NIS-Richtlinie soll für hohe Netz- und Informationssicherheit in der EU sorgen
Die NIS-Richtlinie des Europäischen Parlaments ist am 06. Juli 2016 verabschiedet worden, sie wird voraussichtlich im August dieses Jahres in Kraft treten und soll bis Mai 2018 in den Mitgliedstaaten in nationales Recht umgesetzt werden. Ziel der Richtlinie ist es dabei, einen einheitlichen Sicherheitsmindeststandard für Cybersysteme zu schaffen und Angriffen auf die Netz- und Informationssicherheit effektiv zu begegnen.
Die Richtlinie über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union (kurz: NIS-Richtlinie) verpflichtet die Mitgliedstaaten ganz grundlegend, in ihren Hoheitsgebieten für eine hohe Netz- und Informationssicherheit zu sorgen. Diesen wichtigen Grundsatz hat der deutsche Gesetzgeber bereits in seinem im Juli 2015 in Kraft getretenen IT-Sicherheitsgesetz festgehalten.
Darüber hinaus haben die Mitgliedstaaten gemäß Art. 6 der NIS-Richtlinie zuständige nationale Behörden einzurichten oder zu benennen. In Deutschland kann das BSI die vorgesehenen Aufgaben übernehmen und damit als „competent authority“ dienen. Weiterhin obliegt es den Mitgliedstaaten, „Computer Emergency Response Teams“ (kurz: CERTs) zu gründen, die als eine Art IT-Notfallteam auf besondere Vorfälle und Risiken möglichst schnell und kompetent reagieren können.
Ein EU-weites Netzwerk soll ferner die Zusammenarbeit der nationalen „competent authorities“ mit der EU-Kommission sicherstellen. Vertrauliche Informationen sollen über ein sicheres Kommunikationssystem ausgetauscht werden. Ein solches muss jedoch erst geschaffen werden. In diesem Rahmen sollen künftig gemäß Art. 10 NIS-RL auch sogenannte Frühwarnungen ausgesprochen werden, wenn wenigstens eine der in dem Artikel genannten Bedingungen vorliegt.
Auch Unternehmen werden in Zukunft bestimmte Meldepflichten zu erfüllen haben und ihre Systeme vor Cyber-Kriminalität schützen müssen. Dies gilt insbesondere für Betreiber wesentlicher Dienste, also kritischer Infrastrukturen. Dazu gehören beispielsweise Betriebe, in deren Aufgabenbereich die Versorgung mit Energie oder Telekommunikation fällt. Zu ihren Pflichten gehört künftig die Meldung von IT-Sicherheitsvorfällen und die Anpassung der eigenen Systeme an die festgelegten Sicherheitsstandards. Diese Standards werden von den jeweiligen Branchenverbänden entwickelt und vom BSI untersucht und genehmigt. Entsprechende Regelungen finden sich teilweise schon im IT-Sicherheitsgesetz, gerade die internationale Kooperation der Sicherheitsbehörden muss jedoch noch in die deutschen Regelungen aufgenommen werden.
Problematisch ist allerdings die Regelung digitaler Dienste in der verabschiedeten NIS-RL. Solche sind neben Online-Suchmaschinen und Cloud-Computing-Diensten auch Online-Marktplätze. Zwar ist deren Kontrolle weniger streng ausgestaltet als die der kritischen Infrastrukturen, auch die hier einzuhaltenden Meldepflichten gehen jedoch beispielsweise über nationales Recht hinaus. Der deutsche Gesetzgeber wird damit sowohl das IT-Sicherheitsgesetz als auch das TMG an die neuen Gegebenheiten anpassen müssen.
Dadurch könnte sich für den Normadressaten jedoch ein unübersichtliches Meer an Regelungen, Pflichten und Anforderungen ergeben, das zu einer erheblichen Rechtsunsicherheit führen würde. Es bleibt daher abzuwarten, ob der deutsche Gesetzgeber versuchen wird, für einheitliches und überschaubares Recht zu sorgen.
