Rechtsgrundlagen

Aus ISMS-Ratgeber WiKi
Version vom 9. November 2024, 09:11 Uhr von Dirk (Diskussion | Beiträge)
(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)
Zur Navigation springenZur Suche springen
Under construction icon-blue.png Diese Seite ist derzeit noch ein Entwurf.

Weitere Informationen sowie Diskussionen über Änderungen an diesem Entwurf gibt es evtl. auf der Diskussion-Seite.


Paragraph

Allgemeine und branchenspezifische Rechtsgrundlagen sind für die Entwicklung von Leitlinien, Richtlinien und Konzepten zur Informationssicherheit von zentraler Bedeutung, da sie die gesetzlichen Mindestanforderungen und spezifischen Risiken adressieren. Sie bilden den Rahmen, um rechtliche Risiken zu minimieren und die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen zu gewährleisten.

Einleitung

Allgemeine Rechtsgrundlagen wie die Datenschutz-Grundverordnung (DSGVO) oder das Bundesdatenschutzgesetz (BDSG) legen branchenübergreifend die Grundprinzipien des Datenschutzes fest. Sie bilden die Grundlage für die Entwicklung umfassender Sicherheitsstrategien, die die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen gewährleisten.

Branchenspezifische Rechtsgrundlagen adressieren dagegen die besonderen Risiken und Anforderungen einzelner Branchen, wie z.B. des Gesundheitswesens, der Finanzbranche oder der Energieversorgung. Diese branchenspezifischen Regelungen sollen den besonderen Bedrohungen und Sicherheitsanforderungen der jeweiligen Branche Rechnung tragen. Sie erfordern maßgeschneiderte Sicherheitsmaßnahmen und -konzepte, die den besonderen Anforderungen gerecht werden und die Einhaltung der jeweiligen gesetzlichen Vorgaben sicherstellen.

Die Berücksichtigung dieser rechtlichen Vorgaben ist unerlässlich, um rechtliche Risiken zu minimieren und Vertrauen bei Kunden, Partnern und der Öffentlichkeit zu schaffen. Sie dienen als Rahmen für die Entwicklung von Sicherheitsrichtlinien und -konzepten, die nicht nur die gesetzlichen Anforderungen erfüllen, sondern auch die Grundlage für eine ganzheitliche und proaktive Informationssicherheitsstrategie bilden.

In vielen Regelwerken wird in den einleitenden Kapiteln auf die Rechtsgrundlagen verwiesen; die folgende Tabelle soll dabei helfen, die allgemeinen und die branchenspezifischen Rechtsgrundlagen zu finden und zu benennen.

Rechtsgrundlagen zur Informationssicherheit

Diese Tabelle umfasst die meisten relevanten Branchen und die entsprechenden gesetzlichen Vorgaben für die Informationssicherheit. Dabei wurden die zum Zeitpunkt der Erstellung aktuellsten verfügbaren Fassungen der Rechtsgrundlagen berücksichtigt. Es ist jedoch zu beachten, dass die Rechtslage sich fortlaufend ändern kann und spezifische Verordnungen oder Landesregelungen in manchen Fällen zusätzlich relevant sein können. Diese Tabelle ist nach Spalten sortierbar:

⚠️ Die Tabelle ist noch nicht qualitätsgesichert!

Rechtsgrundlage Bereich Konkreter Verweis
Datenschutz-Grundverordnung (DSGVO) Datenschutz Art. 32 DSGVO - Sicherheit der Verarbeitung
Bundesdatenschutzgesetz (BDSG) Datenschutz Ergänzende Regelungen, z.B. § 64 BDSG - Datenschutzbeauftragte
Telekommunikationsgesetz (TKG) Telekommunikation Teil 10 - Öffentliche Sicherheit und Notfallvorsorge
Digitale-Dienste-Gesetz (DDG) Diensteanbieter Ersetzt Telemediengesetz (TMG)

