Daten / Technologie / IP

Cyber Risk Readiness Assessment

Haben Sie im Bereich Cyber Security Ihre Hausaufgaben gemacht?

Die aktuelle Bedrohungslage zeigt es deutlich: Die Wahrscheinlichkeit gehackt zu werden ist gross. Sind Sie vorbereitet und rechtlich gewappnet, falls dieser Fall eintritt? Können Sie Ihre technischen und organisatorischen Massnahmen belegen? Kennen Sie Ihre vertraglichen und gesetzlichen Pflichten, die Sie bei einer Cyber Attacke haben?

Aus den Erfahrungen des MME Cyber Risk Incident Response Teams haben wir ein neues Produkt für unsere Klienten entwickelt: das MME Legal Cyber Risk Readiness Assessment.

Unser Angebot

Unser erfahrenes Team von Anwälten führt zu einem Fixpreis eine umfassende rechtlich Analyse Ihrer Sicherheitsvorkehrungen durch. Dabei berücksichtigen wir gesetzliche Bestimmungen wie die Datenschutz-Grundverordnung (DSGVO), das neue Datenschutzgesetz (DSG), das Informationssicherheitsgesetz (ISG) sowie allfällige weitere anwendbaren Spezialgesetze. Wir bewerten Ihre aktuellen Sicherheitsmassnahmen und die erforderliche Dokumentation, identifizieren potenzielle Schwachstellen und schlagen Ihnen konkrete und auf Ihre Bedürfnisse zugeschnittene Massnahmen vor, wie Sie Ihre Risiken für den Fall eines Cyber Angriffs (Systemausfall-Risiken, Haftung gegenüber Kunden, Bussen, etc.) minimieren können.

Falls erforderlich bewerten wir unter Beizug technischer Experten auch Ihr technisches Set-up. Dazu gehören Ihre Netzwerksicherheit, Ihre Datenverwaltung, Ihre technischen Sicherheitsrichtlinien und -verfahren sowie Ihre allgemeine Sicherheitsarchitektur.

Unser Cyber Risk Readiness Assessment umfasst insbesondere:

  • Umfassende Risikoanalyse: Wir identifizieren potenzielle Bedrohungen und Risiken für Ihr Unternehmen, sowohl intern als auch extern. Dazu gehören beispielsweise Angriffe von Hackern, Ransomware, Phishing, Social Engineering und interne Sicherheitsverletzungen.
  • Schwachstellenbewertung und Gap-Analyse: Wir prüfen Ihre IT-Infrastruktur, Prozesse und Dokumentationen auf Schwachstellen und Sicherheitslücken. Hierbei werden sowohl technische als auch organisatorische Aspekte berücksichtigt. Zu beachten ist auch die Lieferkette (Risiken/Schwachstellen bei Suppliern)
  • Vertragsanalyse (Verträge mit Lieferanten; Verträge mit Kunden: Wer haftet bei einer Cyber Attacke? Risikoallokation, Haftungsausschlüsse, Informationsrechte, etc.
  • Compliance Check und rechtliche Aspekte: Wir prüfen, ob Ihre Sicherheitsmassnahmen und Prozesse den geltenden gesetzlichen Bestimmungen entsprechen (insbesondere DSGVO, DSG und Informationssicherheitsgesetz ISG, aber auch besondere Vorgaben aus Spezialgesetzen und FINMA Rundschreiben) und ausreichend dokumentiert sind.  Wir haben dabei auch die Rechtsentwicklung und internationale Standards im Auge, wie  NIST2, die Prinzipien des Basel Committee on Banking Supervision, ITIL v4, COBIT und den Digital Operational Resilience Act (Verodnung (EU) 2022/2554).
  • Wir verfassen auf Wunsch einen entsprechenden Bericht.

Weiterführende Unterstützung, soweit erforderlich:

  • Sicherheitsstrategie und -planung: Basierend auf den Ergebnissen der Risikoanalyse und Schwachstellenbewertung entwickeln wir eine massgeschneiderte und risikobasierte Sicherheitsstrategie für Ihr Unternehmen. Diese beinhaltet Empfehlungen für die Anpassung von Kundenverträgen und AGBs, Ergänzung der technischen und organisatorischen Massnahmen, um die Identifizierung, den Schutz, die Erkennung, die Reaktion und die Wiederherstellung im Falle von Sicherheitsvorfällen zu gewährleisten.
  • Prävention und Krisenmanagement: Wir definieren oder optimieren mit Ihnen Notfallprozesse fest, definieren Verantwortlichkeiten und bereiten den Ernstfall vor.
  • Schulungen und Sensibilisierung: Wir unterstützen Sie bei der Schulung der Leitungsorgane (VR, Behörden, Geschäftsleitung) und Ihrer Mitarbeiter um deren Sicherheitsbewusstsein zu stärken und sie über die neuesten Bedrohungen und besten Praktiken auf dem Laufenden zu halten.
  • Compliance: Unsere Anwälte unterstützen Sie dabei, dass Ihre Sicherheitsmassnahmen und Prozesse den geltenden gesetzlichen Bestimmungen entsprechen (insbesondere DSGVO, DSG und Informationssicherheitsgesetz ISG, aber auch besondere Vorgaben aus Spezialgesetzen und FINMA Rundschreiben) und ausreichend dokumentiert sind.

