Verstehen Sie die wichtigen Regelungen
Schutz eingeschränkt zugänglicher Informationen (CUI)
Was ist mit CUI-Schutz gemeint?
Diese US-amerikanische Vorschriftenreihe gibt den Umgang mit eingeschränkt zugänglichen Informationen (CUI, controlled unclassified information) bei Regierungsstellen und ihren Partnern im Privatsektor vor. Solche Regierungsdaten sind nicht als vertraulich oder geheim eingestuft, sind aber dennoch nicht zur Veröffentlichung bestimmt.
Wer sollte den CUI-Schutz berücksichtigen?
Regierungsstellen (bundesstaatliche Stellen) der USA und Privatunternehmen, die mit öffentlichen Stellen zusammenarbeiten, müssen die CUI-Regelungen befolgen.
Welche Systeme sind hiervon betroffen?
Alle Systeme, die sogenannte eingeschränkt zugängliche Informationen beinhalten, sind von dieser Regelung betroffen.
FISMA
Was ist FISMA?
FISMA steht für Federal Information Security Management Act (der US-Bundesregierung) und stellt Anforderungen für strenge Prozesse der Informationssicherheit zum Schutz von Regierungsdaten auf.
Wer sollte FISMA berücksichtigen?
FISMA betrifft Regierungsstellen und sonstige staatliche Stellen, die bundesstaatliche Programme verwalten, sowie Privatunternehmen, die mit Stellen der US-Bundesregierung zusammenarbeiten.
Welche Systeme sind hiervon betroffen?
FISMA betrifft alle Systeme, die sensible Daten von US-bundesstaatlichen Stellen speichern oder übermitteln.
DSGVO
Was ist die DSGVO?
Die Datenschutz-Grundverordnung (DSGVO) reguliert die Verarbeitung, Speicherung und Vernichtung von Personaldaten durch Unternehmen in der Europäischen Union (EU) und im Vereinigten Königreich (Großbritannien und Nordirland, kurz UK).
Wer sollte die DSGVO berücksichtigen?
Die DSGVO betrifft Unternehmen, die Personaldaten von EU-Bürgern, einschließlich UK, speichern oder verarbeiten. Das gilt auch dann, wenn der Unternehmenssitz außerhalb dieser Region liegt.
Welche Systeme sind hiervon betroffen?
Die DSGVO-Vorgaben betreffen alle Systeme, die Personaldaten behandeln, welche die Identität von EU-Bürgern, einschließlich UK, offenlegen.
HIPAA
Was ist HIPAA?
Das Kürzel steht für Health Insurance Portability and Accountability Act. Dieses Regelwerk der US-Regierung vereint Sicherheits- und Datenschutz-Vorgaben für Gesundheits-und Patientendaten.
Wer sollte HIPAA berücksichtigen?
Unternehmen im Gesundheitswesen, die elektronische Gesundheits-Aufzeichnungen und andere persönlichen Gesundheitsdaten (PHI) speichern, sowie Unternehmen, die für die eben genannten Firmen Serviceleistungen erbringen oder Funktionen erfüllen, müssen den HIPAA-Regelungen Folge leisten. Verstöße können zu beträchtlichen Strafen führen.
Welche Systeme sind hiervon betroffen?
Die HIPAA-Regelungen betreffen alle Systeme, die persönliche Gesundheitsdaten speichern oder übermitteln.
ITAR
Was ist ITAR?
Das Kürzel steht für International Traffic in Arms Regulations. Diese Vorschriften der US-Regierung regeln den Import von bestimmten Verteidigungsgütern und militärischen Ausrüstungen und Technologien in die USA und deren Export aus den USA.
Wer sollte ITAR berücksichtigen?
Die ITAR-Regelungen betreffen Unternehmen, die Güter oder Serviceleistungen erstellen oder vertreiben, welche in der United States Munitions List (USML, Liste der verteidigungs- oder raumfahrtrelevanten Güter) aufgeführt sind, sowie Firmen, die Verteidigungsgüter ans US-Verteidigungsministerium verkaufen.
Welche Systeme sind hiervon betroffen?
