Cyber-Security Richtlinie, Dezember 2015

Am 7. Dezember 2015 haben sich der EU-Ministerrat und das Europaparlament über den Erlass einer Cyber-Security Richtlinie (Network and Information Security Directive: NIS) geeinigt. Mit dieser sollen die nationalen Vorschriften harmonisiert und ein höheres Schutzniveau an Sicherheit in den Bereichen Energie, Transport, Finanzwesen, digitale Infrastruktur, Gesundheit und Wasserversorgung erreicht werden.

Die erzielte Einigung bedarf zunächst noch der offiziellen Zustimmung von Ministerrat und Europaparlament, wobei dies reine Formsache sein dürfte. Danach soll sie veröffentlicht werden. Ab Veröffentlichung bleiben den Mitgliedstaaten 21 Monate zur Umsetzung der Richtlinie und weitere sechs Monate, um die relevanten Akteure in diesen Bereichen zu ermitteln.

Aufgrund der Richtlinie werden die einzelnen Mitgliedstaaten verpflichtet, alle relevanten Akteure in den oben genannten Bereichen zu ermitteln und zu benennen. Als Kriterien sollen die Bedeutung des Akteurs für die Gesellschaft und Wirtschaft des Landes, seine Abhängigkeit vom Zugriff auf Netzwerk- und Informationssysteme und der durch einen Cyber-Angriff mögliche Schaden auf seinen Geschäftsbetrieb oder die öffentliche Sicherheit dienen.

Die relevanten Akteure im Bereich digitale Infrastruktur dürften vor allem Betreiber von Internetknotenpunkten, DNS-Provider und TLD-Registrare sein. Explizit mit in die Richtlinie aufgenommen sind dem Vernehmen nach auch Plattformbetreiber wie Onlinemarktplätze, Cloud-Computing-Dienste und Suchmaschinenprovider. Die sozialen Netzwerke sollen hingegen nicht mehr vom Richtlinienentwurf umfasst und ebenso wie kleine und mittelständische Unternehmen nicht von den Regelungen betroffen sein.

Im Wege der Umsetzung sollen die relevanten Akteure verpflichtet werden, erweiterte Sicherheitsmaßnahmen zu treffen und jeden IT-Vorfall an die nationalen Aufsichtsbehörden zu melden. Eine Melde- und Aufklärungspflicht gegenüber den Nutzern, insbesondere bei Plattformbetreibern, ist offenbar nicht vorgesehen.

Bezüglich einer Meldepflicht auch für öffentliche Institutionen konnte sich die Kommission offenbar nicht durchsetzen, da diese im aktuellen Entwurf nicht mehr enthalten sein soll.

In Deutschland wirft das vor allem die Frage auf, inwieweit die Richtlinie mit dem erst im Juli dieses Jahres in Kraft getretenen IT-Sicherheitsgesetz übereinstimmt. Abschließend wird man dies erst nach Veröffentlichung der Richtlinie sagen können. Klar ist jedoch schon jetzt, dass in manchen Bereichen die Überarbeitung des deutschen IT-Sicherheitsgesetzes nötig sein wird. So wird beispielsweise der Anwendungsbereich des IT-Sicherheitsgesetzes künftig auch auf die bisher nicht umfassten Plattformbetreiber zu erweitern sein. Ob auch die Anforderungen an die Sicherheitskonzepte der relevanten Akteure und die Meldepflichten angepasst werden müssen, bleibt abzuwarten.