Cyber-Kriminalität ist zu einer großen Bedrohung für Unternehmen geworden. In den letzten Jahren ist das Risiko für Unternehmen, Opfer eines Cyberangriffs zu werden, drastisch gestiegen, nicht zuletzt auf Grund der zunehmenden Komplexität und der ständigen Weiterentwicklung von Internetkriminalität. Die Auswirkungen für die betroffenen Unternehmen sind erheblich. Der operative Geschäftsbetrieb kommt infolge des Cyberangriffs häufig für Tage, schlimmstenfalls sogar Wochen zum Erliegen. Neben der Erfüllung der gesetzlichen Meldepflichten muss die forensische Aufarbeitung des Cyberangriffs vorangetrieben und weitere Zugriffe der Angreifer ausgeschlossen werden. Ferner ist die Kommunikation gegenüber Kunden, Lieferanten und Mitarbeitenden abzustimmen und zu koordinieren.

Rechtliche Vorgaben zur Cybersicherheit.

Aufgrund der gesellschaftlichen und wirtschaftlichen Relevanz verabschieden EU- und nationale Gesetzgeber immer neue zwingende Vorgaben zum Thema Cybersicherheit für Unternehmen. Insbesondere die NIS-2-Richtlinie erweitert diese Mindestpflichten auf alle Unternehmen aus bestimmten Sektoren wie etwa Chemie, Lebensmittel, Maschinen und Fahrzeugbau, Medizinprodukte, Post- und Kurierdienste und Abfallbewirtschaftung, die zumindest über 50 Mitarbeiter und mehr als EUR 10 Mio. Jahresumsatz verfügen. Wir unterstützen Sie bei der Analyse, ob Ihr Unternehmen in den Anwendungsbereich der NIS-2-Richtlinie fällt.

Die erfassten Unternehmen unterliegen nach Umsetzung der NIS-2-Richtlinie zum Oktober 2024 Cybersicherheits-Pflichten in Form von Governance-, Risikomanagement- und Berichtspflichten.

Aus Sicht der Governance, verlangt die NIS-2-Richtlinie, dass Cybersicherheit zur „Chefsache“ wird und Geschäftsführer und Vorstände die Cybersicherheits¬maßnahmen billigen und die Umsetzung überwachen müssen. Andernfalls haften die Leitungsorgane ihrer Gesellschaft auf Schadensersatz. Gerne sind wir bei der Eingliederung der Cybersicherheits-Governance in Ihre Compliance-Organisation behilflich.

Unternehmen sollen die Awareness im Bereich Cybersicherheit erhöhen. Leitungsorgane sind verpflichtet, durch regelmäßige Schulung und Weiterbildung fachliches Know-How aufzubauen. Mitarbeitenden sind Cybersicherheits-Schulungen anzubieten. Wir erstellen wir für Sie Schulungskonzepte ganz nach Ihren Vorstellungen, egal ob in Präsenz, Online, als Video auf Abruf oder E-Learning-Modul.

Risikomanagementpflichten sind geeignete und verhältnismäßige technische, operative und organisatorische Maßnahmen zur Erkennung, Beherrschung und Verringerung Cybersicherheitsrisiken. Die NIS-2-Richtlinie nennt hierzu zahlreiche Mindestmaßnahmen wie etwa Konzepte in Bezug auf Risikoanalyse und Sicherheit, Maßnahmen zur Bewältigung von Sicherheitsvorfällen, Backup-Management, Multi-Faktor-Authentifizierung, etc. Aus dieser Pflicht resultieren aber auch zahlreiche organisatorische Maßnahmen, die Beherrschung der Cyberrisiken sicherstellen sollen. Gemeinsam mit Ihnen analysieren wir Ihre Compliance-Infrastruktur und Cyber-Strategie und unterstützen Sie bei der Umsetzung der erweiterten gesetzlichen Compliance-Pflichten. Ziel unserer Beratung ist eine möglichst reibungsarme Umsetzung erforderlicher Maßnahmen bei wirtschaftlich kalkulierbaren Kosten. Dadurch kommen Sie als Leitungsorgan zugleich auch ohne Haftungsrisiko Ihrer Governance-Pflicht nach.

