Cyber-Security Richtlinie, Dezember 2015

Am 7. Dezember 2015 haben sich der EU-Ministerrat und das Europaparlament über den Erlass einer Cyber-Security Richtlinie (Network and Information Security Directive: NIS) geeinigt. Mit dieser sollen die nationalen Vorschriften harmonisiert und ein höheres Schutzniveau an Sicherheit in den Bereichen Energie, Transport, Finanzwesen, digitale Infrastruktur, Gesundheit und Wasserversorgung erreicht werden.

Die erzielte Einigung bedarf zunächst noch der offiziellen Zustimmung von Ministerrat und Europaparlament, wobei dies reine Formsache sein dürfte. Danach soll sie veröffentlicht werden. Ab Veröffentlichung bleiben den Mitgliedstaaten 21 Monate zur Umsetzung der Richtlinie und weitere sechs Monate, um die relevanten Akteure in diesen Bereichen zu ermitteln.

Aufgrund der Richtlinie werden die einzelnen Mitgliedstaaten verpflichtet, alle relevanten Akteure in den oben genannten Bereichen zu ermitteln und zu benennen. Als Kriterien sollen die Bedeutung des Akteurs für die Gesellschaft und Wirtschaft des Landes, seine Abhängigkeit vom Zugriff auf Netzwerk- und Informationssysteme und der durch einen Cyber-Angriff mögliche Schaden auf seinen Geschäftsbetrieb oder die öffentliche Sicherheit dienen.

Die relevanten Akteure im Bereich digitale Infrastruktur dürften vor allem Betreiber von Internetknotenpunkten, DNS-Provider und TLD-Registrare sein. Explizit mit in die Richtlinie aufgenommen sind dem Vernehmen nach auch Plattformbetreiber wie Onlinemarktplätze, Cloud-Computing-Dienste und Suchmaschinenprovider. Die sozialen Netzwerke sollen hingegen nicht mehr vom Richtlinienentwurf umfasst und ebenso wie kleine und mittelständische Unternehmen nicht von den Regelungen betroffen sein.

Im Wege der Umsetzung sollen die relevanten Akteure verpflichtet werden, erweiterte Sicherheitsmaßnahmen zu treffen und jeden IT-Vorfall an die nationalen Aufsichtsbehörden zu melden. Eine Melde- und Aufklärungspflicht gegenüber den Nutzern, insbesondere bei Plattformbetreibern, ist offenbar nicht vorgesehen.

Bezüglich einer Meldepflicht auch für öffentliche Institutionen konnte sich die Kommission offenbar nicht durchsetzen, da diese im aktuellen Entwurf nicht mehr enthalten sein soll.

In Deutschland wirft das vor allem die Frage auf, inwieweit die Richtlinie mit dem erst im Juli dieses Jahres in Kraft getretenen IT-Sicherheitsgesetz übereinstimmt. Abschließend wird man dies erst nach Veröffentlichung der Richtlinie sagen können. Klar ist jedoch schon jetzt, dass in manchen Bereichen die Überarbeitung des deutschen IT-Sicherheitsgesetzes nötig sein wird. So wird beispielsweise der Anwendungsbereich des IT-Sicherheitsgesetzes künftig auch auf die bisher nicht umfassten Plattformbetreiber zu erweitern sein. Ob auch die Anforderungen an die Sicherheitskonzepte der relevanten Akteure und die Meldepflichten angepasst werden müssen, bleibt abzuwarten.

Cyber-Security Richtlinie, Dezember 2015

 
BB NL IPITMedien Cyber_Security Richtlinie.pdf

Experten

Dr. Andreas Lob Dr. Andreas Lober
Partner
Dr. Andreas Lober
Partner
E-Mail Anruf
Compliance
Games
Gewerblicher Rechtsschutz, Urheberrecht & Unlauterer Wettbewerb
Informationstechnologie, Telekommunikation
Kartellrecht
Medien, Musik, Unterhaltung, Kultur, Verlage
Mergers & Acquisitions
Start-ups / Venture Capital
Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!
Tel. +49 69 756095-582
Compliance
Games
Gewerblicher Rechtsschutz, Urheberrecht & Unlauterer Wettbewerb
Informationstechnologie, Telekommunikation
Kartellrecht
Medien, Musik, Unterhaltung, Kultur, Verlage
Mergers & Acquisitions
Start-ups / Venture Capital