In dem Maße, wie sich die Landschaft der Cybersicherheit weiterentwickelt, ändern sich auch für Unternehmen aller Branchen die Anforderungen an die Einhaltung von Vorschriften. Es kann eine Herausforderung sein, mit diesen Vorschriften zur Einhaltung der Cybersicherheit Schritt zu halten – aber es ist entscheidend für den Schutz Ihres Unternehmens.
Dieser Leitfaden befasst sich mit den Vorschriften zur Einhaltung der Cybersicherheit für Unternehmen in verschiedenen Branchen:
- Gesundheitswesen
- Einzelhandel
- Finanzdienstleistungen
- Rechtswesen
- Behörden
- Energieversorgung
- Versicherungswesen
- Automotive
- Herstellung
- Staatenspezifische Compliance
Gesundheitswesen
Das Gesundheitswesen unterliegt beispielsweise in den USA Vorschriften wie dem Health Insurance Portability and Accountability Act (HIPAA), geschützten Gesundheitsinformationen (PHI) und persönlich identifizierbaren Informationen (PII).
Die Einhaltung des HIPAA erfordert, dass Unternehmen Maßnahmen zum Schutz der Vertraulichkeit, Integrität und Verfügbarkeit der geschützten Gesundheitsinformationen ergreifen. Dazu gehört, dass nur befugte Personen Zugang zu geschützten Gesundheitsinformationen haben, dass diese Daten bei der Übertragung durch Verschlüsselung geschützt werden und dass bei einer Datenverletzung ein Notfallplan vorhanden ist.
Persönlich identifizierbare Informationen (PII) sind alle Informationen, die genutzt werden können, um die Identität einer Person herauszufinden. Auch diese Daten gilt es zu schützen. Unternehmen im Gesundheitswesen müssen Maßnahmen ergreifen, um persönlich identifizierbare Informationen vor unbefugtem Zugriff, unbefugter Nutzung, Offenlegung oder Zerstörung zu schützen.
Einzelhandel
Die Einzelhandelsbranche wird beispielsweise durch den Payment Card Industry Data Security Standard (PCI DSS) und die Datenschutz-Grundverordnung (DSGVO) reguliert.
PCI DSS verpflichtet Unternehmen, Maßnahmen zu ergreifen, um Kreditkartendaten von Kunden vor unbefugtem Zugriff und Offenlegung zu schützen. Die Einhaltung des PCI DSS umfasst die Implementierung von physischen, administrativen und technischen Schutzmaßnahmen sowie die Durchführung regelmäßiger Risikobewertungen.
Die DSGVO-Compliance verpflichtet Unternehmen, Maßnahmen zum Schutz der personenbezogenen Daten von Personen in der Europäischen Union zu ergreifen. Dazu gehört, dass personenbezogene Daten auf rechtmäßige, transparente und faire Weise erhoben und verarbeitet werden und dass die Betroffenen das Recht haben, auf ihre personenbezogenen Daten zuzugreifen und deren Löschung zu verlangen.
Finanzdienstleistungen
Unternehmen in der Finanzdienstleistungsbranche unterliegen einer Vielzahl von Vorschriften zur Einhaltung der Cybersicherheit, darunter der Gramm-Leach-Bliley Act (GLBA), der Health Insurance Portability and Accountability Act (HIPAA), der Payment Card Industry Data Security Standard (PCI DSS), die Datenschutz-Grundverordnung (DSGVO) und der Sarbanes-Oxley Act (SOX).
SOX wurde eigens geschaffen, um Anleger vor der Möglichkeit betrügerischer Bilanzierungspraktiken durch börsennotierte Unternehmen zu schützen. Die Einhaltung der Cybersicherheitsvorschriften ist ein wichtiger Bestandteil des SOX und gilt für jedes Unternehmen, das Produkte oder Dienstleistungen im zwischenstaatlichen Handel anbietet, sowie für jedes Unternehmen, dessen Wertpapiere an nationalen Börsen notiert sind.
