Home » Fachbeiträge » Security Management » Wer wann was an welche Stelle melden muss

Meldepflichten bei IT-Sicherheitsvorfällen: Wer wann was an welche Stelle melden muss

Nach einem IT-Sicherheitsvorfall zählen oft Stunden: Behörden, Aufsichtsstellen und Betroffene wollen informiert werden – teils binnen 24 Stunden, teils binnen 72 Stunden. Welche Pflichten greifen, ergibt sich nicht aus einem einzigen Gesetz, sondern aus mehreren, teils verzahnten Rechtsakten. Der Beitrag gibt einen Überblick, welche Meldepflichten DSGVO, BSIG, DORA, TKG, eIDAS-Verordnung sowie Cyber Resilience Act vorsehen und zeigt, worauf Unternehmen bei Adressaten, Fristen und Bußgeldrisiken achten müssen.

14 Min. Lesezeit
Digitale Justitia-Statue
Foto: ©AdobeStock/smigielski.studio

Meldepflichten bei IT-Sicherheitsvorfällen ergeben sich nicht aus einem einzigen Regelwerk, sondern aus mehreren parallelen und teils verzahnten Rechtsakten. Ein Vorfall kann zugleich datenschutzrechtliche, sektorspezifische, finanzaufsichtsrechtliche oder produktsicherheitsrechtliche Meldepflichten auslösen. Für die rechtliche Einordnung ist daher zunächst zu klären, in welchem regulatorischen Zusammenhang der mögliche Meldepflichtige und der Vorfall stehen. Für die praktische Handhabung kommt es vor allem darauf an, wer meldepflichtig ist und an welche Stelle die Meldung gehen muss.

Der folgende Überblick konzentriert sich auf die in der Praxis wichtigsten Meldepflichten. In einzelnen Branchen können weitere Spezialpflichten hinzukommen. Maßgeblich bleibt daher eine auf Rolle, Sektor, Daten und Produkt bezogene Prüfung des konkreten Vorfalls.

DSGVO

Die Meldepflicht nach der Datenschutz-Grundverordnung (DSGVO) betrifft Verletzungen des Schutzes personenbezogener Daten. Sind bei einem Sicherheitsvorfall personenbezogene Daten betroffen, kann eine Meldepflicht gegenüber der zuständigen Datenschutzaufsichtsbehörde bestehen.

Nach Art. 33 DSGVO liegt ein meldepflichtiger Datenvorfall immer dann vor, wenn eine Verletzung des Schutzes personenbezogener Daten gegeben ist und sich hieraus in voraussichtliches Risiko für die Rechte und Freiheiten natürlicher Personen ergibt.

Eine Verletzung des Schutzes personenbezogener Daten liegt vor, wenn es zu einer Sicherheitsverletzung kommt, die unbeabsichtigt oder unrechtmäßig zur Vernichtung, zum Verlust, zur Veränderung, zur unbefugten Offenlegung oder zum unbefugten Zugang zu personenbezogenen Daten führt. Auf ein Verschulden oder eine bereits festgestellte Pflichtverletzung kommt es für den Begriff der Datenschutzverletzung nicht an.

Zudem muss sich aus der Verletzung ein voraussichtliches Risiko für die Rechte und Freiheiten natürlicher Personen ergeben. Das erfordert vom Verantwortlichen eine Prognoseentscheidung über die möglichen Auswirkungen der Verletzung. Das Risiko ist anhand der Eintrittswahrscheinlichkeit und der möglichen Schadensschwere zu bestimmen. Nur wenn voraussichtlich kein Risiko besteht, kann eine Meldung an die Aufsichtsbehörde unterbleiben.

Neben der Meldung an die Aufsichtsbehörde kann nach Art. 34 DSGVO auch eine Benachrichtigung der betroffenen Person erforderlich sein, wenn die Datenschutzverletzung voraussichtlich ein hohes Risiko für deren Rechte und Freiheiten zur Folge hat.

