T-O-Ms:
Nach Art. 32 DS-GVO sind Verantwortliche und Auftragsverarbeiter verpflichtet geeignete technische und organisatorische Maßnahmen (kurz: TOM) zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.

 



Verfahrensbeschreibungen:
Bei Verfahrensbeschreibungen geht es darum, dass man erfasst, welche Daten überhaupt verarbeitet werden. Dazu sollen werden der Zweck, die Rechtsgrundlage, die Speicherdauer swie die Rechtsgrundlage der Datenerfassung benannt werden.

 



Risiko-Folgenabschätzungen:
Hier geht es um die Folgenabschätzung eines Datenmissbrauchs: Was würde passieren, wenn die Daten in falsche Hände geraten würden? Im Datenschutz-Sprech wird das "Datenschutz-Folgeabschätzung" genannt. Aus der Analyse sollen entsprechend angemessene Maßnahmen abgeleitet werden.

 



Neuland:
Datenschutz im Internet: Websitebetreibern werden bestimmte Pflichten auferlegt, um den Datenschutz der Seitenbesucher zu gewährleisten. Hier geht es um das Erfüllen dieser Auflagen.

CMMC - Cybersecurity Maturity Model Certification

Erstmals wurde im Mai 2019 vom Pentagon angekündigt, dass eine Cybersecurity Qualifizierung für Dienstleister des Departments of Defense („DoD“) geschaffen werden sollte. Bestimmte Tätigkeiten werden vom DoD outgesourct und da geht es dem DoD genauso, wie jedem anderen Unternehmen, dass bestimmte Verarbeitungstätigkeiten auslagert: Die Sicherheit des Gesamtsystems ist genauso hoch, wie die Sicherheit des schwächsten Gliedes.

Insofern hilft hier natürlich die ganzheitliche Problembetrachtung. Das Programm nennt sich „CMMC“ - Cybersecurity Maturity Model Certification. Das Konzept zielt darauf ab, die Einhaltung der föderalen Cybersicherheitsvorschriften rund um kontrollierte, nicht klassifizierte Informationen (CUI) durch ein Unternehmen zu zertifizieren. Im Ziel soll eine Risikoqualifikation (und Ertüchtigung) an allen Stellen der Lieferkette angestrebt werden. Ab 2020 sollen die Lieferanten-Unternehmen durch externe Audits deren Compliance nachweisen.

Insgesamt werden fünf Reifegradstufen unterschieden:

  • CMMC Level 1 | Basic Cyber Hygiene | 17 security controls (NIST SP 800-171 rev 1)
  • CMMC Level 2 | Intermediate Cyber Hygiene | 46 security controls (NIST SP 800-171 rev 1)
  • CMMC Level 3 | Good Cyber Hygiene | 47 security controls (NIST SP 800-171 rev 1)
  • CMMC Level 4 | Proactive | 26 security controls (NIST SP 800-171B)
  • CMMC Level 5 | Advanced/Progressive | 4 security controls (NIST SP 800-171B)

Hier gibt es detailliert Infos zu dem System direkt vom DoD: https://www.acq.osd.mil/cmmc/faq.html

Datenschutz Bochum meint: Die ganzheitliche Betrachtungsweise von Cybersicherheit über die gesamte Lieferkette ist überfällig. Wir sitzen alle in einem Boot.