Systeme, die mit Daten über die Herstellung von Verteidigungswaffen und/oder mit vertraulichen Informationen über USML-Technologien in Verbindung stehen, sind von ITAR betroffen.
LGPD
Was ist LGPD?
LGPD ist das übergreifende Gesetz zum Schutz von Personaldaten in Brasilien. Es reguliert die Verarbeitung von Personaldaten und seine Zielsetzung ist, die grundlegenden Rechte auf Freiheit und Datenschutz zu wahren und den natürlichen Personen die freie Entfaltung ihrer Persönlichkeit zu ermöglichen.
Wer sollte LGPD berücksichtigen?
LGPD gilt für Unternehmen in folgenden Szenarien: - Wenn die Verarbeitung von Personaldaten a) in Brasilien stattfindet oder b) das Bereitstellen von Gütern oder Dienstleistungen das Ziel der Datenverarbeitung ist. - Wenn sich die betreffenden Personen zum Zeitpunkt der Sammlung ihrer Personaldaten in Brasilien befanden.
Welche Systeme sind hiervon betroffen?
Die LGPD-Regelungen betreffen alle Systeme, die Brasilien verarbeitete Personaldaten behandeln, welche die Identität von Personen offenlegen und deren Ziel das Bereitstellen von Gütern oder Dienstleistungen ist. Außerdem gelten die Regelungen dann, wenn sich die betreffenden Personen zum Zeitpunkt der Sammlung ihrer Personaldaten in Brasilien befanden.
NIST
Was ist NIST?
Die Rahmenordnung des National Institute of Standards and Technology (NIST) über Cybersicherheit enthält Leitlinien der US-Bundesregierung zum Schutz von Regierungsbehörden und Dienstleistern kritischer Infrastruktur vor Cyberangriffen.
Wer sollte die NIST berücksichtigen?
Die NIST betrifft Dienstleister kritischer Infrastruktur und sonstige Behörden sowie Privatunternehmen, die Leitlinien zur Verminderung von Cyberrisiken suchen.
Welche Systeme sind hiervon betroffen?
Die NIST-Rahmenordnung bietet Anleitungen zum Identifizieren, Schützen und Erkennen sensibler Daten und über eventuelle Reaktionen und die Rückgewinnung solcher Daten. Betroffen sind jegliche Systeme, die sensible Daten beinhalten.
PCI DSS
Was ist PCI DSS?
Das Kürzel steht für Payment Card Industry Data Security Standard. Dieses Regelwerk enthält Vorgaben für Unternehmen, die Daten von Karteninhabern behandeln, zum Verhindern von Verstößen und Betrug.
Wer sollte PCI DSS berücksichtigen?
Jede Stelle, die Zahlungskarten-Daten verarbeitet, speichert oder übermittelt, muss sich an die PCI-DSS-Regelungen halten.
Welche Systeme sind hiervon betroffen?
Die PCI-DSS-Regelungen betreffen alle Systeme und Netzwerke, die mit Daten von Karteninhabern interagieren.
SOX
Was ist SOX?
Die US-Regierung erschuf den Sarbanes-Oxley Act (SOX) gegen Betrug bei der Verwahrung von Finanz-Schriftgut und in der Berichterstellung für Unternehmen, die bei der SEC (US-Börsenaufsichtsbehörde) registriert sind.
Wer sollte den SOX berücksichtigen?
Börsennotierte Unternehmen aus den USA oder Übersee, die bei der SEC registriert sind, und Unternehmen, die Finanzdienstleistungen für solche Firmen erbringen, müssen die SOX-Vorgaben erfüllen.
Welche Systeme sind hiervon betroffen?
Systeme, die Finanzdaten für Unternehmen speichern oder über solche Daten berichten, sind zur Erfüllung von SOX verpflichtet.
Müssen Sie andere Regelungen erfüllen?
Wir helfen Ihnen! Chatten Sie jetzt mit einem Compliance-Experten.
Dienstleistungen über Compliance und Audit-Berichterstellung
Tätigen Sie den nächsten Schritt zur Compliance
Schritt zur Compliance
Vereinbaren Sie Ihren nächsten Audit mit Fortra und beenden Sie das Rätselraten um die Compliance.