Datenschutzvorfälle sind in jedem Fall umfassend zu dokumentieren – auch dann, wenn der Verantwortliche davon ausgeht, dass ausnahmsweise keine Meldepflicht besteht.

Nach der DSGVO trifft die Meldepflicht den Verantwortlichen der Datenverarbeitung, also die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet. Das ist typischerweise das Unternehmen, das über Systeme, Datenverarbeitung und Zwecke bestimmt.

Ein Auftragsverarbeiter, der die personenbezogenen Daten im Auftrag des Verantwortlichen verarbeitet, ist dagegen nicht Adressat der Meldung an die Aufsichtsbehörde. Er muss den Verantwortlichen jedoch unverzüglich informieren, wenn ihm eine Verletzung des Schutzes personenbezogener Daten bei den im Auftrag verarbeiteten Daten bekannt wird.

Die Meldung an die zuständige Datenschutzaufsichtsbehörde erfolgt durch den Verantwortlichen, unverzüglich und möglichst binnen 72 Stunden. Dabei ist die Art der Schutzverletzung zu beschreiben und die Kategorien und die Anzahl der betroffenen Daten(sätze) und Personen sind anzugeben, soweit dies möglich ist. Der Verantwortliche muss die wahrscheinlichen Folgen des Datenschutzvorfalls bewerten und diese neben Angaben zu den bereits ergriffenen und noch geplanten Abhilfemaßnahmen mitteilen. Darüber hinaus ist eine Anlaufstelle für Rückfragen (etwa der Datenschutzbeauftragte) anzugeben.

Müssen auch die betroffenen Personen benachrichtigt werden, sind sie in einfacher Sprache über die Schutzverletzung zu informieren. Auch hier sind Informationen über die wahrscheinlichen Folgen und Abhilfemaßnahmen sowie eine Anlaufstelle für Rückfragen mitzuteilen.

Nach der DSGVO unterfällt ein Verstoß gegen die Meldepflicht bei Datenschutzverletzungen nach Art. 33 DSGVO dem Bußgeldrahmen des Art. 83 Abs. 4 DSGVO. Danach können Geldbußen von bis zu zehn Millionen Euro oder, bei Unternehmen, von bis zu zwei Prozent des weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres verhängt werden, je nachdem, welcher Betrag höher ist.

Datenschutzvorfälle sind in jedem Fall umfassend zu dokumentieren – auch dann, wenn der Verantwortliche davon ausgeht, dass ausnahmsweise keine Meldepflicht besteht.

NIS-2-Richtlinie/BSIG

Der deutsche Gesetzgeber hat die europäische NIS-2-Richtlinie primär im BSI-Gesetz (BSIG) umgesetzt, das auch Meldepflichten für Sicherheitsvorfälle enthält. Diese Pflichten treffen wichtige und besonders wichtige Einrichtungen nach dem BSIG.

Wichtige und besonders wichtige Einrichtungen – etwa Betreiber kritischer Anlagen – sind nach dem BSIG verpflichtet, erhebliche Sicherheitsvorfälle an das Bundesamt für Sicherheit in der Informationstechnik (BSI) sowie das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe zu melden. Diese Meldung hat über die gemeinsame Meldestelle der beiden Behörden zu erfolgen.

Erheblich ist ein Sicherheitsvorfall besonders dann, wenn Daten oder IT-Dienste in ihrer Verfügbarkeit, Vertraulichkeit oder Integrität beeinträchtigt werden und dies erhebliche Betriebsstörungen, finanzielle Verluste oder Schäden verursachen kann.

Meldepflichtig ist die jeweils betroffene besonders wichtige oder wichtige Einrichtung. Bei Betreibern kritischer Anlagen trifft die Pflicht den Betreiber. Die Meldung erfolgt gestuft. Ab dem Zeitpunkt, in dem Kenntnis von dem Vorfall erlangt wurde, ist binnen höchstens 24 Stunden eine frühe Erstmeldung abzugeben. Sie dient vor allem der Frühwarnung und muss erste Angaben zur gegenwärtigen Erkenntnislage enthalten, ob anzunehmen ist, dass rechtswidrige oder böswillige Schädigungshandlungen Ursache des Vorfalls sind oder ob grenzüberschreitende Auswirkungen des Vorfalls zu erwarten sind.

