Compliance

Warum ist die NIS-2-Richtlinie wichtig

Die EU erhofft sich mit ihrer neuen Cybersecurity-Richtlinie NIS-2 mehr Resilienz für die gesamte europäische IT-Infrastruktur. Bisher wurde die Industrie von solchen Konzepten weitgehend verschont bzw. vermied es oftmals sich damit auseinanderzusetzen. Doch nun soll alles anders werden. Industrieunternehmen, die nicht mitmachen, sollen mit hohen Bußgeldern dazu gebracht werden das Thema Informationssicherheit ernsthaft zu adressieren.

Rasmus Andresen, der als Schattenberichterstatter im EU-Parlament die Gesetzwerdung seit langem begleitet, brachte auf den Punkt, warum die NIS-2-Richtlinie für die europäische Industrie unerlässlich ist.

Der Ministerrat, das Parlaments und die EU Kommission haben sich jedenfalls vor einigen Wochen auf eine Novelle der Richtlinie über die Netzwerk- und Informationssicherheit (NIS-2) verständigt.

Der nun öffentlich vorliegende Entwurf adressiert Unternehmen und Behörden in der EU, die für die Wirtschaft und Gesellschaft von entscheidender und essenzieller Bedeutung sind. Neben den sogenannten kritischen Infrastrukturen sollen künftig auch mittlere und große Einrichtungen aus einer erweiterten Zahl von Sektoren mit über 250 Mitarbeitern und über zehn Millionen Jahresumsatz erfasst werden. Damit sollen EU-weit über 100.000 Organisationen in den Gültigkeitsbereich der NIS-2-Richtlinie fallen.

Auch durch die in der NIS-2-Richtlinie eingeführte persönliche Haftung wird die Informationssicherheit noch weiter an Bedeutung im Risikomanagement betroffenen Organisationen gewinnen.

Ob das Gesetz ein großer Wurf ist und auch “wirken wird” wird sich zeigen. Im Vorfeld gab es seitens der EU-Kommission und einzelner Industrievertreter massiven Widerstand gegen die Richtlinie, schließlich bedeutet deren nationalstaatliche Umsetzung in weiterer Folge Mehraufwand für die betroffenen Unternehmen. Dass mehr Informationssicherheit in diesen Zeiten essentiell ist wird nicht überall so wahrgenommen. Es gilt also nach wie vor auch mehr in Awareness für dieses Thema zu investieren.

Anzahl der entdeckten Phishing Websites, Entwicklung seit 2015.

Digital Services Act und Digital Markets Act kommen 2024

Mit dem Digital Services Act und dem Digital Markets Act wird der EU Gesetzgeber die Rechte von VerbraucherInnen deutlich stärken.  Ob Cookie-Banner, Browserverlauf oder Messengerdienste – es wird große Auswirkungen vor allem auf die führenden Digitalfirmen geben .

Die EU-Kommission hat schon vor einiger Zeit angekündigt, die Europäische Union “fit für das digitale Zeitalter” machen und dabei vor allem große Tech-Unternehmen stärker regulieren zu wollen. Dazu werden mehrere Verordnungen und Richtlinien zu verschiedenen Aspekten einer digitalen Gesellschaft entwickelt – zum Beispiel zur Regulierung von künstlicher Intelligenz oder zu E-Identitäten.

Die größten Meilensteine zum Schutz der VerbraucherInnen sowie zur Regulierung von großen Tech-Unternehmen stellen zweifellos der Digital Services Act (DSA) und der Digital Markets Act (DMA) dar. Diese Verordnungen werden regeln wie der Zugang zu Plattformen wie Facebook und Twitter und deren Inhalte auszusehen haben. Deswegen wird der DSA auch als das “Grundgesetz des Internets” bezeichnet. Beide Gesetzestexte sind grundsätzlich fertig und auch schon politisch abgestimmt. Dass das Europaparlament und der Rat ihnen zustimmen gilt als Formsache.

Besonderneit an den Verordnungen besteht darin, dass derartige Plattformen nun grundsätzlich in die Pflicht genommen werden können. Sie müssen sich mit den Auswirkungen ihrer Dienste auf die Demokratie und die Menschenrechte auseinandersetzen, diese bewerten und möglichen Schäden auf die Zivilgesellschaft entgegenwirken. Darüber hinaus haben die Verordnungen den Zweck mehr Transparenz bei den Big-Tech Companies zu erzwingen. So werden die Politik, die Wissenschaft und auch zivilgesellschaftliche Organisationen Zugriff auf die Daten erhalten und damit sicherstellen können, dass die in den Gesetzen geforderten Anforderungen auch umgesetzt werden.

