NIS-Richtlinie

Die NIS-Richtlinie gilt – gemeint ist die Richtlinie EU/2016/1148 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union. Diese “Richtlinie zur Netz- und Informationssicherheit” (“NIS-Richtlinie”) trat nach langer Vorzeit am 08.08.2016 in Kraft, nachdem sie am 19.07.2016 im Amtsblatt der Europäischen Union veröffentlicht wurde. Mit dieser Richtlinie wird, nach ersten nationalen Schritten im Rahmen des IT-Sicherheitsgesetzes, weiter an der Regulierung der IT-Sicherheit durch den Gesetzgeber gearbeitet.

NIS-Richtlinie: Cybersicherheit auf EU-Ebene

Die Idee hinter der NIS-Richtlinie ist, ein europaweites Mindestsicherheitsniveau für digitale Technologien, Netze und digitale Dienste in den EU-Mitgliedern vorschreiben. Kern ist dabei, bestimmten Unternehmen und Organisationen eine Meldepflicht für gravierende Cybervorfälle aufzuerlegen. Dies soll nach der Vorstellung insbesondere gelten für:

  • Suchmaschinen,
  • Cloud-Anbieter,
  • Online-Zahlungsplattformen,
  • “bedeutende E‑Commerce-Websites”.

Im Kern wurde vieles in Deutschland schon durch das IT-Sicherheitsgesetz umgesetzt, allerdings dürfte sich im Bereich der Meldepflichten noch Bedarf des Nacharbeitens geben, da die EU-Richtlinie auch hervorgehobene Web-Dienste gesondert in den Fokus nimmt. Die Richtlinie siehtzudem vor, dass auf nationaler Ebene Computer-Notfallteams (CSIRTs) geschaffen werden, die europaweit zu vernetzen sind – auch hier hat Deutschland bereits erste Grundlagen geschaffen. Die Anforderungen an Unternehmen finden sich im Kapitel IV der Richtlinie. Hier finden sich insbesondere:

  • geeignete und verhältnismäßige technische und organisatorische Maßnahmen um die Risiken für die Sicherheit zu bewältigen, Ansatzpunkt ist hier der “Stand der Technik” was man aus dem IT-Sicherheitsgesetz kennt;
  • vorbeugende Maßnahmen gegen Angriffe;
  • Meldepflicht von sicherheitsrelevanten Vorfällen, wobei die Behörde selbstständig die Öffentlichkeit unterrichten kann.

Insgesamt wirkt es derzeit so, dass zwar im Detail Veränderung kommen müssen, aber insgesamt mit dem IT-Sicherheitsgesetz ein erheblicher Teil der Arbeit in Deutschland schon vorgeleistet wurde.

NIS-Richtlinie: Historie der NIS-Richtlinie

Mit der NIS-Richtlinie wird die Cybersicherheit europaweit in den Fokus gerückt. Nach jahrelangem dahin dümpeln gab es am 18. Dezember 2015 bereits einen “Durchbruch” bei den Verhandlungen. Nachdem im Mai 2016 dann der Europäische Rat die NIS-Richtlinie angenommen hatte und am 06.07.2016 das europäische Parlament zustimmte, steht nun im August 2016 das Inkrafttreten der NIS-Richtlinie an.

Danach, weil es eine Richtlinie und keine Verordnung ist, müssen die einzelnen Staaten die Vorgaben der Richtlinie nunmehr durch nationale Gesetze umsetzen.

Kritik an der NIS-Richtlinie

Durchaus zu Recht weist Schallbruch darauf hin, dass mit der NIS-Richtlinie und dem IT-Sicherheitsgesetz im Ergebnis eine interessante Zersplitterung der Regelungen zur IT-Sicherheit zu beobachten ist.  Dies zeigt sich auch an der nur schrittweisen Umsetzung in Deutschland in verschiedenen Schritten an verschiedenen Stellen.

 

Dienste im Sinne der IT-Sicherheit

Es gibt am Ende mehrere Dienste, die teilweise ausdrücklich vorgesehen sind, aber auch sich als faktisches Ergebnis darstellen und für die dann jeweils eigene Sicherheitsstufen existieren:

  • Kritische Dienste (KRITIS), die in der Richtlinie als “wesentliche Dienste” beschrieben sind;
  • digitale Dienste, hierzu gehören Online-Marktplätze, Online-Suchmaschinen und Cloud-Computing-Dienste, wobei es aber Ausnahmen für Kleinstunternehmer gibt;
  • Telemedien allgemein, für die im Telemediengesetz seit dem IT-Sicherheitsgesetz allgemeine Sicherheitsvorgaben gemacht werden.

Umsetzung der NIS-Richtlinie in Deutschland

Am 25. Januar 2017 hat das Bundeskabinett den Gesetzesentwurf zur Umsetzung der EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS-Richtlinie) beschlossen. Diese lange umkämpfte Richtlinie schafft einen einheitlichen EU-weiten Rechtsrahmen zur Stärkung der IT-Sicherheit und sieht Mindestanforderungen und Meldepflichten für bestimmte digitale Dienste vor.

Link: Das Gesetzgebungsverfahren ist hier dokumentiert.

