AuraSec erweitert Kompetenzen für Informationssicherheitsmanagement bei Stadtwerken

/in /von

Als anerkannter Partner für Datenschutz und IT-Sicherheit hat sich die AuraSec GmbH frühzeitig den gesetzlichen Anforderungen an die Auditierung des IT-Sicherheitskatalogs für Verteilnetzbetreiber Strom/Gas angenommen und zwei Mitarbeiter als Auditoren nach den Anforderungen des IT-Sicherheitskatalogs gemäß §11 Absatz 1a EnWG der Bundesnetzagentur ausbilden und zertifizieren lassen.

Energieversorgungsnetze gehören zu den sog. Kritischen Infrastrukturen. Der IT-Sicherheitskatalog der Bundesnetzagentur schreibt Betreibern von Strom- und Gasnetzen die Einführung und anschließende Zertifizierung eines Informationssicherheits-Managementsystems (ISMS)  gemäß ISO/IEC 27001 vor. Die Anforderungen an die Implementierung eines ISMS sind hoch. Unter anderem muss der seitens des Verordnungsgebers vordefinierte Geltungsbereich beachtet, eine fundierte Risikoanalyse durchgeführt und eine unabhängige Zertifizierung nachgewiesen werden. Viele Netzbetreiber erkennen derzeit nicht die Ausmaße und die Folgen der Integration eines ISMS in die IT- und Geschäftsprozesse und den damit einhergehenden Zeit- und Ressourcenbedarf. Hinzu kommt der Zeitdruck durch den Gesetzgeber; bis 31.01.2018 muss der Bundesnetzagentur das Zertifikat vorgelegt werden.

Der Branchenexperte AuraSec GmbH hat nun seine Kompetenz zur Beratung von Energienetzbetreibern weiter ausgebaut. Neben Beratungsleistungen bei der Implementierung eines Informationssicherheits-Managementsystems (ISMS) steht den Netzbetreibern ab sofort auch sach- und fachkundige Beratung für die Durchführung von Audits bzw. die Zertifizierung des ISMS zur Verfügung. Zwei Mitarbeiter der AuraSec GmbH wurden nun als Auditoren nach den Anforderungen des IT-Sicherheitskatalogs gemäß §11 Absatz 1a EnWG der Bundesnetzagentur ausgebildet und zertifiziert.

Gerne beraten unsere Fach- und Branchenexperten auch Sie auf dem Weg zu einer erfolgreichen ISO 27001-Zertifizierung bis zur erfolgreichen Zertifizierung, z.B. durch unseren Partner TÜV Rheinland Cert. Sollten Sie noch nicht mit der ISMS-Einführung begonnen haben, so empfiehlt sich die Durchführung einer GAP-Analyse zur Ermittlung der GAP´s sowie der Erhebung der Umsetzungsaufwände. Sind Sie bereits mitten im Projekt unterstützen wir Sie gerne bei der Durchführung unabhängiger Audits zur Qualitätssicherung und/oder der Feststellung der Zertifizierungsreife.

Neuigkeiten zur EU-DSGVO

/in /von

Neuer Referentenentwurf zur EU-Datenschutz-Grundverordnung

Das Bundesministerium des Inneren hat am 23.11.2016 den Verbänden einen Gesetzentwurf zur Anpassung des Datenschutzrechts an die Datenschutz-Grundverordnung (DS-GVO) vorgelegt. Dieser Entwurf soll die praxisgerechte Umsetzung der EU-Datenschutz-Grundverordnung ermöglichen.

Datenschutzbeauftragter: die Bestellpflicht bleibt erhalten

Die Bestellvoraussetzungen für einen betrieblichen Datenschutzbeauftragten wurden unverändert übernommen. Mit Blick auf seine unabhängige Aufgabenwahrnehmung wurde auch der besondere Kündigungsschutz übernommen. Ebenso wurde auch die Schweigepflicht, die zugleich auch ein Schweigerecht ist, adaptiert.

Transparenzpflichten: praxisgerechte Konkretisierung

Von großer Bedeutung für die Datenschutzpraxis sind die Konkretisierungen der Transparenzpflichten der DS-GVO mit Blick auf die Praktikabilität des Datenschutzes. Nach Art. 13 DS-GVO hat der Verantwortliche bereits bei der Datenerhebung beim Betroffenen umfangreiche, detaillierte  Informationspflichten. Dies wird durch den § 30 Abs. 1 Nr. 3 BDSG?neu-E konkretisiert, wonach eine Informationspflicht bei der Weiterverarbeitung nicht besteht, wenn diese voraussichtlich die Verwirklichung der Ziele der Verarbeitung unmöglich machen oder ernsthaft beeinträchtigen würde. Das ist praxisgerecht, da sonst Ermittlungen bei Verdacht von kriminellen Handlungen dem Betroffenen angekündigt werden müssten.

Auskunftspflichten: Anpassung an das BDSG

Die Beschränkungen des Auskunftsrechts nach Art. 15 DS-GVO hinsichtlich der Daten, für die eine Aufbewahrungspflicht besteht und entsprechend bei der Verarbeitung einzuschränken sind, haben ebenso die bestehende Rechtslage im Blick. Wenn Protokolldateien, die ausschließlich aus Gründen der Datensicherung und der Datenschutzkontrolle anfallen, beauskunftet werden müssten wäre dies unverhältnismäßig. Den Interessen der Betroffenen soll im Gegenzug dadurch Rechnung getragen werden, dass die Gründe der Auskunftsverweigerung zu dokumentieren und der Betroffene grundsätzlich darüber zu informieren ist.

Datenlöschung: Sperrpflichten des BDSG werden übernommen

Das Recht auf Löschung soll in § 33 BDSG-neu-E auf die Sperrvorschriften des § 35 Abs. 3 BDSG zurückgeführt werden. Insofern wird aus der Einschränkung der Verarbeitung in Art. 18 DS-GVO, die nur als Betroffenenrecht ausgestaltet ist, eine ergänzende Pflicht des Verantwortlichen. Praxisrelevanz hat dieser Rückgriff auf das BDSG z.B. bei der Datensicherung. Sämtliche, z.T. umfangreiche Tages-, Wochen- und Monatssicherungen müssten für ein zu löschendes Datum mit großem administrativen Aufwand der IT korrigiert werden. Das wäre unverhältnismäßig. Konsequent ist auch die Beibehaltung der Sperrpflicht nicht nur bei gesetzlichen (geregelt Art. 17 Abs. 3 lit. b DS-GVO), sondern auch bei vertraglichen oder satzungsmäßigen Aufbewahrungspflichten. Dadurch werden Pflichtenkollisionen, auf die die Gesetzesbegründung zutreffend verweist, vermieden.

Den aktuellen Entwurf (vom 23.11.2016) des Datenschutz-Anpassungs- und -Umsetzungsgesetzes finden Sie hier.

info@aurasec.de 030 408173352 Schau vorbei. Informiere dich!