Daneben werden viele andere Aspekte der modernen Telekommunikation zukünftig besser reguliert sein. Umfangreiche Informationen darüber werden in den kommenden Monaten sicher publiziert und bewertet werden.

Aktuelle Informationen zum DSA auf der Homepage des Justizministeriums.

HinweisgeberInnenschutzgesetz (HSchG) in Begutachtung

Österreich ist bei der Umsetzung der Whistleblower-Richtlinie der EU stark in Verzug geraten. Die Umsetzung in das nationale Recht hätte schon bis Ende 2021 erfolgen sollen. Am 3. Juni 2022 wurde nun ein Entwurf für das HinweisgeberInnenschutzgesetz (HSchG) für sechs Wochen in Begutachtung geschickt.

Das HinweisgeberInnenschutzgesetz hat folgende Ziele:

  • Erhöhung der Bereitschaft zu rechtmäßigem Verhalten in Lebensbereichen von besonderem öffentlichen Interesse durch Schaffung von Regelungen zum Schutz von Hinweisgeberinnen/Hinweisgebern vor Vergeltungsmaßnahmen
  • Erhöhung des Schutzes von Hinweisgeberinnen/Hinweisgebern vor Vergeltungsmaßnahmen in Zusammenhang mit (im Folgenden auch iZm) der Hinweisgebung

Inhaltlich befasst sich das Gesetz mit folgenden Vorgaben:

  • Schaffung von internen und externen Stellen für den privaten und öffentlichen Sektor für die Hinweisgebung
  • Schutzmaßnahmen für Hinweisgeberinnen/Hinweisgeber gegen Vergeltungsmaßnahmen iZm der Hinweisgebung

Hauptgesichtspunkte des Gesetzesentwurfs aus Sicht des Gesetzgebers:

Whistleblowerinnen/Whistleblower sind Personen, die aus ihrem beruflichen Umfeld Informationen über Praktiken wie Betrug, Korruption, Gesundheits-, Umweltgefährdungen erlangt haben und diese Informationen weitergeben. Der faktische Druck der Anfeindungen und der Verfolgung aufgrund von Rechtsvorschriften ist enorm.

Der vorliegende Entwurf dient der Umsetzung der Richtlinie 2019/1937/EU zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden. Die Umsetzung beschränkt sich vorerst auf die von der Richtlinie zwingend vorgegebenen Inhalte. Damit sollen die Belastungen für kleinere und mittlere Unternehmen geringgehalten werden. Im Gesetzentwurf (im Folgenden auch “HSchG”) ist die Option einer späteren Erweiterung des sachlichen Geltungsbereichs und der Instrumente zur Unterstützung des Whistleblowings enthalten.

Der Gesetzesentwurf sieht Regelungen zu folgenden Aspekten vor:

  • eine klare Abgrenzung der Personen und Bereiche, die vom Hinweisgeberschutz umfasst sind, durch eine Bestimmung zum Zweck des HSchG, durch Legaldefinitionen, die Festlegungen zum persönlichen und sachlichen Geltungsbereich und zu den Voraussetzungen der Schutzwürdigkeit von Hinweisgeberinnen/Hinweisgebern;
  • regulative Vorkehrungen, um faktisch bereits etablierte Hinweisgebersysteme zu erhalten und bereits vorhandene Spezialbestimmungen zur Hinweisgebung nicht zu unterlaufen;
  • Bestimmungen zum Datenschutz, dem insbesondere im Spannungsverhältnis zwischen dem Schutz der Identität der Hinweisgeberinnen/Hinweisgeber und dem Schutz der Rechte der von Hinweisgebung betroffenen Personen und sonstigen Rechtsträger besondere Bedeutung zukommt;
  • die Einrichtung von Meldestellen für die Hinweisgebung sowohl innerhalb als auch außerhalb eines Rechtsträgers;
    Verfahren der Behandlung, Dokumentation, Aufbewahrung und Weiterverfolgung von Hinweisen;
  • besondere Maßnahmen des Rechtsschutzes für Hinweisgeberinnen/Hinweisgeber;
  • Verwaltungsstrafbestimmungen für die Behinderung von bzw. die Vergeltung an Hinweisgeberinnen/Hinweisgebern, für wissentliche Falschinformationen durch Hinweisgeberinnen/Hinweisgeber und für die rechtswidrige Preisgabe der Identität von Hinweisgeberinnen/Hinweisgebern;
  • die statistische Erfassung und Auswertung der Erfahrungen mit bisherigen Hinweisen als Grundlage für eine Entscheidung über allfällige spätere gesetzliche Anpassungen.