Rechtswesen
Anwaltskanzleien sind ein beliebtes Ziel von Cyberangriffen, da sie mit vielen sensiblen Informationen arbeiten. Je nach Spezialisierung einer Anwaltskanzlei muss sie alle Arten von Cybersicherheitsvorschriften einhalten. Diese Vorschriften variieren von Staat zu Staat.
Zu den häufigsten Vorschriften, die beispielsweise US-Anwaltskanzleien im Bereich Cybersicherheit einhalten müssen, gehören der Gramm-Leach-Bliley Act (GLBA), der Health Insurance Portability and Accountability Act (HIPAA) und der Sarbanes-Oxley Act (SOX).
Behörden
US-Bundesbehörden müssen den Federal Information Security Management Act (FISMA) und das National Institute of Standards and Technology (NIST) Cybersecurity Framework einhalten. In Europa müssen die Behörden u. a. das EU-Cybersicherheitsgesetz und die DSGVO einhalten.
Der FISMA verlangt von den Behörden, ein behördenweites Programm zu entwickeln, zu dokumentieren und umzusetzen, um die Sicherheit der Informationen und Informationssysteme zu gewährleisten, die den Betrieb und die Vermögenswerte der Behörde unterstützen.
Das NIST ist eine nicht-regulatorische Behörde und stellt das NISTs Cybersecurity Framework zur Verfügung, einen freiwilligen Leitfaden, der Organisationen hilft, Cybersicherheitsrisiken besser zu verwalten und zu reduzieren. Unternehmen können das Framework nutzen, um ihre Cybersicherheitsrisiken zu bewerten, Kontrollmöglichkeiten zur Abschwächung dieser Risiken zu identifizieren und ihre Fortschritte im Lauf der Zeit zu verfolgen.
Der EU-Cybersicherheitsgesetz wurde geschaffen, um die Cybersicherheit von Netzen und Informationssystemen in der Europäischen Union zu verbessern. Dieser Rechtsakt verpflichtet die Mitgliedstaaten, eine nationale Behörde für Cybersicherheit zu benennen, ein Zertifizierungssystem für Cybersicherheit zu schaffen und eine Europäische Agentur für Cybersicherheit einzurichten.
Energieversorgung
Unternehmen in der Energie- und Versorgungsbranche unterliegen den Cybersicherheitsvorschriften der Federal Energy Regulatory Commission (FERC).
Die FERC-Vorschriften zur Cybersicherheit sollen das nationale Stromnetz vor Bedrohungen der Cybersicherheit schützen. Diese Vorschriften verlangen von den Stromversorgern die Entwicklung und Umsetzung eines Cybersicherheitsprogramms, das Risikobewertungen, Sicherheitskontrollen und Reaktionspläne für Zwischenfälle umfasst.
Versicherungswesen
Je nach Branche unterliegen auch Versicherungsunternehmen einer Reihe von Vorschriften zur Einhaltung der Cybersicherheit. Zu den typischen Cybersicherheitsvorschriften für Versicherungsunternehmen gehören der Gramm-Leach-Bliley Act (GLBA), der Health Insurance Portability and Accountability Act (HIPAA), die Datenschutz-Grundverordnung (DSGVO) und der Payment Card Industry Data Security Standard (PCI DSS).
Automotive
Mit der zunehmenden Vernetzung von Fahrzeugen werden auch immer mehr Compliance-Vorschriften zum Schutz vor Cyberbedrohungen entwickelt. Beispielsweise hat die National Highway Traffic Safety Administration (NHTSA) in den USA eine Anleitung zur Cybersicherheit für die Automobilindustrie herausgegeben.
Der Leitfaden der NHTSA ist freiwillig, enthält jedoch Empfehlungen für bewährte Verfahren zur Cybersicherheit in der Automobilindustrie und nennt Möglichkeiten zum Schutz von Fahrzeugen vor Hackerangriffen.
Herstellung
Unternehmen der verarbeitenden Industrie unterliegen dem Cybersicherheitsstandard der Internationalen Organisation für Normung (ISO). Und wenn Auftragnehmer Dienstleistungen für das US-Verteidigungsministerium (Department of Defense, DoD) erbringen, müssen sie die Cybersicherheitsanforderungen gemäß Defense Federal Acquisition Regulation Supplement (DFARS) einhalten.
