Anfang November wurde ein neues Internetsicherheitsgesetz verabschiedet, das ab Juni 2017 gelten soll. Für Unternehmen vor Ort gibt es dadurch einiges zu beachten. Anforderungen und Haftung wie folgt.
Netzwerkbetreiber, die als solche unter die Definition des Gesetzes fallen (s. Teil 2), sollten sich im nächsten Jahr auf einige Veränderungen vorbereiten. Gefordert werden im Einzelnen:
- Die Einrichtung eines mehrstufigen Sicherheitssystems nach Artikel 21, also von der Bestimmung Verantwortlicher bis zu technischen Maßnahmen zur Überwachung, Back-ups, etc.;
- die Errichtung umfassend stabiler Netzwerke und geschützter Netze (Art. 22, 40);
- die Implementierung eines Systems zur Identifizierung der Nutzer (Art. 24);
- die Implementierung von Notfallplänen (Art. 25);
- die zusätzlichen Pflichten beim Betrieb kritischer Infrastrukturen umfassen
- die Errichtung spezieller Sicherheits-Verwaltungsmechanismen und die Benennung von entsprechend Verantwortlichen (samt Sicherheitsüberprüfung);
- regelmäßige Schulungen und Prüfungen für Sicherheitsverantwortliche;
- die regelmäßige Erstellung von Backups für wichtige Systeme und Datensammlungen;
- regelmäßige Notfallübungen;
- weitere gesetzliche auferlegte Pflichten;
- den Abschluss von Geheimhaltungsvereinbarungen beim Erwerb von Netzwerkprodukten und –Diensten (Art. 36);
- jährliche Untersuchungen und Evaluierungen sowie Berichte darüber (Art. 38).
- Netzwerkbetreiber haben Regeln zur Sammlung und Verwendung von persönlichen Daten aufzustellen und die Zustimmung der Betroffenen einzuholen (Art. 41);
- Netzwerkbetreiber müssen mithilfe technologischer Maßnahmen den Missbrauch persönlicher Daten zu verhindern suchen und ein Berichtssystem für den Fall von Datenlecks einrichten (Art. 42);
- Netzwerkbetreiber müssen Maßnahmen zur Löschung und Korrektur von persönlichen Daten vorsehen (Art. 43);
- Netzwerkbetreiber müssen die rechtswidrige Verbreitung von Nutzerdaten überwachen Art. 47);
- Netzwerkbetreiber haben ein System für Beschwerden und Berichte zu installieren, dieses zu veröffentlichen und zeitnah auf solche zu reagieren.
Die Verantwortlichkeit der Beteiligten ist detailliert in Kapitel 6 geregelt. Neben den im Gesetz selbst vorgesehenen Verwaltungsstrafen sind eine zivilrechtliche und eine strafrechtliche Haftung vorgesehen (Art. 74). Die Behörden können Korrekturen fordern und Warnungen aussprechen, ansonsten Geldstrafen verhängen (vgl. Art. 59-62). Darüber hinaus können rechtwidrige Einkünfte konfisziert sowie Haftstrafen und Berufsverbote ausgesprochen werden (vgl. Art. 63). Außerdem können die kurzfristige oder dauerhafte Einstellung von Betrieben durchgesetzt und verantwortliche Manager persönlich herangezogen werden (vgl. Art. 64-69). Unter Umständen können Rechtsverletzungen auch öffentlich gemacht werden (vgl. Art. 71). Sofern sich die Behörden selbst schuldig machen sind auch für sie Sanktionen vorgesehen (Art. 73).