Kontaktieren Sie mich wenn Sie Fragen haben oder Unterstützung bei der Umsetzung der EU-Richtlinie zum Schutz von Whistleblowern benötigen.

Der aktuelle Entwurf des HinweisgeberInnenschutzgesetzes vom 3. Juni 2021 kann hier heruntergeladen werden.

Stand der Entwicklung bei der ISO 27001 Norm

Das für die Verwaltung der ISO 27000 Normengruppe verantwortliche Gremium (Joint Technical Committee 1, Sub-Committee 27), hat beschlossen, dass durch eine Ergänzung der bestehenden ISO 27001 Norm die neuen Inhalte erfasst werden und mit den Inhalten der ISO 27002:2022 abgeglichen werden.
 
Wenn eine Normänderung geringfügig ist, kann die ISO eine Änderung der bestehenden Norm veröffentlichen, die fortan das Suffix AMDX erhält. Die internen ISO Regeln besagen, dass dies nur zweimal möglich ist, so dass es in Zukunft eine Änderung 1 und 2 geben kann, aber keine 3.
 
ACHTUNG: Es handelt sich aktuell nach wie vor um eine Prognose, diese kann sich aber natürlich bis zum Veröffentlichungsdatum der neuen ISO 27001 noch geringfügig ändern.
 
Aktuell liegt ein Entwurf der ISO/IEC 27001:2013-AMD1 vor. Dabei handelt sich um ein fünfzehnseitiges Dokument, das im Wesentlichen aus zwei Teilen besteht:
 
  1. Es wurden zwei der Anmerkungen zu Abschnitt 6.1.3 leicht aktualisiert
  2. Es wurde der Inhalt von Anhang A durch eine Tabelle ersetzt, welche die neue Liste der Controls aus der aktualisierten ISO27002:2022 zeigt.
Wann erscheint eine völlig neuen Version von ISO27001?
 

Die ISO Gremien sind scheinbar mit dem High-Level-Strukturformat des Anhangs SL zufrieden und wollen nicht unnötig daran herumwerken. Daher beschränken sich die Änderungen im Wesentlichen auf Anhang A von ISO27001. Angesichts der Tatsache, dass die aktuelle Hauptversion der ISO27001-Norm aus dem Jahr 2013 stammt und die Normen alle fünf Jahre von der ISO überarbeitet werden sollen, scheint eine Überarbeitung der ISO27001-Norm eigentlich überfällig zu sein. Die ISO hat jedoch 2019 eine Überprüfung der ISO27001 durchgeführt und die Norm in ihrer jetzigen Form bestätigt, so dass wir möglicherweise bis 2025 warten müssen, bevor sich hier etwas ändern wird.

Auswirkungen auf zertifizierte Unternehmen
 
Zukünftig werden sich Organisationen nach der Norm ISO/IEC 27001:2013 und der Änderung zertifizieren lassen, möglicherweise erhält diese die Bezeichnung “ISO/IEC 27001:2013 + AMD1:2022” oder ähnlich. Es wird mit ziemlicher Sicherheit eine Übergangszeit geben, in der eine bestehende Zertifizierung nur nach ISO/IEC 27001:2013 gültig bleibt.
 
Technisch gesehen könnte eine Organisation weiterhin nur die alten Controls verwenden, solange sie diese den neuen Controls zuordnet und etwaige Diskrepanzen erklärt, aber da sie wahrscheinlich trotzdem die elf neuen Controls in ISO27002:2022 implementieren muss, empfiehlt es sich jedenfalls schon heute nach der ISO27002:2022 vorzugehen.

Die ISO 37002:2021 Norm – Whistleblowing

Die seit Juli 2021 verfügbare Norm ISO 37002 enthält Vorgaben zur effektiven und effizienten Umsetzung eines Whistleblowing Management Systems.