Die ISO-Norm für Cybersicherheit ist eine freiwillige, internationale Norm, die Leitlinien für Cybersicherheitsrisiken und -kontrollen enthält. Die DFARS-Anforderungen an die Cybersicherheit sind verpflichtend. Die Cybersecurity Maturity Model Certification (CMMC) wurde vom DoD entwickelt, um die Einhaltung der Cybersicherheitsvorschriften zu bewerten. Sie soll die DFARS-Regelungen ablösen und zum Standard für den Schutz kontrollierter, nicht klassifizierter Informationen (CUI) werden.
Die Connectivity Standards Alliance hat vor kurzem den Standard „Matter 1.0“ veröffentlicht, der einen neuen Weg für IoT-Geräte zur Kommunikation und Interaktion untereinander definiert. Matter verwendet eine Public Key Infrastructure zur Authentifizierung von Geräten und umfasst eine verschlüsselte Nachrichtenübertragung für die Datensicherheit. Das stellt sicher, dass die Nutzer ihre IoT-Geräte sicher mit der Cloud und anderen verbundenen Systemen verbinden können.
Staatenspezifische Compliance
Die Einhaltung der Vorschriften in jeder Branche hängt auch von den staatlichen und lokalen Vorschriften ab, und das auch auf internationaler Ebene.
So hat Kalifornien 2018 den California Consumer Privacy Act (CCPA) verabschiedet. Der CCPA ist ein bundesstaatliches Gesetz, das den Umgang von Unternehmen mit den personenbezogenen Daten von Einwohnern Kaliforniens regelt, unabhängig davon, wo das Unternehmen seinen Sitz hat. Nach dem CCPA müssen Unternehmen offenlegen, welche personenbezogenen Daten sie sammeln, warum sie diese sammeln und mit wem sie diese teilen. Die Unternehmen müssen den Verbrauchern auch die Möglichkeit geben, sich gegen den Verkauf ihrer persönlichen Daten zu entscheiden.
Im Jahr 2017 verabschiedete New York die NYDFS Cybersecurity Regulation. Diese Verordnung gilt für alle Unternehmen, die der Gerichtsbarkeit der NYDFS unterliegen und die nicht-öffentliche Informationen besitzen, speichern oder nutzen. Sie verpflichtet Unternehmen, ein Cybersicherheitsprogramm zu entwickeln, und legt fest, was die Unternehmen darin einbeziehen müssen.
Die Verordnung Electronic Identification, Authentication and Trust Services (eIDAS) ist eine Verordnung der Europäischen Union, die im Jahr 2014 geschaffen wurde. Diese Verordnung sorgt für einen Rechtsrahmen für elektronische Signaturen und andere elektronische Identifizierungsmethoden, wie z. B. E-IDs. Die eIDAS-Verordnung gilt für Unternehmen, die elektronische Signaturen oder andere elektronische Identifizierungsmethoden anbieten.
Kürzlich wurde der UK Cybersecurity Council auf der Grundlage der nationalen Cybersicherheitsstrategie (NCSS) 2016-2021 des Vereinigten Königreichs gegründet. Die Unternehmen im Vereinigten Königreich müssen die von diesem Rat festgelegten Vorschriften zur Cybersicherheit einhalten. Der Rat gestaltet und informiert über die nationalen Richtlinien und will britischen Unternehmen durch Ressourcen und Leitlinien bei der Einhaltung der Cybersicherheitsvorschriften helfen.
Vereinfachen Sie mit GlobalSign die Einhaltung von Cybersicherheitsrichtlinien
Es kann entmutigend wirken, in Ihrem Unternehmen die scheinbar endlosen Vorschriften einzuhalten. Aber das muss nicht so sein. Wir bei GlobalSign können Ihrem Unternehmen helfen, Ihre Daten zu sichern und die Vorschriften Ihrer Branche einzuhalten. Wenden Sie sich noch heute an unser erfahrenes Team und erfahren Sie mehr über unsere Compliance-Lösungen zur Cybersicherheit.