Jüngst wurde das europäische Gesetzgebungsverfahren zur „Richtlinie über Maßnahmen zur Gewährleistung einer hohen gemeinsamen Netz- und Informationssicherheit in der Union“ (kurz: NIS-RL) als zentraler Bestandteil der Cyber-Sicherheitsstrategie der EU abgeschlossen. Der Gesetzgebungsprozess wurde im Februar 2013 von der EU-Kommission als zentraler Bestandteil der europäischen Cyber-Sicherheitsstrategie initiiert und war von einigen Schwierigkeiten inhaltlicher wie prozeduraler Art geprägt. Im Laufe des vergangenen Jahres jedoch wurden unter der lettischen und luxemburgischen Ratspräsidentschaft wesentliche Einigungen erzielt, die letztlich dazu beitrugen, dass die NIS-RL wie jüngst auch für den Herbst 2016 angekündigt am 8. August in Kraft treten konnte. Das Gesetzgebungsverfahren hat nicht nur zu einigen inhaltlichen Neuerungen des Unionsrechtsaktes geführt, sondern auch dessen Name wurde geändert. Die aktuelle Fassung lautet nunmehr „Richtlinie über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der EU“ – an der Abkürzung ändert sich dadurch freilich nichts.
Bei der NIS-RL handelt es sich um einen Rechtsakt, der nicht an die einzelnen Betreiber Kritischer Infrastrukturen und so genannter digitaler Dienste gerichtet ist, sondern von seiner Rechtsnatur die Mitgliedstaaten der EU adressiert. Diese sind zunächst verpflichtet, innerhalb der durch die Richtlinie vorgegebenen Fristen nationale gesetzliche Regelungen zu erlassen, welche die Vorgaben der NIS-RL auf angemessene Weise umzusetzen geeignet sind. Erst hierdurch werden die privaten Stellen verpflichtet. Durch das IT-Sicherheitsgesetz (IT-SiG) als Artikelgesetz wurden im vergangenen Jahr bereits verschiedene Vorschriften die IT-Sicherheit betreffend geändert, vorrangig das TKG, TMG, EnWG und das BSIG. Es ist davon auszugehen, dass ein ebensolches zweites Artikelgesetz für die Umsetzung der rechtlichen Vorgaben aus der NIS-RL Sorge tragen wird. Dabei gilt der Grundsatz der Mindestharmonisierung, der auch ausdrücklich im Richtlinientext aufgegriffen wird: Die Mitgliedstaaten können eigenständig durchaus auch ein höheres IT-Sicherheitsniveau schaffen, als es durch die EU vorgegeben wird, was Deutschland durch das IT-SiG bereits in einigen Fällen getan hat.
Das zentrale Ziel der NIS-RL ist die Umsetzung einer einheitlichen europäischen Cyber-Sicherheitsstrategie, die unter anderem auch der Erhaltung der Funktionsfähigkeit des Binnenmarktes dienen soll. Hierauf basierend werden verschiedene Umsetzungspflichten bestimmt, die sowohl die nationale IT-Sicherheit der Einzelstaaten betreffen, aber auch den Aufbau eines europäischen Cyber-Sicherheitsverbundes regeln sollen. Dazu gehören die Festlegung einer nationalen NIS-Strategie, die Einrichtung einer Kooperationsgruppe zur strategischen Zusammenarbeit und für den interstaatlichen Informationsaustausch zur IT-Sicherheit, die Einrichtung eines CSIRTs-Netzwerks (Computer Security Incident Response Teams Network) zur Förderung der operativen interstaatlichen Zusammenarbeit im Bereich der IT-Security, die Festlegung von Sicherheitsanforderungen und Meldepflichten für die Betreiber wesentlicher Dienste und für Anbieter digitaler Dienste sowie die Benennung von nationalen IT-Sicherheitsbehörden, zentralen Anlaufstellen sowie von CSIRTs.