Zum Schutz von Verwaltungsrat und Geschäftsleitung (Organhaftung) empfehlen wir ein Cyber Risk Readiness Assessment insbesondere für Behörden, Organisationen und Unternehmen, die gemäss Informationssicherheitsgesetz kritische Infrastrukturen betreiben:

  • Hochschulen
  • Bundes-, Kantons- und Gemeindebehörden
  • Sicherheit und Rettung («Blaulichtorganisationen»), Trinkwasserversorgung, Abwasseraufbereitung und Abfallentsorgung
  • Energieversorgung, Energiehandel, Energiemessung, Energiesteuerung
  • Banken, Versicherungen, Finanzmarktinfrastrukturen
  • Gesundheitseinrichtungen, die auf der kantonalen Spitalliste aufgeführt sind
  • Medizinische Laboratorien mit einer Bewilligung des Epidemiengesetzes
  • Arzneimittelunternehmen
  • Sozialvorsorgeeinrichtungen
  • SRG
  • Nachrichtenagenturen von nationaler Bedeutung
  • Anbieterinnen von Postdiensten
  • Eisenbahn-, Seilbahn-, Trolleybus-, Autobus- und Schifffahrtsunternehmen
  • Unternehmen der Zivilluftfahrt, Landesflughäfen
  • Grossverteiler (Unternehmen, welche die Bevölkerung mit unentbehrlichen Gütern des täglichen Bedarfs versorgen und deren Ausfall oder Beeinträchtigung zu erheblichen Versorgungsengpässen führen würde)
  • Fernmeldedienste
  • Registerbetreiberinnen und Registrare von Internet Domains
  • Anbieterinnen und Betreiberinnen von Cloudcomputing, Suchmaschinen, digitalen Sicherheits- und Vertrauensdiensten sowie Rechenzentren, sofern sie einen Sitz in der Schweiz haben
  • Herstellerinnen von Hard- oder Software, deren Produkte von kritischen Infrastrukturen genutzt werden

Gerne stehen wir Ihnen zur Verfügung.

Auszeichnungen

  • Legal 500

    MME Legal | Tax | Compliance advises companies from the technology and telecoms sectors as well as banks and health care providers on a variety of TMT matters, including IP and data protection mandates. The team is well-versed in fintech, IT, gaming and distributed ledger technologies and assists with outsourcing, relocation and distribution projects as well as advising on contractual matters. Practice head Martin Eckert specialises in blockchain and software issues, while Michael Kunz acts on technology transfers and focuses on fintech mandates and the regulation of distributed ledger technologies.

    MME Legal | Tax | Compliance has a strong presence in the Swiss technology and telecoms field and advises clients on a whole host of data privacy and data protection issues. The team, headed by Martin Eckert, conducts data protection assessments, provides assistance in cases of cybercrime in the form of a cyber risk response team and issues data protection certificates to signify compliance with Swiss and European data protection laws.

    Practice head(s): Dr. Martin Eckert

    Other key lawyers: Michael Kunz

  • Who's Who Legal

    • Dr. Martin Eckert: Global Leader in Data Privacy & Protection, Information Technology, Telecoms & Media 2021.
    • Dr. Martin Eckert: National Leader in Data 2021.
    • Dr. Andreas Glarner: National Leader in Data 2021.

    WWL says: At MME Martin Eckert is 'top notch'. As former judge at the Swiss Federal Appeal Commission for Intellectual Property, he has a 'wealth of knowledge' and is respected in the field.

    Martin Eckert is widely regarded by sources as a leading light in data protection and an expert in complex projects. 

    WWL says: Andreas Glarner earns acclaim from respondents this year thanks to his exceptional expertise in blockchain and cryptocurrencies. 

  • BILANZ Top Law Firms in Switzerland: "Technology and Telecommunications Law"

    MME Legal | Tax | Compliance was named one of the best law firms in the legal field "Technology and Telecommunications Law" 2021 in Bilanz. 

Ihr Team

Wir beraten Sie gerne umfassend und interdisziplinär in den Bereichen Recht, Steuern und Compliance.