Im Falle erheblicher Sicherheitsvorfälle werden eng getaktete Berichtspflichten der Unternehmen ausgelöst in Form einer Frühwarnung innerhalb von höchstens 24 Stunden ab Kenntnisnahme des Vorfalls, einer Meldung binnen höchstens 72 Stunden mit ersten Informationen und eines Abschlussberichts binnen eines Monats mit wahrscheinlicher Ursache, Abhilfemaßnahmen etc. Anhand unserer Cybersicherheits-Incident-First-Response-Pläne behalten Sie auch in stressigen Situationen wie einem Cyberangriff den vollen Überblick und gehen sich, keine geschäfts-, reputations- und haftungsrelevanten Fragen in der Hektik zu übersehen. Hierfür arbeiten wir Hand in Hand mit IT- und Kommunikationsspezialisten zusammen.

Datenschutzrechtliche Risiken bei Cyberangriffen.

Daneben diesen Anforderungen sind auch datenschutzrechtliche Risiken bei Cyberangriffen zu berücksichtigen. Die Anforderungen und Komplexität an die unternehmensinternen Maßnahmen zur Cybersicherheit und zum Datenschutz hat die Rechtsprechung jüngst deutlich verschärft. Geschäftsführer und Vorstände haben geeignete Schritte zu unternehmen und Maßnahmen zu treffen, um die Unternehmens-IT und die dort gespeicherten Daten vor dem Zugriff Dritter zu schützen. Sind diese Vorgaben nicht oder nur unzureichend umgesetzt, drohen im Falle eines Cyberangriffs beträchtliche Lösegeldforderungen der Angreifer, Bußgelder der Aufsichtsbehörden und Schadensersatzansprüche von Betroffenen. Bei fehlerhaftem Krisenmanagement oder unzureichender Kommunikation sind Reputationsschäden nicht ausgeschlossen.

Präventionsberatung.

Wir helfen Ihnen, eine robuste Cyber-Sicherheitsstrategie zu entwickeln, die sowohl rechtliche als auch technische Aspekte berücksichtigt. Dies umfasst die Identifizierung potenzieller Risiken, die Umsetzung der von Gesetzgebung und Rechtsprechung gemachten Vorgaben und die Implementierung effektiver Organisations- und Sicherungsmaßnahmen. Zentraler Baustein unserer Beratung ist Ihre Unterstützung bei der Einführung eines Informationssicherheits- und Datenschutzmanagementsystems. Diese Verfahren gewährleisten die Sicherheit der von Ihnen verarbeiteten Daten und ermöglichen es Ihnen, die Ihnen obliegenden Meldepflichten gegenüber Behörden und Vertragspartnern (z.B. im Rahmen einer Auftragsverarbeitung) fristgerecht zu erfüllen und den Auskunftsersuchen Betroffener umfassend nachzukommen. Ein weiterer zentraler Baustein ist die Entwicklung eines Emergency Response Plans, damit Sie im Ernstfall gut vorbereitet sind und die erforderlichen Sofortmaßnahmen ergreifen können.

Damit wappnen Sie sich und Ihr Unternehmen nicht nur gegen mögliche Cyber-Angriffe ab, sondern leisten einer wichtigen Beitrag zu Datenschutz-Compliance Ihres Unternehmens.

Unsere reaktive Beratung bei Cyber-Angriffen.

Oberstes Gebot im Falle einer Cyber-Attacke ist ein konsequentes, planvolles und zügiges Handeln. Neben der Widerherstellung des operativen Geschäfts gilt es vor allem den gesetzlichen Meldepflichten nachzukommen und die Vertragspartner im Rahmen bestehender vertraglicher Verpflichtungen über die Cyberangriff und dessen Folgen zu informieren. Wir unterstützen Sie bei der Bildung eines Krisenstabes und der Umsetzung des Emergency Response Plans und bei der Einleitung der notwendigen Sofortmaßnahmen.

Wir übernehmen für Sie die Kommunikation mit Ermittlungs- und Aufsichtsbehörden und unterstützen Sie, die interne und externe Kommunikation gegen über Vertragspartnern, den von der Cyber-Attacke Betroffenen (z.B. Mitarbeitende) und der Öffentlichkeit abzustimmen und rechtliche zu begleiten. Auf Wunsch leisten wir diesen Service aus einer Hand gemeinsam mit einem eingespielten Team aus Kommunikations-Experten und Rechtsanwälten.

Ihre Berater.