Cyberhygiene: Was ist das eigentlich?
DP+
Bild: iStock.com/mikkelwilliam
Unklarer Begriff in NIS 2
Die EU-NIS-2-Richtlinie verwendet den Begriff „Cyberhygiene“, ohne ihn zu definieren, ein Problem, das auch in den darauffolgenden Gesetzesentwürfen besteht. Es ist höchste Zeit, den Begriff einzuordnen.
Die EU-Richtlinie 2022/2555 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union vom 14. Dezember 2022, kurz NIS-2-Richtlinie, gestaltet die Anforderungen an die IT-Sicherheit von Unternehmen und Behörden weitgehend neu. Beim Lesen der Richtlinie fällt in Art. 7 Abs. 2 Buchst. f sowie in Art. 21 Abs. 2 Buchst. g ein neues Wort auf: Cyberhygiene. Leider ist der Begriff unter den 41 Begriffsdefinitionen in Art. 6 der Richtlinie nicht zu finden. Damit stellt sich die Frage, was sich dahinter verbirgt.
Eine Basishygiene ist im Gesundheitswesen eine absolute Notwendigkeit, um Infektionen und Erkrankungen zu vermeiden. Ohne sie gefährden wir uns und andere. Dieses Verständnis von grundlegenden Maßnahmen zum vorbeugenden Infektionsschutz müssen wir aus der Medizin auf die IT-Sicherheit übertragen.
Drei Stufen der technischen Sicherheit
Nachdem die Datenschutz-Grundverordnung (DSGVO) in Art. 25 und 32 den Begriff „Stand der Technik“ verwendet, sind wir einem wichtigen Begriff bereits begegnet. Es handelt sich um die mittlere Stufe der drei Generalklauseln zur Regelung technischer Sicherheitsvorgaben:
- allgemein anerkannte Regeln der Technik
- Stand der Technik
- Stand von Wissenschaft und Technik
Diese drei Stufen hat das Bundesverfassungsgericht in seinem Kalkar-I-Beschluss von 1978 (BVerfGE 49, 89 ff.) erstmals verwendet. Sie haben Eingang in das „Handbuch der Rechtsförmlichkeit“ gefunden, also in die offizielle „Anleitung“ zum Schreiben von Gesetzen.
Cyberhygiene als „allgemein anerkannte…
Verfasst von
Prof. Dr. Rainer W. Gerling
Prof. Dr. Rainer W. Gerling ist IT-Sicherheitsbeauftragter der Max-Planck-Gesellschaft und stellv. Vorsitzender des Vorstands der GDD e.V.
