CRA: Meldepflicht nach Art. 14 CRA (Cyber Resilience Act) gelten ab dem 11. September 2026 A: Sinn Der Cyber Resilience Act (Verordnung (EU) 2024/2847) ist seit dem 10. Dezember 2024 geltendes EU-Recht. Ab dem 11. September 2026 müssen Hersteller von Produkten mit digitalen Elementen aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle melden. Die Idee: Sofern ein […]
Worum es geht Seit dem 12. September 2025 gilt Kapitel VI des Data Act. Anbieter von Datenverarbeitungsdiensten müssen Kunden den Wechsel ermöglichen — zwei Monate Ankündigungsfrist, Exportpflicht in strukturiertem Format, spätestens ab 12. Januar 2027 keine Wechselentgelte mehr. Die Regeln greifen also tief in die Vertragsgestaltung ein. Die erste Frage richtet sich damit nach dem
Anwendungsbereich des 6.Kap Data Act auf SaaS Systeme Weiterlesen »
III. Die gefährlichsten Obliegenheiten in der Praxis 1. Vorvertragliche Anzeigepflichten: Die Zeitbombe beim Vertragsschluss Versicherer stellen im Rahmen des Antrags detaillierte Risikofragen zu IT-Sicherheitsmaßnahmen, bspw.: Das Problem: Viele Unternehmen beantworten diese Fragen unvollständig, zu optimistisch oder ohne hinreichende interne Überprüfung. Im Schadensfall stellt der Versicherer dann fest, dass die tatsächliche IT-Sicherheitslage von den Angaben abweicht.
Abstrakt: Cyberversicherungen gehören heute zum Standard-Risikomanagement von Unternehmen. Doch der Versicherungsfall allein genügt nicht – vielmehr entscheidet die Einhaltung vertraglicher Obliegenheiten darüber, ob der Versicherer im Ernstfall tatsächlich leistet. Der vorliegende Beitrag analysiert die praxisrelevanten Ausschluss- und Obliegenheitsklauseln in Cyber-AVB, beleuchtet die versicherungsrechtliche Systematik und gibt Unternehmen konkrete Handlungsempfehlungen an die Hand. I. Einleitung: Der
7. Standards und Best Practices 7.1 Internationale Standards ISO/IEC 27000-Serie: Umfassende Standardfamilie für internationale Standards der Informationssicherheitsmanagementsysteme. ISO/IEC 27001 definiert Anforderungen, ISO/IEC 27002 bietet einen Leitfaden für Kontrollen. NIST Cybersecurity Framework: Ein vom US National Institute of Standards and Technology entwickeltes Framework, das fünf Kernfunktionen definiert: Identify, Protect, Detect, Respond, Recover. Es dient der systematischen
Wie wird eine SBOM erstellt? Manuell ist die Erstellung kaum praktikabel: Eine typische Unternehmensanwendung enthält Hunderte von Abhängigkeiten. Die Praxis setzt auf automatisierte Werkzeuge, die Quellcode oder fertige Binärdateien analysieren und die Stückliste automatisch generieren. Diese Werkzeuge lassen sich in den Entwicklungsprozess integrieren, sodass die SBOM bei jeder neuen Version automatisch aktualisiert wird. Als Standardformate
Die Software-Stückliste: SBOM Bedeutung für Lizenz, KI und CRA Teil II Weiterlesen »
5. Rechtliche Rahmenbedingungen der IT-Sicherheit 5.1 Verfassungsrechtliche Grundlagen Das Bundesverfassungsgericht hat mit seinen Entscheidungen zum Recht auf informationelle Selbstbestimmung und zum Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme (IT-Grundrecht) die verfassungsrechtlichen Fundamente der IT-Sicherheit gelegt. Diese Grundrechte verpflichten den Staat zum Schutz der Bürger vor IT-Sicherheitsrisiken und begrenzen zugleich staatliche Eingriffsbefugnisse. 5.2 IT-Sicherheitsgesetz
Die SBOM — die Software-Stückliste — ist bekannt als Werkzeug für Open-Source-Lizenz-Compliance und ab 2027 als gesetzliche Pflicht unter dem Cyber Resilience Act. Beides ist richtig, aber es ist nicht der dringendste Grund, heute damit anzufangen. Der eigentlich aktuelle Grund ist ein anderer: Wer Software mit KI-Werkzeugen entwickelt und nicht dokumentiert, welche Teile von einer
Die Software-Stückliste: SBOM Bedeutung für Lizenz, KI und CRA Teil I Weiterlesen »
Softwaretests sind ein wichtiger Bestandteil moderner IT-Entwicklung. Dabei werden häufig Daten genutzt, die einen Personenbezug aufweisen. Für Unternehmen bedeutet das: Auch Testprozesse müssen datenschutzrechtlichen Anforderungen gerecht werden. Fallen Testdaten unter die DSGVO? Ob Testdaten der Datenschutz-Grundverordnung (DSGVO) unterliegen, hängt davon ab, ob personenbezogene Daten verarbeitet werden. Sobald Informationen einer identifizierten oder identifizierbaren Person zugeordnet werden
Datenschutz bei Softwaretests: Was Unternehmen beachten sollten Weiterlesen »
3. Bedrohungslandschaft und Angriffsvektoren 3.1 Klassifikation von Bedrohungen Bedrohungen der IT-Sicherheit lassen sich nach verschiedenen Kriterien systematisieren: Nach Ursprung: Nach Intention: Nach Angriffsziel: 3.2 Relevante Angriffstypen Malware: Schadsoftware umfasst Viren, Trojaner, Ransomware und Spyware. Gemein haben all diese Angriffsarten, dass das betroffene System infiltriert wird und entweder Daten ausgelesen, bzw. mitgelesen oder blockiert werden können.
