Cybersecurity Compliance in den USA: Deutlich komplexer als in der EU!
von , veröffentlicht am 12.09.2023Wer der Meinung ist, dass das europäische Cybersecurity-Recht komplex ist, hat noch keinen Blick in die US-amerikanische Regulierung zum Thema geworfen! Aktuell beschäftige ich mich im Rahmen internationaler Cybersecurity Compliance verstärkt mit dem US-Recht. Herausforderung dabei: Zum einen gibt es hier kein zentrales Cybersecurity-Gesetz, zum anderen führt die Verteilung der Rechtsetzung auf Bund und Bundesstaaten zu einer wahren Vielzahl an Regelungen, die von freiwilligen Vorgaben zur Selbstregulierung bis hin zu konkreten Meldepflichten bei Ransomware-Zahlungen reichen und teils nur mittelbar in der Auslegung auf die Cybersicherheit referenzieren. Im Vergleich der US-Bundesstaaten zueinander ist natürlich Kalifornien ein Vorreiter, was den Umgang mit Cybersecurity, IoT und Data Breaches anbelangt, aber auch nicht ohne guten (politischen) Grund, indem hier seitens Big Tech noch eine verstärkte Einflussnahme auf die Rechtsetzung möglich ist, um übergreifende und landesweite Standards zu setzen. Der Blick auf Regelungen im US-Bundesrecht verdeutlicht darüber hinaus die Vielschichtigkeit der Gesetze und die unterschiedlichsten Infrastrukturen, die mit Pflichten zur Cyber Compliance adressiert werden:
- Mit dem „Sarbanes-Oxley-Act“ werden IT-Sicherheitsanforderungen an Unternehmen angelegt, die an Wertpapierbörsen gehandelt werden.
- Der „Financial Services Modernization Act“ (auch „Gramm-Leach-Bliley Act” genannt) enthält Anforderungen an die Sicherstellung und Geheimhaltung persönlicher Finanzinformationen für Unternehmen, die Kunden Finanzprodukte und entsprechende Services anbieten.
- Der „Cybersecurity Information Sharing Act“ (CISA) stellt einen verstärkten Informationsaustausch zwischen der US-Regierung und privaten Unternehmen in Bezug auf Cybersicherheit sicher und will dieses Ziel u.a. durch Haftungserleichterungen erreichen.
- Der „Internet of Things Cybersecurity Improvement Act” verbessert das IT-Sicherheitsniveau speziell von IoT, die sich im Besitz bzw. Betrieb von US-Regierungsstellen befindet.
- Mit dem „Cybersecurity and Infrastructure Security Agency Act” wurde die „Cybersecurity and Infrastructure Security Agency” (CISA) als eine der zentralen US-Cybersicherheitsbehörden errichtet.
- Der „Cyber Incident Reporting for Critical Infrastructure Act” (CIRCIA) enthält Cyber-Meldepflichten für Kritische Infrastrukturen und ebenso für Ransomware-Zahlungen – einem Thema, zu dem hierzulande und in der EU aktuell politisch noch debattiert wird.
- Mit dem „Federal Information Security Management Act” (FISMA) werden US-Bundesbehörden und vertraglich mit ihnen verbundene private Stellen zu Maßnahmen der Informationssicherheit verpflichtet.
- Der „Health Insurance Portability and Accountability Act” (HIPAA) regelt schließlich die Anforderungen zur sicheren Speicherung von Gesundheitsdaten unter Verwendung administrativer, physischer und technischer Sicherheitsstandards.
Hinweise zur bestehenden Moderationspraxis
Kommentar schreiben
1 Kommentar
Kommentare als Feed abonnierenDr. Axel Spies kommentiert am Permanenter Link
Absolut: Hinzu kommen z.B. noch die diversen Cybersecurity Initiativen des Weißen Hauses mit den dazugehörigen Executive Orders https://www.whitehouse.gov/briefing-room/presidential-actions/2021/05/12...