Die “NIS-Richtlinie” (Richtlinie (EU) 2016/1148) soll die IT-Sicherheit europaweit stärken, existiert aber erst seit 2016. Bereits 2015 hatte Deutschland mit dem IT-Sicherheitsgesetz das Thema aufgegriffen und teilweise Regelungen umgesetzt, die später durch die NIS-Richtlinie vorgesehen waren. Es besteht aber weiterer Regelungsbedarf, da die NIS-Richtlinie noch weitere Regelungen vorsieht die bisher nicht umgesetzt sind. Zeit dafür ist noch genug vorhanden: Die Nationalstaaten müssen die am 8. August 2016 in Kraft getretene NIS-Richtlinie bis zum 10. Mai 2018 in nationales Recht umsetzen. Mit dem nun vorliegenden Entwurf wird dieser Schritt angegangen.

Allerdings wurde ja schon früher durch das IT-Sicherheitsgesetz ein wesentlicher Teil der Thematik IT-Sicherheit angegangen, so dass ein Teil der NIS-Richtlinie durch das IT-Sicherheitsgesetz bereits umgesetzt war und nun quasi “der Rest” in einem gesonderten Schritt folgt, wobei der Gesetzgeber ergänzend wohl nur noch das BSI-Gesetz anpassen möchte.

Weitere Vorgaben für digitale Dienste

Seit dem IT-Sicherheitsgesetz existiert ein zweistufiges System: Zum einen gibt es die kritischen Dienste (KRITIS), die sehr hohe Sicherheitsanforderungen haben. Es gibt aber auch die reinen Telemediendienste, die die allgemeine gesetzliche Pflicht trifft, den Stand aktueller Sicherheit zu gewährleisten. Die NIS-Richtlinie sieht aber noch eine Zwischenstufe vor, die nunmehr geschaffen wird: Die Digitalen Dienste. Dies sind nach dem neuen §2 Abs.11 BSIG:

  • Online-Markplätze, die definiert werden als Dienste, die es Verbrauchern oder Unternehmen ermöglichen, Kaufverträge oder Dienstleistungsverträge mit Unternehmern entweder auf der Website dieser Dienste oder auf der Website eines Unternehmers, die von diesen Diensten bereitgestellte Rechendienste verwendet, abzuschließen – also trifft dies im Ergebnis wohl auch Online-Shops!;
  • Online-Suchmaschinen, die es ermöglichen, Suchen grundsätzlich auf allen Websites oder auf Websites in einer bestimmten Sprache anhand einer Abfrage zu einem beliebigen Thema in Form eines Stichworts, einer Wortgruppe oder einer anderen Eingabe vorzunehmen, die daraufhin Links anzeigen, über die der Abfrage entsprechende Inhalte abgerufen werden können;
  • Cloud-Computing-Dienste,  die den Zugang zu einem skalierbaren und elastischen Pool gemeinsam nutzbarer Rechenressourcen ermöglichen.

Anbieter digitaler Dienste trifft dann eine Reihe von Pflichten: Sie müssen insbesondere ihren Sicherheitsstandard prüfen und dokumentieren, das BSI kann diese Dokumentationen unter Umständen anfordern. Bei besonderen sicherheitsrelevanten Vorfällen besteht eine Meldepflicht an das BSI. Bei Mängeln hinsichtlich der Sicherheitsvorkeherungen kann das BSI die Abhilfe verlangen und Auflagen vorsehen. Allerdings sind Kleinstunternehmer von diesen Vorgaben befreit!

Mögliche Notfallteams

Ein Kernanliegen wird im neuen §5a umgesetzt: Anbieter von KRITIS können bei besonders erheblichen Vorfällen anfordern, dass Sie – ohne gesonderte Kosten! – vom BSI zur Inbetriebnahme unterstützt werden. Die Idee ist, dass das BSI mobile Notfall-Teams bereit hält, die dann zum Einsatz kommen, so der Bundesminister laut Pressemitteilung des BMI dazu:

“Wir schaffen mit dem Gesetz eine Rechtsgrundlage für den Einsatz so genannter Mobiler Incident Response Teams („MIRTs“). Das Bundesamt für Sicherheit in der Informationstechnik wird zukünftig die Verwaltung und Betreiber kritischer Infrastrukturen auf deren Ersuchen hin bei herausgehobenen Sicherheitsvorfällen unterstützen können. Der Schutz von Staat, Wirtschaft und der Bevölkerung vor erheblichen Cyber-Sicherheits-Vorfällen wird damit weiter verbessert.”

Fazit: Erhebliche Pflichten mit der Umsetzung der NIS-Richtlinie

Die Umsetzung der NIS-Richtlinie geht den konsequenten Weg noch eine Abstufung zwischen KRITIS und sonstigen Telemediendiensten vorzunehmen.  Die Anforderungen sind auch nicht zu massiv, in erster Linie geht es darum, dass Anbieter Sicherheitskonzepte zu erstellen haben, wozu auch ein BCM-Konzept (Business Continuity Management, englisch für Betriebliches Kontinuitätsmanagement) gehören dürfte. Auch wenn hier zwar Bußgelder drohen, so wird das BSI wohl bei seinem bisherigen Ansatz bleiben, Kooperativ zu arbeiten, also nicht gleich mit Sanktionen zu drohen, sondern Anbieter eher zu unterstützen.

Als digitale Dienste dürften sich insbesondere Online-Shops und Systemhäuser betroffen sehen, die nun – endlich – dazu angehalten sind, Sicherheitskonzepte bereit zu halten. Durch die Ausnahmeklausel für Kleinstunternehmer steht auch keine Überforderung im Raum, zudem wurde eine Übergangszeit bis zum 10. Mai 2018 vorgesehen. Es wird jetzt Zeit, das Thema anzugehen soweit noch nicht geschehen.

Informationen zur NIS-Richtlinie

One Reply to “NIS-Richtlinie”

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.