Die rechtliche Regulierung der Sicherheit informationstechnischer Systeme ist nicht zwingend an spezialgesetzliche Vorschriften gebunden oder gar kodifiziert innerhalb eines einheitlichen Gesetzeswerkes. Vielmehr wird die Informationssicherheit in einer Vielzahl unterschiedlichster Rechtsvorschriften (z.B. BSIG) sowohl auf europäischer wie auch auf deutscher Ebene in gesetzlichen wie auch in untergesetzlichen Regelwerken sowie durch technische Normung und Standardisierung (z.B. ISO 27001) ergänzt.

Eine Besonderheit der rechtlichen Regulierung von IT-Sicherheit ist sicher darin zu sehen, dass zahlreiche Vorschriften die Thematik nicht explizit aufgreifen, sondern nur mittelbar über die Auslegung in Bezug zur Informationssicherheit gebracht werden können. So finden sich Regelungen zur Informationssicherheit für Banken erst über den Umweg der Vorschriften der BaFin (BAIT oder im Rahmen der Auslagerung nach MaRisk) Es bedarf daher neben der technischen Fachkenntnis im Rahmen eines Informationssicherheitsmanagementsystems (ISMS) auch immer der Kenntnis der juristischen Besonderheiten.

Das Leistungsspektrum der Kanzlei MRA umfasst in diesem Rahmen insbesondere:

  • Rechtliche Betreuung bei der Umsetzung des Informationssicherheitsmanagementsystems, etwa im Rahmen der Umsetzung technischer und organisatorischer Maßnahmen (TOM) nach Anhang A (SoA) der ISO 27001 oder der ISO 27002, 27018, 27701
  • Rechtliche Prüfung, Bewertung und Weitergestaltung von bestehenden Sicherheitskonzepten
  • Übernahme von Schulungen zur Informationssicherheit (ISO 27001: 7.2, 7.3, 7.4)
  • Beratung bei der Gestaltung und Umsetzung der Informationssicherheit (ISMS nach ISO 27001:2017 / ISO 27701:2019 / TISAX – VDA ISA / ISIS12)
  • Rechtliche Beratung bei der Organisation der Informationssicherheit (ISO 27001: 5.1)
  • Gestaltung von Informationssicherheitsrichtlinien (ISO 27001: 5.2)
  • Rechtliche Beratung des Informationssicherheitsbeauftragten und des Datenschutzbeauftragten (ISB / DSB) oder korrespondierender Fachabteilungen