Binnen 72 Stunden hat sodann eine unverzügliche Nachmeldung zu erfolgen, die diesbezüglich die neuesten Erkenntnisse teilt und der auch eine vorläufige Bewertung von Schwere und Auswirkungen des Vorfalls beizufügen ist. Spätestens nach einem Monat ist eine ausführliche Abschlussmeldung abzugeben oder – falls der Vorfall noch nicht abgeschlossen sein sollte – eine Fortschrittsmeldung.

Zusätzlich zu den Behördenmeldungen können Unterrichtungspflichten auch gegenüber Empfängern der betroffenen Dienste bestehen. Das BSI kann besonders wichtige und wichtige Einrichtungen anweisen, Empfänger ihrer Dienste unverzüglich über einen erheblichen Sicherheitsvorfall zu informieren.

Unabhängig davon sind in bestimmten Sektoren – insbesondere im Finanzwesen, in der digitalen Infrastruktur, bei der Verwaltung von IKT-Diensten und digitalen Diensten – potenziell betroffene Diensteempfänger und das BSI über den Sicherheitsvorfall sowie über geeignete Gegenmaßnahmen zu informieren, sofern eine Interessenabwägung ergibt, dass die Interessen der Diensteempfänger oder des BSI überwiegen.

Nach § 65 BSIG können Verstöße gegen die Meldepflichten nach § 32 BSIG als Ordnungswidrigkeit geahndet werden. Für bestimmte Verstöße beträgt der Bußgeldrahmen bei besonders wichtigen Einrichtungen bis zu zehn Millionen. Euro und bei wichtigen Einrichtungen bis zu sieben Millionen Euro.

Bei besonders wichtigen Einrichtungen mit einem Gesamtumsatz von mehr als 500 Millionen Euro kann die Geldbuße bis zu zwei Prozent des weltweiten Gesamtumsatzes des vorausgegangenen Geschäftsjahres betragen; bei wichtigen Einrichtungen mit einem Gesamtumsatz von mehr als 500 Millionen Euro bis zu 1,4 Prozent. Wird wegen desselben Verhaltens bereits eine DSGVO-Geldbuße verhängt, darf nach § 65 Abs. 11 BSIG keine weitere Geldbuße für denselben Verstoß nach dem BSIG verhängt werden.

DORA

Mit dem Digital Operational Resilience Act (DORA) gilt für den Finanzsektor ein eigenständiges Regelwerk mit eigenen Meldepflichten für schwerwiegende IKT-bezogene Vorfälle (Art. 19 Abs. 1 DORA).

Für betroffene Finanzunternehmen richtet sich die Meldepflicht nicht nach dem allgemeinen NIS-2-Regime, sondern nach den speziellen Vorgaben des Finanzaufsichtsrechts. Finanzunternehmen, die unter Art. 2 DORA fallen, sind verpflichtet, schwerwiegende IKT-bezogene Vorfälle zu melden (Art. 19 Abs. 1 DORA).

Ein schwerwiegender IKT-bezogener Vorfall ist ein Vorfall, der umfassende nachteilige Auswirkungen auf die Netzwerk- und Informationssysteme hat, die kritische oder wichtige Funktionen des Finanzunternehmens unterstützen. Die Klassifizierung richtet sich nach den Kriterien in Art. 18 DORA sowie den relevanten Regulatory Technical Standards (RTS), die DORA ergänzen.

Meldepflichtig sind die von der Verordnung erfassten Finanzunternehmen, also etwa Kreditinstitute, Zahlungsinstitute, E-Geld-Institute, Wertpapierfirmen, Versicherungsunternehmen und weitere ausdrücklich einbezogene Finanzmarktteilnehmer.