Teil 2 - Informationspflichten Teil 3 - Rechtsverletzungen von Nutzern

IT-Sicherheitsgesetz Allgemein, Kritische Infrastruktur § 8a BSIG - Sicherheitsanforderungen für KRITIS
NIS-Richtlinie Kritische Infrastruktur Art. 14 NIS-Richtlinie - Sicherheitsanforderungen
ISO/IEC 27001 IT-Sicherheit Standardanforderungen insgesamt
BSI IT-Grundschutz IT-Sicherheit BSI-Standards 200-1 bis 200-3
Sozialgesetzbuch (SGB V, SGB X) Gesundheit, Soziales § 67 ff. SGB X - Sozialdaten, Datenschutz, Datensicherung
Krankenhausgesetz (KHG) Gesundheit Landesspezifische Regelungen, z.B. § 17 KHG NRW - Datenschutz
E-Health-Gesetz Gesundheit, IT-Sicherheit § 291a SGB V - Elektronische Gesundheitskarte
Musterberufsordnung der Ärzte (MBO-Ä) Gesundheit § 9 MBO-Ä - Schweigepflicht und Datenschutz
Kommunale Datenschutzgesetze Kommunalverwaltung Landesspezifische Regelungen
E-Government-Gesetz (EGovG) Verwaltung, IT-Sicherheit § 3 EGovG - IT-Sicherheit
Sicherheitsüberprüfungsgesetz, (SÜG) Geheimschutz § 1-10 SÜG - Sicherheitsüberprüfung
Verschlusssachenanweisung (VSA) Geheimschutz Kap. 4 VSA - Sicherheitsmaßnahmen für Verschlusssachen
Geheimschutzordnung Geheimschutz Landesspezifische Regelungen
Energiewirtschaftsgesetz (EnWG) Energie § 11 EnWG - Sicherheitsanforderungen an Energieversorgungsnetze
Luftverkehrsgesetz (LuftVG) Luftfahrt § 29d LuftVG - Sicherheit der Luftverkehrsunternehmen
Luftsicherheitsgesetz (LuftSiG) Luftfahrt § 8 LuftSiG - Sicherheitsmaßnahmen
Geldwäschegesetz (GwG) Finanzen § 25 GwG - Interne Sicherungsmaßnahmen
Verordnung über die elektronische Aktenführung (eGovG, E-Akten-Verordnung) Verwaltung, IT-Sicherheit § 6 E-Akten-Verordnung - Anforderungen an die IT-Sicherheit
Kreditwesengesetz (KWG) Finanzsektor § 25a KWG - Risikomanagement, IT-Sicherheit
Zahlungsdiensteaufsichtsgesetz (ZAG) Finanzsektor § 22 ZAG - Sicherheitsanforderungen an Zahlungsdienste
Mindestanforderungen an das Risikomanagement (MaRisk) Finanzsektor AT 7.2 MaRisk - IT-Sicherheit und IT-Risikomanagement
Versicherungsaufsichtsgesetz (VAG) Versicherungssektor § 23 VAG - IT-Sicherheit und Risikomanagement
Mindestanforderungen an die IT bei Versicherungen (VAIT) Versicherungssektor Modul 3 VAIT - IT-Sicherheitsmanagement
Seeschifffahrtsgesetz (SeeSG) Transport und Logistik § 9 SeeSG - Sicherheit der IT-Systeme auf Schiffen
Straßenverkehrsgesetz (StVG) Transport und Logistik § 6c StVG - Datenschutz und IT-Sicherheit in vernetzten Fahrzeugen
Bahnsicherheitsgesetz (BSG) Transport und Logistik § 4 BSG - IT-Sicherheit im Bahnverkehr
Rundfunkstaatsvertrag (RStV) Telekommunikation und Medien § 57 RStV - Sicherheit der Informationstechnik
Telekommunikations-Telemedien-Datenschutzgesetz (TTDSG) Telekommunikation und Medien § 19 TTDSG - Schutz von personenbezogenen Daten
Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) Handel, Wirtschaft § 91 AktG - Überwachungssysteme
Arzneimittelgesetz (AMG) Chemie- und Pharmaindustrie § 67 AMG - Datensicherheit bei Arzneimittelüberwachung
Wasserhaushaltsgesetz (WHG) Wasserwirtschaft § 61 WHG - Anforderungen an die IT-Sicherheit in Wasserwirtschaft
Gesetz zur Sicherstellung von Verschlusssachen (VS-Gesetz) Verteidigungssektor § 4 VS-Gesetz - Schutz von Verschlusssachen
Gesetz gegen den unlauteren Wettbewerb (UWG) Handel und E-Commerce § 3a UWG - Verbot unlauterer geschäftlicher Handlungen
Zahlungsdiensterichtlinie (PSD2) Handel und E-Commerce Art. 94 PSD2 - Sicherheit der Zahlungsdienste
Bauordnungen der Länder Bauwirtschaft, Infrastruktur Landesspezifische Regelungen
Bildungsgesetze der Länder Bildungssektor Landesspezifische Regelungen, Datenschutz in Schulen
Hochschulgesetze Bildungssektor Landesspezifische Regelungen, IT-Sicherheit an Hochschulen
Landwirtschaftsdatensicherungsgesetz Landwirtschaft, Ernährung § 4 LandwDatG - Sicherheit der landwirtschaftlichen Daten
Kulturfördergesetze Kultur- und Medienwirtschaft Landesspezifische Regelungen, Schutz digitaler Kulturgüter
Urheberrechtsgesetz (UrhG) Kultur- und Medienwirtschaft § 95b UrhG - Schutz technischer Maßnahmen
Veranstaltungsgesetze und -verordnungen Sport und Veranstaltungen Landesspezifische Regelungen, IT-Sicherheit bei Großveranstaltungen
Gaststättengesetze Tourismus und Gastgewerbe Landesspezifische Regelungen, Schutz von Kundendaten
Kreislaufwirtschaftsgesetz (KrWG) Abfallwirtschaft § 62 KrWG - Sicherheitsanforderungen in der Abfallwirtschaft