Sie bietet systematisch, aufeinander abgestimmte Elemente zum Aufbau, Umsetzung, Aufrechterhaltung und Optimierung eines funktionsfähigen Systems zur Meldung von Hinweisen über Fehlverhalten und einhergehenden Risiken. Grundlage sind die Grundsätze von Vertrauen, Objektivität und Sicherheit. Die in der Norm festgehaltenen Ziele sind:

  1. Möglichkeiten zur Äußerung von Bedenken und zur Meldung von Verstößen
  2. Prozesse zum Schutz derjenigen, die Bedenken und Verstöße benennen oder daran beteiligt sind
  3. Rechtzeitige Analyse und Bewertung von Meldungen
    Optimierung der Unternehmenskultur und -führung
  4. Maßnahmen zur Reduzierung von Risiken und Verstößen

Die Anforderungen in der Norm sind allgemein gehalten, wodurch sie für alle Unternehmen von Relevanz sind und unabhängig von der Art, Größe oder Tätigkeit der Organisation Anwendung finden können.

Insbesondere in Hinblick auf die derzeit in Umsetzung befindlichen Hinweisgeberschutzgesetze, welche Unternehmen ab 50 Beschäftigten zur Einrichtung einer internen Meldestelle verpflichten, bietet die ISO 37002 einen praxisrelevanten Leitfaden zur Implementierung eines solchen Hinweisgebersystems. In Kombination mit Standards wie dem Compliance Management System nach ISO 37301 lassen sich die Prozesse des Hinweisgebersytems auch bei Bedarf zertifizieren.

 ISO 370022021 trägt zu den folgenden Zielen für nachhaltige Entwicklung bei: 8 (menschenwürdige Arbeit und Wirtschaftswachstum), 11 (nachhaltige Städte und Gemeinden), 16 (Frieden, Gerechtigkeit und starke Institutionen).

Kontaktieren Sie mich wenn Sie Fragen haben oder Unterstützung bei der Umsetzung der EU-Richtlinie zum Schutz von Whistleblowern benötigen.

Jetzt anmelden zum Lehrgang Compliance für KMUs

Am 15. und 16. März findet das Seminar Compliance in KMUs statt, bei dem wir uns u.a. mit den Themen Bestechung, Korruption, Geschenke und Einladungen, Kartellrecht, Ethik und Unternehmenskultur beschäftigen werden. Ich darf im Kreise anderer Top-Experten über Kommunikation und Datenschutz vortragen. Außerdem klären wir Fragen wie…

 

  • warum ist Compliance auch für KMUs so relevant und wichtig?
  • braucht jede Organisation Verantwortliche für Compliance?
  • welche Aspekte spielen bei Compliance speziell bei KMUs eine Rolle und was ist zu beachten?

Europäischer Datenschutztag

Am 28. Jänner 1981 wurde die Datenschutzkonvention des Europarates unterzeichnet. Sie ist ein völkerrechtlicher Vertrag, der den Schutz und den grenzüberschreitenden Austausch personenbezogener Daten regelt. Seit 2007 wird an diesem Tag jährlich der Europäische Datenschutztag begangen.

.

Die Datenschutzkonvention wurde laufend weiter überarbeitet überarbeitet, um sie an die seit 1981 erfolgte Entwicklung in der Technologie und Rechtsprechung anzupassen. Seit 2018 bildet die Europäische Datenschutz-Grundverordnung (DSGVO) den gemeinsamen Datenschutzrahmen in der Europäischen Union, mit Regeln für die Verarbeitung personenbezogener Daten durch Verantwortliche, sowohl öffentliche wie auch private.

.

Die Verarbeitung personenbezogener und sensibler Daten hat in den vergangenen Jahren in allen Bereichen bedeutend zugenommen, u.a. durch das Fortschreiten der Digitalisierung und derzeit spürbar für den Einzelnen in der andauernden Pandemie.

.

Der Datenschutztag soll uns alle dafür sensibilisieren, welche Rechte wir in Bezug auf die Verarbeitung und den Schutz ihrer Daten haben. Hier kann man den grundlegenden Konvensionstext im Original lesen: https://rm.coe.int/1680078b38

Webtipp: Privacy and responsible AI

Künstliche Intelligenz und maschinelles Lernen entwickeln sich in einem noch nie dagewesenen Tempo. Dies wirft die Frage auf: Wie können KI-Systeme auf verantwortungsvolle und ethische Weise eingesetzt werden, die das Vertrauen der Nutzer und der Gesellschaft verdient?