Auch die Meldung von Vorfällen nach DORA findet gestuft statt. Die Erstmeldung hat grundsätzlich innerhalb von vier Stunden nach Einstufung als schwerwiegend und spätestens 24 Stunden nach Kenntniserlangung zu erfolgen. Sie muss alle Informationen enthalten, die benötigt werden, um die Signifikanz des Vorfalls zu ermitteln und mögliche grenzüberschreitende Auswirkungen zu bewerten.

Nach spätestens 72 Stunden sollte eine Zwischenmeldung diese Informationen dann aktualisieren beziehungsweise unterstützen. Ist der Vorfall behoben und die Ursachenanalyse abgeschlossen – spätestens jedoch einen Monat nach Übermittlung der Zwischenmeldung – informiert das Unternehmen die Aufsicht mit einer Abschlussmeldung. Die Meldungen erfolgen über das Portal zur Melde- und Veröffentlichungsplattform (MVP-Portal) der BaFin.

Hat ein schwerwiegender IKT-bezogener Vorfall Auswirkungen auf finanzielle Interessen von Kunden, sind diese unverzüglich über den Vorfall und über die ergriffenen Maßnahmen zur Begrenzung nachteiliger Auswirkungen zu informieren. Bei erheblichen Cyberbedrohungen können betroffene Kunden zudem über geeignete Schutzmaßnahmen informiert werden.

Die konkrete Bußgeldbewehrung für Verstöße gegen die Meldepflicht erfolgt in Deutschland über die jeweiligen Fachgesetze. Hinzu kommen die aufsichtsrechtlichen Maßnahmen und Veröffentlichungen nach Art. 50 ff., 54 DORA in Betracht.

Hat ein schwerwiegender IKT-bezogener Vorfall Auswirkungen auf finanzielle Interessen von Kunden, sind diese unverzüglich über den Vorfall und über die ergriffenen Maßnahmen zur Begrenzung nachteiliger Auswirkungen zu informieren.

Telekommunikationsdienste. Sicherheitsvorfälle in diesem Bereich unterliegen damit einem sektorspezifischen Regime mit eigenen Adressaten und Fristen. Nach § 168 TKG sind Anbieter öffentlich zugänglicher Telekommunikationsdienste und Betreiber öffentlicher Telekommunikationsnetze zur Meldung erheblicher Sicherheitsvorfälle verpflichtet.

Ein erheblicher Sicherheitsvorfall liegt vor, wenn der Vorfall schwerwiegende Betriebsstörungen oder finanzielle Verluste für den betreffenden Betreiber oder Anbieter verursacht hat oder verursachen kann.  Außerdem gilt ein Sicherheitsvorfall als erheblich, wenn er andere natürliche oder juristische Personen durch erhebliche materielle oder immaterielle Schäden beeinträchtigt hat oder beeinträchtigen kann.

Die Meldung erfolgt an die Bundesnetzagentur und an das BSI. Auch hier ist die Meldung gestuft. Unverzüglich, spätestens jedoch innerhalb von 24 Stunden nach Kenntnis des Vorfalls, muss eine frühe Erstmeldung stattfinden. Diese sollte vor allem Informationen über mögliche rechtswidrige oder böswillige Auslöser des Vorfalls enthalten. Zudem sollten Angaben über etwaige grenzüberschreitende Auswirkungen gemacht werden.

Unverzüglich, jedoch spätestens innerhalb von 72 Stunden nach Kenntniserlangung, muss eine weitere Meldung erfolgen, in der eine erste Bewertung des Vorfalls sowie gegebenenfalls die Kompromittierungsindikatoren anzugeben sind. Spätestens einen Monat nach Übermittlung muss zudem eine Abschlussmeldung erfolgen.

§ 168 TKG enthält außerdem Informationspflichten gegenüber Nutzern, wenn von einem Sicherheitsvorfall eine besondere und erhebliche Gefahr ausgeht. Daneben ist § 169 TKG gesondert zu prüfen. Wer öffentlich zugängliche Telekommunikationsdienste erbringt, muss bei einer Verletzung des Schutzes personenbezogener Daten unverzüglich die Bundesnetzagentur und den oder die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit benachrichtigen.