Der Anwendungsbereich der Richtlinie trifft darüber hinaus verschiedene Ausnahmen für Betreiber öffentlicher Kommunikationsnetze (RL 2002/21/EG), Betreiber öffentlich zugänglicher elektronischer Kommunikationsdienste (RL 2002/21/EG), Vertrauensdiensteanbieter (VO Nr. 910/2014) und für die Verarbeitung personenbezogener Daten gemäß EU-Datenschutzrecht (EU-DSRL, EU-DSGVO). Sektorspezifische Vorschriften des EU-Rechts sind vorrangig. Für Kleinstunternehmen werden ebenso Ausnahmen vorgesehen, dies jedoch nicht durch die Richtlinie selbst, sondern durch die Ermittlung von Schwellenwerten, ähnlich auch dem IT-SiG.
Die NIS-RL untergliedert sich in ihrem Aufbau in sieben Kapitel mit insgesamt 27 Artikeln und drei Anhänge:
- Im Vorfeld befinden sich die Erwägungsgründe, die zur Auslegung der einzelnen Vorschriften herangezogen werden können.
- Kapitel 1 enthält allgemeine Bestimmungen, die für alle folgenden Abschnitte gelten (Gegenstand und Anwendungsbereich; Verarbeitung personenbezogener Daten; Mindestharmonisierung; Begriffsbestimmungen; Ermittlung der Betreiber wesentlicher Dienste; Erhebliche Störung).
- Das Kapitel 2 beschäftigt sich im Schwerpunkt mit dem nationalen Rahmen für die Sicherheit von Netz- und Informationssystemen (Nationale Strategie für die Sicherheit von Netz- und Informationssystemen; Nationale zuständige Behörden und zentrale Anlaufstelle; Computer-Notfallteams (CSIRTs); Zusammenarbeit auf nationaler Ebene).
- Im dritten Kapitel steht die mitgliedstaatliche Zusammenarbeit auf europäischer Ebene im Vordergrund (Kooperationsgruppe; CSIRTs-Netzwerk; internationale Zusammenarbeit).
- Kapitel 4 enthält spezielle Anforderungen an die Sicherheit der Netz- und Informationssysteme für die Betreiber der sog. wesentlichen Dienste, diese sind mit den Kritischen Infrastrukturen nach deutschem Recht vergleichbar (Sicherheitsanforderungen und Meldung von Sicherheitsvorfällen; Umsetzung und Durchsetzung).
- Das fünfte Kapitel befasst sich mit den Spezialanforderungen für die Sicherheit der Netz- und Informationssysteme von Anbietern digitaler Dienste (Sicherheitsanforderungen und Meldung von Sicherheitsvorfällen; Umsetzung und Durchsetzung; Gerichtliche Zuständigkeit und Territorialität).
- Die Normung und freiwillige Meldemöglichkeit für unkritische Strukturen sind Schwerpunkt des sechsten Kapitels.
- Kapitel 7 enthält die Schlussbestimmungen (Sanktionen; Ausschussverfahren; Überprüfung; Übergangsmaßnahmen; Umsetzung; Inkrafttreten; Adressaten).
Die Anhänge I bis III der NIS-RL enthalten Konkretisierungen der zuvor getroffenen Vorgaben:
- Anhang I definiert die genauen Anforderungen, die an das Computer Security Incident Response Team (CSIRT) angelegt werden, ebenso dessen Aufgaben.
- Anhang II ähnelt der BSI-KritisV: Hier werden die einzelnen Sektoren, Teilsektoren und Einrichtungsarten aufgelistet, die als wesentliche Dienste im Sinne der NIS-RL zu bestimmen sind. Für den Sektor Energie sind dies die Teilsektoren Elektrizität, Erdöl und Erdgas, als Einrichtungsarten werden unter anderem Elektrizitätsunternehmen, Verteilernetzbetreiber und Übertragungsnetzbetreiber genannt.
- Der dritte Anhang kann eigentlich nicht wirklich als ein solcher bezeichnet werden, da er nur drei Begriffe enthält: Online-Marktplatz, Online-Suchmaschine und Cloud-Computing-Dienst. Hierzu wird festgestellt, dass es sich um Anbieter digitaler Dienste handelt, mit denen sich die Richtlinie schwerpunktmäßig auch befasst.
