Die aktuelle Bedrohungslage zeigt es deutlich: Die Wahrscheinlichkeit gehackt zu werden ist gross. Sind Sie vorbereitet und rechtlich gewappnet, falls dieser Fall eintritt? Können Sie Ihre technischen und organisatorischen Massnahmen belegen? Kennen Sie Ihre vertraglichen und gesetzlichen Pflichten, die Sie bei einer Cyber Attacke haben?
Aus den Erfahrungen des MME Cyber Risk Incident Response Teams haben wir ein neues Produkt für unsere Klienten entwickelt: das MME Legal Cyber Risk Readiness Assessment.
Unser Angebot
Unser erfahrenes Team von Anwälten führt zu einem Fixpreis eine umfassende rechtlich Analyse Ihrer Sicherheitsvorkehrungen durch. Dabei berücksichtigen wir gesetzliche Bestimmungen wie die Datenschutz-Grundverordnung (DSGVO), das neue Datenschutzgesetz (DSG), das Informationssicherheitsgesetz (ISG) sowie allfällige weitere anwendbaren Spezialgesetze. Wir bewerten Ihre aktuellen Sicherheitsmassnahmen und die erforderliche Dokumentation, identifizieren potenzielle Schwachstellen und schlagen Ihnen konkrete und auf Ihre Bedürfnisse zugeschnittene Massnahmen vor, wie Sie Ihre Risiken für den Fall eines Cyber Angriffs (Systemausfall-Risiken, Haftung gegenüber Kunden, Bussen, etc.) minimieren können.
Falls erforderlich bewerten wir unter Beizug technischer Experten auch Ihr technisches Set-up. Dazu gehören Ihre Netzwerksicherheit, Ihre Datenverwaltung, Ihre technischen Sicherheitsrichtlinien und -verfahren sowie Ihre allgemeine Sicherheitsarchitektur.
Unser Cyber Risk Readiness Assessment umfasst insbesondere:
- Umfassende Risikoanalyse: Wir identifizieren potenzielle Bedrohungen und Risiken für Ihr Unternehmen, sowohl intern als auch extern. Dazu gehören beispielsweise Angriffe von Hackern, Ransomware, Phishing, Social Engineering und interne Sicherheitsverletzungen.
- Schwachstellenbewertung und Gap-Analyse: Wir prüfen Ihre IT-Infrastruktur, Prozesse und Dokumentationen auf Schwachstellen und Sicherheitslücken. Hierbei werden sowohl technische als auch organisatorische Aspekte berücksichtigt. Zu beachten ist auch die Lieferkette (Risiken/Schwachstellen bei Suppliern)
- Vertragsanalyse (Verträge mit Lieferanten; Verträge mit Kunden: Wer haftet bei einer Cyber Attacke? Risikoallokation, Haftungsausschlüsse, Informationsrechte, etc.
- Compliance Check und rechtliche Aspekte: Wir prüfen, ob Ihre Sicherheitsmassnahmen und Prozesse den geltenden gesetzlichen Bestimmungen entsprechen (insbesondere DSGVO, DSG und Informationssicherheitsgesetz ISG, aber auch besondere Vorgaben aus Spezialgesetzen und FINMA Rundschreiben) und ausreichend dokumentiert sind. Wir haben dabei auch die Rechtsentwicklung und internationale Standards im Auge, wie NIST2, die Prinzipien des Basel Committee on Banking Supervision, ITIL v4, COBIT und den Digital Operational Resilience Act (Verodnung (EU) 2022/2554).
- Wir verfassen auf Wunsch einen entsprechenden Bericht.
Weiterführende Unterstützung, soweit erforderlich:
- Sicherheitsstrategie und -planung: Basierend auf den Ergebnissen der Risikoanalyse und Schwachstellenbewertung entwickeln wir eine massgeschneiderte und risikobasierte Sicherheitsstrategie für Ihr Unternehmen. Diese beinhaltet Empfehlungen für die Anpassung von Kundenverträgen und AGBs, Ergänzung der technischen und organisatorischen Massnahmen, um die Identifizierung, den Schutz, die Erkennung, die Reaktion und die Wiederherstellung im Falle von Sicherheitsvorfällen zu gewährleisten.
- Prävention und Krisenmanagement: Wir definieren oder optimieren mit Ihnen Notfallprozesse fest, definieren Verantwortlichkeiten und bereiten den Ernstfall vor.
- Incident Retainer: Wir offerieren einen Incident Response Retainer an, mit dem Sie unsere Ressourcen sichern und präventiv die Zusammenarbeit in einem Ernstfall regeln können.
- Schulungen und Sensibilisierung: Wir unterstützen Sie bei der Schulung der Leitungsorgane (VR, Behörden, Geschäftsleitung) und Ihrer Mitarbeiter um deren Sicherheitsbewusstsein zu stärken und sie über die neuesten Bedrohungen und besten Praktiken auf dem Laufenden zu halten.
- Compliance: Unsere Anwälte unterstützen Sie dabei, dass Ihre Sicherheitsmassnahmen und Prozesse den geltenden gesetzlichen Bestimmungen entsprechen (insbesondere DSGVO, DSG und Informationssicherheitsgesetz ISG, aber auch besondere Vorgaben aus Spezialgesetzen und FINMA Rundschreiben) und ausreichend dokumentiert sind.
Zum Schutz von Verwaltungsrat und Geschäftsleitung (Organhaftung) empfehlen wir ein Cyber Risk Readiness Assessment insbesondere für Behörden, Organisationen und Unternehmen, die gemäss Informationssicherheitsgesetz kritische Infrastrukturen betreiben:
- Hochschulen
- Bundes-, Kantons- und Gemeindebehörden
- Sicherheit und Rettung («Blaulichtorganisationen»), Trinkwasserversorgung, Abwasseraufbereitung und Abfallentsorgung
- Energieversorgung, Energiehandel, Energiemessung, Energiesteuerung
- Banken, Versicherungen, Finanzmarktinfrastrukturen
- Gesundheitseinrichtungen, die auf der kantonalen Spitalliste aufgeführt sind
- Medizinische Laboratorien mit einer Bewilligung des Epidemiengesetzes
- Arzneimittelunternehmen
- Sozialvorsorgeeinrichtungen
- SRG
- Nachrichtenagenturen von nationaler Bedeutung
- Anbieterinnen von Postdiensten
- Eisenbahn-, Seilbahn-, Trolleybus-, Autobus- und Schifffahrtsunternehmen
- Unternehmen der Zivilluftfahrt, Landesflughäfen
- Grossverteiler (Unternehmen, welche die Bevölkerung mit unentbehrlichen Gütern des täglichen Bedarfs versorgen und deren Ausfall oder Beeinträchtigung zu erheblichen Versorgungsengpässen führen würde)
- Fernmeldedienste
- Registerbetreiberinnen und Registrare von Internet Domains
- Anbieterinnen und Betreiberinnen von Cloudcomputing, Suchmaschinen, digitalen Sicherheits- und Vertrauensdiensten sowie Rechenzentren, sofern sie einen Sitz in der Schweiz haben
- Herstellerinnen von Hard- oder Software, deren Produkte von kritischen Infrastrukturen genutzt werden
Gerne stehen wir Ihnen zur Verfügung.