Diese Pflicht ist von der allgemeinen Meldepflicht nach Art. 33 DSGVO zu unterscheiden und gilt unabhängig davon, ob der Vorfall zugleich erhebliche Auswirkungen auf Netz- oder Dienstesicherheit hat. § 169 TKG ist einschlägig, wenn die Datenschutzverletzung in den besonderen Anwendungsbereich des Telekommunikationsrechts fällt.

Ist anzunehmen, dass Betroffene durch die Verletzung ihrer Rechte oder schutzwürdigen Interessen schwerwiegend beeinträchtigt werden, sind auch diese zu benachrichtigen. Außerdem haben Anbieter ein Verzeichnis der Verletzungen des Schutzes personenbezogener Daten zu führen, das besonders Umstände, Auswirkungen und Abhilfemaßnahmen dokumentiert. Ein Verstoß gegen die Meldepflicht kann nach § 228 TKG Bußgelder von bis zu 100.000 Euro nach sich ziehen.

Ist anzunehmen, dass Betroffene durch die Verletzung ihrer Rechte oder schutzwürdigen Interessen schwerwiegend beeinträchtigt werden, sind auch diese zu benachrichtigen.

eIDAS

Auch die eIDAS-Verordnung (electronic IDentification, Authentication and Trust Services, eIDAS) sieht für Vertrauensdienste besondere Vorgaben für die Meldung sicherheitsrelevanter Vorfälle vor. Maßgeblich ist hier, ob ein Unternehmen als Vertrauensdiensteanbieter tätig ist und damit einem eigenständigen aufsichtsrechtlichen Rahmen unterliegt.

Qualifizierte und nichtqualifizierte Vertrauensdiensteanbieter sind gemäß Art. 19 Abs. 2 eIDAS-VO verpflichtet, jede Sicherheitsverletzung und jeden Integritätsverlust mit erheblichen Auswirkungen auf den erbrachten Vertrauensdienst oder die darin vorhandenen personenbezogenen Daten zu melden. Ein Vertrauensdienst ist ein elektronischer Dienst, der in der Regel entgeltlich erbracht wird. Er umfasst insbesondere die Erstellung, Überprüfung und Validierung elektronischer Signaturen, elektronischer Siegel, elektronischer Zeitstempel, elektronischer Einschreiben und die dazugehörigen Zertifikate.

Ebenfalls erfasst sind Zertifikate zur Website-Authentifizierung und die Bewahrung von elektronischen Signaturen, Siegeln oder Zertifikaten, Art. 3 Nr. 16 eIDAS-VO.

Meldepflichtig sind die betroffenen qualifizierten und nichtqualifizierten Vertrauensdiensteanbieter. Die Meldung hat sich an die zuständige Aufsichtsstelle wie die Bundesnetzagentur und – falls zutreffend – andere einschlägige Stellen wie etwa der für Informationssicherheit zuständigen nationalen Stelle oder der Datenschutzbehörde zu richten.

Sie muss unverzüglich, in jedem Fall jedoch innerhalb von 24 Stunden nach Kenntnisnahme des betreffenden Vorfalls erfolgen. Falls sich die Sicherheitsverletzung oder der Integritätsverlust voraussichtlich nachteilig auf eine natürliche oder juristische Person auswirkt, für die der Vertrauensdienst erbracht wurde, muss der Anbieter auch diese betroffene Person unverzüglich über die Verletzung oder den Integritätsverlust informieren.

Wenn zwei oder mehr Mitgliedstaaten betroffen sind, unterrichtet gegebenenfalls die notifizierte Aufsichtsstelle zudem die Aufsichtsstellen der anderen betroffenen Mitgliedstaaten und die European Union Agency for Cybersecurity (ENISA). Gelangt die Aufsichtsstelle zu dem Ergebnis, dass die Verletzung oder der Integritätsverlust im öffentlichen Interesse liegt, informiert sie ferner die Öffentlichkeit.