Die derzeitigen Initiativen zur Sicherstellung von Compliance und Governance haben vor allem die Form von Erklärungen und sind oft unverbindlich. Gleichzeitig regeln verschiedene bestehende Datenschutzgesetze bereits in erheblichem Umfang den verantwortungsvollen Einsatz von KI-Systemen.


Die Grundsätze für vertrauenswürdigen künstliche Intelligenz wie Transparenz und Erklärbarkeit, Fairness und Nichtdiskriminierung, menschliche Kontrolle, Robustheit und Sicherheit der Datenverarbeitung lassen sich mit spezifischen individuellen Rechten und Bestimmungen der entsprechenden Datenschutzgesetze in Verbindung bringen.


Link zur Story (englisch)

Buchtipp: Nachhaltiges Investieren, Konkrete Themen und ihre Bewertung

Schon etwas älter aber nichts desto trotz nach wie vor sehr aktuell ist das Buch von Wolfgang Pinner, Leiter Nachhaltige Investments bei Raiffeisen Capital Management.

 

Wie funktioniert nachhaltiges Investment? Wolfgang Pinner beschreibt in seinem Buch “Nachhaltiges Investieren, Konkrete Themen und ihre Bewertung” detailliert sinnvolle Vorgehensweisen und zeigt die Themenbereiche auf, die für eine nachhaltige Geldanlage aktuell relevant sind.

 

Der Markt für nachhaltige Investments wächst weiterhin stark, das Thema wird von den Banken als potenziellen Anbietern immer mehr in den Vordergrund gestellt. Um erfolgreich investieren zu können, ist es jedoch wesentlich, die einschlägigen Begrifflichkeiten zu kennen. Dabei unterstützt dieses Buch.

Die aktuelle Auflage enthält neben weiteren Aktualisierungen Trends im Bereich Nachhaltiges Investieren, wie den EU-Aktionsplan, die UN Sustainable Development Goals, Green Bonds oder Divestment. Das Fachbuch ist als Nachschlagewerk konzipiert, der Text in Form von Frage und Antwort formuliert und damit locker und leicht lesbar.

Buchtipp: Assessment of Responsible Innovation: Methods and Practices

Verantwortungsbewusste Innovation (Responsible Innovation) sollte Innovatoren während des Forschungs- und Innovationsprozesses ermutigen mit allen Stakeholdern zusammenzuarbeiten, um die Ergebnisse der Innovation besser mit den Werten, Bedürfnissen und Erwartungen der Gesellschaft in Einklang zu bringen.

.

Die Bewertung des Nutzens und der Kosten der verantwortungsvollen Innovation ist von entscheidender Bedeutung für die Förderung eines verantwortungsvollen Umgangs mit Wissenschaft, Technologie und Innovation. Bisher gibt es jedoch nur wenige akademische Arbeiten zur Bewertung verantwortungsvoller Innovation. Das vorliegende Buch füllt diese Lücke.

.

Assessment of Responsible Innovation: Methods and Practices” stellt Instrumente zur Messung, Überwachung und Berichterstattung über den Prozess der verantwortungsvollen Innovation und die sozialen, ökologischen, wissenschaftlichen und wirtschaftlichen Auswirkungen von Innovationen vor. Diese Instrumente helfen Innovatoren bei der Risikominderung und der Stärkung ihrer strategischen Planung. In diesem Buch werden die Bewertungsinstrumente und -verfahren mit den UN-Zielen für nachhaltige Entwicklung (SDGs) in Einklang gebracht. Es werden sowohl die Möglichkeiten als auch die Grenzen verschiedener Bewertungsansätze und -instrumente für verantwortungsbewusste Innovation erörtert, ebenso wie ihre Anwendbarkeit in verschiedenen Branchenkontexten.

.

Das Buch bringt führende Wissenschaftler auf diesem Gebiet zusammen, um den umfassendsten Überblick über die Instrumente für verantwortungsvolle Innovation zu geben. Es verdeutlicht die Bedeutung von Bewertung und Wertschöpfung, die verschiedenen Messgrößen und Überwachungssysteme, die eingesetzt werden können, und die Berichterstattungsmechanismen, einschließlich der Bedeutung einer effektiven Kommunikation.

.

Dieses Buch ist als Open-Access-PDF unter einer Creative Commons Attribution-Non Commercial-No Derivatives 4.0 Lizenz frei verfügbar unter https://www.taylorfrancis.com/books/e/9780429298998 

.

In gebundener Form kann das Buch hier bezogen werden.