diese Schalt­fläche ist sein Vertrag damit zwar noch nicht direkt gekündigt, aber er muss hierdurch unmit­telbar zu einer Bestä­ti­gungs­seite gelangen, wo er aufge­fordert wird Angaben zu machen, zur Art der Kündigung, dem Kündi­gungs­grund, seinen Kunden­daten zur Identi­fi­zierung und zur Bezeichnung des zu kündi­genden Vertrages. Danach soll der kündi­gungs­be­reite Kunde nur noch auf eine weitere Schalt­fläche mit der gut lesbaren Beschriftung „jetzt kündigen“ klicken müssen, um den Kündi­gungs­vorgang abzuschließen.

Der Verbraucher muss dabei seine durch das Betätigen der Bestä­ti­gungs­schalt­fläche abgegebene Kündi­gungs­er­klärung mit dem Datum und der Uhrzeit der Abgabe auf einem dauer­haften Daten­träger so speichern können, dass erkennbar ist, dass die Kündi­gungs­er­klärung durch das Betätigen der Bestä­ti­gungs­schalt­fläche abgegeben wurde. Zusätzlich muss der Unter­nehmer dem Kunden den Inhalt sowie Datum und Uhrzeit des Zugangs der Kündi­gungs­er­klärung sowie den Zeitpunkt, zu dem das Vertrags­ver­hältnis durch die Kündigung beendet werden soll, sofort auf elektro­ni­schem Wege in
Textform zu bestätigen.

Das Ganze erfordert somit eine gewisse technische Einrichtung. Sollten Sie als Unter­nehmen von dieser neuen Pflicht überrascht sein – der Countdown bis zum 01. Juli 2022 läuft.

(Christian Dümke)

2022-05-27T19:48:58+02:0027. Mai 2022|Digitales, Energiepolitik, Vertrieb|