Verstöße gegen die Meldepflicht können nach § 19 Vertrauensdienstegesetz (VDG) als Ordnungswidrigkeit mit Bußgeldern von bis zu 20.000 Euro geahndet werden. Daneben kommen aufsichtsrechtliche Maßnahmen nach § 4 VDG in Betracht, die bis zur vorübergehenden oder vollständigen Untersagung des Betriebs eines Vertrauensdienstes reichen können.

Cyber Resilience Act

Mit dem Cyber Resilience Act (CRA) kommen produktsicherheitsrechtliche Pflichten für Hersteller von Produkten mit digitalen Elementen hinzu. Erfasst werden aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle mit Auswirkungen auf die Produktsicherheit.

Ab dem 11. September 2026 müssen Hersteller, die Produkte mit digitalen Elementen entwickeln oder entwickeln lassen und unter ihrem Namen oder ihrer Marke vermarkten, aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle melden (Art. 14 Abs. 1, Art. 3 Nr. 13 CRA). Ob ein Sicherheitsvorfall als schwerwiegend gilt, hängt typischerweise von seinen Auswirkungen, der Reichweite und der Ausnutzbarkeit ab.

Meldepflichtig ist der betroffene Hersteller. Die Meldung muss typischerweise mindestens Angaben zum betroffenen Produkt, zu den betroffenen Versionen, zur Art des Ereignisses, zu den möglichen Auswirkungen, betroffenen Kundengruppen oder Installationen, vorhandenen Workarounds oder Patches sowie einen zentralen Ansprechpartner enthalten.

Der Meldeprozess ist abermals mehrstufig aufgebaut und folgt klaren Zeitfenstern. Bei einer aktiv ausgenutzten Schwachstelle ist unverzüglich, spätestens innerhalb von 24 Stunden nach Kenntniserlangung, eine Frühwarnung abzugeben.

Spätestens innerhalb von 72 Stunden nach Kenntnisnahme sind weitere Informationen zur Schwachstelle, zum betroffenen Produkt, zur Art der Ausnutzung sowie zu ergriffenen oder möglichen Korrektur- und Risikominderungsmaßnahmen zu übermitteln. Der Abschlussbericht ist spätestens 14 Tage nach Bereitstellung einer Korrektur- oder Risikominderungsmaßnahme vorzulegen.

Bei einem schwerwiegenden Sicherheitsvorfall mit Auswirkungen auf die Sicherheit des Produkts ist ebenfalls unverzüglich, spätestens innerhalb von 24 Stunden nach Kenntniserlangung, eine Frühwarnung abzugeben. Innerhalb von 72 Stunden folgen nähere Angaben zur Art des Vorfalls, eine erste Bewertung sowie Angaben zu ergriffenen oder möglichen Korrektur- und Risikominderungsmaßnahmen. Der Abschlussbericht ist spätestens einen Monat nach der Vorfallmeldung zu übermitteln.

Die Meldungen erfolgen über eine zentrale europäische Plattform, die sogenannte Single Reporting Platform (SRP). Von dort werden die Informationen an die zuständigen Stellen weitergeleitet.

Zusätzlich zur Behördenmeldung bestehen Informationspflichten gegenüber Nutzern (Art. 14 Abs. 8 CRA).  Der Hersteller muss betroffene Nutzer und – soweit erforderlich – alle Nutzer des Produkts über die aktiv ausgenutzte Schwachstelle oder den schwerwiegenden Sicherheitsvorfall sowie über verfügbare Korrektur- oder Risikominderungsmaßnahmen informieren.

Bei einem Verstoß gegen die CRA-Meldepflichten drohen erhebliche Konsequenzen. Möglich sind unter anderem Bußgelder von bis zu 15 Millionen Euro oder 2,5 Prozent des weltweiten Jahresumsatzes sowie behördliche Maßnahmen wie Verkaufsverbote und Rückrufe oder Einschränkungen der Produktverfügbarkeit.

