Cyber Awareness Month: 5 Fragen an Matthias Niebuhr

 

Cyber Awareness Month Oktober – was fällt Ihnen dazu ganz spontan ein? 

Ganz spontan: Ist nicht eigentlich jeden Monat der Cyber Awareness Month? Es ist ja schließlich ein Dauerthema. Aber es ist eben ein Thema, das natürlich neben anderen wichtigen Themen in den Hintergrund treten kann. Und dann ist diese Erinnerung eine gute Sache. Denn es wird ja immer deutlicher, wie angreifbar wir durch Cybergefahren sind. 
 

Ihr Schwerpunkt liegt stark auf Datenschutz- und Datenwirtschaftsfragen, wie dem EU Data Act. Wie hängen diese Themen mit Cybersecurity zusammen?

Das Eine geht nicht ohne das Andere. Der Data Act zum Beispiel hat mit dem Cyber Resillience Act in der letzten Woche sein Cyber-Pendant bekommen. Das eine Gesetz macht die Daten aus den IoT-Geräten zugänglich für neue und innovative Nutzungen, während das andere dafür sorgt, dass die Geräte bei ihrem Einsatz sicher bleiben.

Das ist durchaus ein Spagat und verlangt den Unternehmen einiges ab. Doch es gibt angesichts der wirtschaftlichen Herausforderungen keine Alternative. 
 

Ist Datenschutz in diesem Kontext eher ein Hemmschuh oder hilft uns Datenschutz, Sicherheitsstandards zu erhöhen? 

Ich beschäftige mich inzwischen mehr als zwanzig Jahre mit dem Datenschutz und es verbindet mich eine Hassliebe damit. Nicht alles im Datenschutzrecht ist gut gemacht. Aber in den meisten Bereichen ist er ausgesprochen sinnvoll und im Hinblick auf Datensicherheit sogar hilfreich. 

Unternehmen müssen Datenschutz und -sicherheit – trotz gelegentlicher Widersprüche gesamthaft denken. Datenschutz ist nicht notwendigerweise der Hemmschuh, als der er immer gesehen wird. Über Risikobeurteilungen und Güterabwägungen lassen sich die meisten praktischen Widersprüche aufheben. 

Die DSGVO verlangt ja von Unternehmen die Anwendung angemessener technischer und organisatorischer Maßnahmen zum Schutz personenbezogener Daten. Das sind klassische Datensicherheitsthemen wie Datensicherungen oder der physische Schutz von Daten gegen Verlust oder Preisgabe. Damit formuliert die DSGVO also auch Sicherheitsstandards, die angemessen sein müssen.
 

DORA und NIS-2 sollen die Cyber-Resilienz von Unternehmen europaweit erhöhen. Wie sehen Sie das aus rechtlicher Sicht?

Mit beiden Rechtsakten beschäftigen wir uns zurzeit sehr. DORA verpflichtet Finanzunternehmen, konkrete Datensicherheitsmaßnahmen durchzuführen. Dabei baut der Finanzsektor in Deutschland bereits auf den recht strengen Vorgaben der bisher geltenden xAIT auf. Für uns Juristen liegt hier ein Schwerpunkt auf den neuen Anforderungen an die Vertragsbeziehungen zwischen Finanzunternehmen und ihren Dienstleistern. Da gibt es für die Finanzunternehmen einiges zu tun, um ihre Verträge bis zum Stichtag 17. Januar 2025 durchzusehen und anzupassen. Hier unterstützen wir derzeit einige Finanzunternehmen.

Die NIS2-Richtlinie ist dagegen noch nicht in Deutschland umgesetzt. Derzeit gehen wir von März 2025 für den Erlass und die sofortige Anwendbarkeit für die betroffenen Unternehmen aus. Und es trifft viele Unternehmen; aktuelle Schätzungen gehen von ca. 20.000 Betrieben aus, die aufgrund ihrer Tätigkeit in den Anwendungsbereich fallen. 

Wir raten unseren Mandantinnen und Mandanten dringend, sich frühzeitig mit der Frage zu beschäftigen, ob sie unter NIS2 fallen. Denn es gibt dann bis März einiges zu tun. Prozesse müssen definiert, Dokumentationen erstellt und Kenntnisse vermittelt werden. Es drohen hier Geldbußen und die Geschäftsführung der betroffenen Unternehmen kann eine persönliche Haftung treffen. 
 

Vielen Dank Herr Niebuhr. Und zum Schluss – was liegt Ihnen in Sachen Cyber Security auf dem Herzen, welchen konkreten Tipp haben Sie? 

Beschäftigen Sie sich als Geschäftsführung mit dem Thema und schieben Sie es nicht auf die lange Bank. Die Liste der Unternehmen, Kommunen oder Institutionen, die von Cybervorfällen betroffen waren, wird länger und länger. 

Und sprechen Sie mit anderen Unternehmen. Lernen Sie von Fehlern und guten Ideen. Nehmen Sie Beratungsangebote in Anspruch.