Im Ergebnis kommt man zu dem Schluss, dass viele der „neuen“ Anforderungen aus der NIS-RL nicht wirklich neu sind. Denn trotz ihres inhaltlichen Umfanges begegnet man Vorgaben, die schon aus dem IT-SiG von 2015 bekannt sind – im Kern gehören dazu wieder die technischen und organisatorischen Maßnahmen (TOM) unter Einbeziehung des Standes der Technik sowie die Meldepflicht. Dass durch die NIS-RL auch eine Meldepflicht für die Betreiber digitaler Dienste, die selbst nicht als Kritische Infrastrukturen geführt werden, begründet wird, überrascht zunächst, wird aber vor dem Hintergrund deutlich, dass der Zweck der neuen Richtlinie eben auch im Schutz der Funktionsfähigkeit des digitalen europäischen Binnenmarktes liegt, zu dem auch digital angebotene Dienste gehören. Durch die Beschränkung auf die in Anhang III genannten Kategorien solcher Dienste (Online-Marktplatz, Online-Suchmaschine und Cloud-Computing-Dienst) wird der Bereich der durch diese Vorgaben Betroffenen jedoch wieder in erheblichem Maße eingeschränkt. In jedem Falle sind Befürchtungen hinsichtlich eines „doppelten Implementierungsaufwands“ infolge der parallelen nationalen und europäischen Gesetzgebung weitgehend unbegründet. Den Betreibern Kritischer Infrastrukturen ist zu empfehlen, die Anforderungen des IT-Sicherheitsgesetzes wie ursprünglich geplant umzusetzen. Für den nationalen Gesetzgeber und die Behörden jedoch wird die Umsetzung des erweiterten europäischen Kooperationsrahmens zur Cybersicherheit mit einem größeren Aufwand verbunden sein. Dies betrifft vor allem die Zusammenarbeit der Mitgliedstaaten und die praktische Koordination der europäischen Cyber-Sicherheitsstrategie.
Dieser Beitrag entstand im Rahmen des vom BMBF geförderten Forschungsschwerpunkts „IT-Sicherheit für Kritische Infrastrukturen“ als Bestandteil der Hightech-Strategie der Bundesregierung.
Weitere Informationen zur NIS-RL der EU finden sich an dieser Stelle:
Vollständiger Text der NIS-RL (deutsche Fassung)
Vollständiger Text der NIS-RL (englische Fassung)
Vollständiger Text der NIS-RL (französische Fassung)
Powerpoint-Präsentation zum IT-SiG und zur NIS-RL, Update vom September 2016
An English version of the PowerPoint-presentation is available here.
Die vollständige Textfassung dieses Blogbeitrages ist auf beck-aktuell einsehbar, ferner als spezielle Version für Mitglieder des Förderschwerpunkts zu erhalten.
In Art. 2 der NIS-RL wird explizit deutlich gemacht, dass es zu Zwecken der Datensicherheit auch möglich ist, dass personenbezogene Daten verarbeitet werden. Damit ist der Anwendungsbereich des europäischen Datenschutzrechts eröffnet; Datensicherheit und Datenschutz stehen in einem Kooperationsverhältnis. Verwiesen wird in Art. 2 auf die RL 95/46/EG (EU-Datenschutzrichtlinie EU-DSRL, im deutschen Recht durch das Bundesdatenschutzgesetz – BDSG – umgesetzt). Im Zuge der fortschreitenden Vereinheitlichung auch des europäischen Datenschutzrechts wird an die Stelle der nationalen Datenschutzgesetzgebung (BDSG) in Zukunft die europäische Datenschutzgrundverordnung (EU-DSGVO) treten, die ab dem 25. Mai 2018 in allen Mitgliedstaaten der Union unmittelbar gilt. Der Text dieser Datenschutzgrundverordnung ist hier abrufbar.