Fazit

In der Praxis sind die Meldepflichten nicht isoliert zu prüfen. Ein Ransomware-Angriff, eine Datenexfiltration oder eine kompromittierte Softwarekomponente kann gleichzeitig mehrere rechtliche Regime auf europäischer und nationaler Ebene berühren. Zu unterscheiden sind insbesondere Meldungen an verschiedene Behörden sowie betroffene Personen, Nach- und Abschlussmeldungen sowie interne Dokumentationspflichten.

Die erste rechtliche Bewertung sollte deshalb nicht nur die technische Ursache, sondern auch die Rolle des Unternehmens, den betroffenen Sektor, den Personenbezug der Daten, die Produktrelevanz und bestehende Outsourcing- oder Lieferkettenbeziehungen erfassen.

Für IT-Sicherheitsvorfälle besteht keine einheitliche, für alle Konstellationen gleichermaßen geltende Meldepflicht. Welche gesetzlichen Vorgaben greifen, richtet sich vielmehr nach der Rolle des Unternehmens, dem betroffenen Sektor, der Art des Vorfalls und dem jeweils geschützten Regelungsgegenstand.

Neben datenschutzrechtlichen Vorgaben können allgemeine cybersicherheitsrechtliche, sektorspezifische und produktsicherheitsrechtliche Meldepflichten nebeneinanderstehen oder sich in spezialgesetzlichen Regimen verdichten.

Für Unternehmen folgt daraus die Notwendigkeit, ihre eigenen Rollen und Pflichten im zunehmend komplexen regulatorischen Netz zu prüfen, Vorfälle frühzeitig regulatorisch einzuordnen und die Zuständigkeiten sowie Fristen des jeweils einschlägigen Regimes sicher zu beherrschen.

Erforderlich sind dafür ein umfassendes Regulatory Mapping, belastbare Incident-Matrizen, klare Eskalations- und Entscheidungswege, passende vertragliche Regelungen und eine belastbare Audit- und Nachweisstruktur. Nur wenn rechtliche Bewertung, operative Incident Response und Informationsflüsse ineinandergreifen, lassen sich Meldepflichten fristgerecht und rechtssicher erfüllen.

Porträt Raphael Jünemann

Raphael Jünemann ist seit 2020 Rechtsanwalt der Technologiekanzlei Schürmann Rosenthal Dreyer Rechtsanwälte und spezialisiert auf das Datenschutzrecht sowie auf Cybersicherheit und IT-Recht. Den inhaltlichen Schwerpunkt seiner Tätigkeit bildet die Betreuung von Unternehmen und Behörden hinsichtlich der Umsetzung regulatorischer Anforderungen an die Datenverarbeitung. www.srd-rechtsanwaelte.de

Newsletter Abonnieren

Abonnieren Sie jetzt IT-SICHERHEIT News und erhalten Sie alle 14 Tage aktuelle News, Fachbeiträge, exklusive Einladungen zu kostenlosen Webinaren und hilfreiche Downloads.

Andere interessante Fachbeiträge

KI-Agent

Strategien zur AI-Act-konformen Regulierung von KI-Agenten

Autonome KI-Agenten löschen Postfächer, drehen Endlosschleifen und verursachen fünfstellige Cloud-Rechnungen. Der EU AI Act wurde konzipiert, um besonders die Risiken von KI in sen...

Cybersecurity-Awareness Poster mit Auge

Wie die KI die Shortlist schreibt

ChatGPT, Google AI Overviews und Perplexity liefern CISOs heute fertige Anbieter-Shortlists, bevor die eigentliche Marktrecherche beginnt. Eine Auswertung von 25 typischen Beschaff...

Audit-Kommunikations-Varianten

Wenn Audits an Sprache scheitern

Wenn Audits schiefgehen, liegt es selten daran, dass eine konkrete Sicherheitsmaßnahme fehlt. Sie scheitern an etwas, das in keiner Norm steht: an der Sprache. Treffen Technik, Fac...