Wir erleben momentan, dass v.a. der europäische Gesetzgeber eine große Zahl unterschiedlicher Gesetze im IT-Bereich schafft, die jeweils (auch) unterschiedliche IT-Sicherheitsvorgaben enthalten. Hier sind exemplarisch die NIS2-RL, der Cyber Resilience Act (CRA), der Digital Services Act (DSA) und die KI-VO zu nennen.
Bei so vielen Gesetzen gerät schnell das Wesentliche aus dem Blick. Im Kern kommt es für den Normadressaten darauf an, dass er ein fundiertes IT-Sicherheitsrisikomanagement durchführt, innerhalb dessen er angemessene technische und organisatorische Maßnahmen auswählt und umsetzt. Und hierfür benötigt er vom Gesetzgeber konsistente Definitionen und Verfahrensvorgaben.
Im Rahmen des Forschungsprojekts ITSR.sys haben meine Kollegen und ich eine Systematisierung des IT-Sicherheitsrechts vorgenommen. Als Ergebnis dieser Arbeit haben wir ein Modell eines „IT-Sicherheitsrecht – Allgemeiner Teil“ entwickelt, dass wesentliche Grunddefinitionen und -prinzipien enthielt. Hierzu gehörte insbesondere ein gesetzliches IT-Sicherheitsrisikomanagement mit den angepassten Schritten der Kontexterstellung sowie der Risikoidentifikation, -analyse und -bewertung, dass wir bereits Ende 2022 hier veröffentlicht haben.
Weiterhin haben wir dieses Jahr einen OpenAccess-Artikel zu der Frage veröffentlicht, warum die gesetzliche Vorgabe eines solchen IT-Sicherheitsrisikomanagements auch besser ist, als den Normadressaten – wie bislang – mit der unbestimmten Verpflichtung „triff angemessene technische und organisatorische Maßnahmen (und berücksichtige dabei den Stand der Technik)“ alleine zu lassen. Diesen Artikel findet Ihr hier.