Die NIS-Richtlinie – ein weiterer Baustein in der neuen EU-Sicherheitsstrategie

29 Apr 2017

Die neue Netzsicherheitsstrategie der EU

Neben der EU Datenschutz-Grundverordnung ist die Richtlinie über Maßnahmen zur Gewährleistung eines hohen Sicherheitsniveaus von Netz- und Informationssystemen in der Union (NIS-Richtlinie) ein weiterer Baustein in der neuen Netzsicherheitsstrategie der EU. Auch sie wird im Mai 2018 wirksam; bis dahin müssen die Mitgliedsstaaten ihre Vorgaben in nationales Recht umgesetzt haben.

Pixabay/ Gerald

Anders als die EU DSGVO lässt sie den Mitgliedern jedoch einen gewissen Ausgestaltungsspielraum, indem im Sinne der Mindestharmonisierung nationales Recht nur dort angepasst werden muss, wo das Schutzniveau der NIS-Richtlinie unterschritten wird. Das heißt, Staaten, in denen bereits höhere gesetzliche Sicherheitsanforderungen gelten, müssen diese nicht herunterschrauben. In Deutschland, zum Beispiel, muss das erst 2015 eingeführte IT-Sicherheitsgesetz nur teilweise angepasst werden.

Ziel der NIS-Richtlinie ist es, durch die Erhöhung der Sicherheitsstandards und eine engere internationale Zusammenarbeit in diesem Bereich die immer größer werdenden Folgen von Hackerangriffen und technischen Ausfällen einzudämmen. Aktuell sind diese mit rund 260 – 340 Milliarden Euro pro Jahr (Quelle: ENISA) beträchtlich.

 

Wen betrifft die neue Richtlinie?

Akut sind zwei Gruppen von der neuen Richtlinie betroffen:

  • Betreiber sogenannter „wesentlicher Dienste“ und
  • Anbieter digitaler Dienste

 

Wesentliche Dienste

Wesentliche Dienste im Sinne der NIS-Richtlinie sind solche, die für die reibungslose Bereitstellung kritischer gesellschaftlicher und wirtschaftlicher Tätigkeiten essentiell sind, wie zum Beispiel Energiebetreiber, Trinkwasserversorger, Krankenhäuser, aber auch Betreiber von Finanzmarktinfrastrukturen. Sie müssen bis zum Inkrafttreten der Richtlinie von den Mitgliedsstaaten konkret benannt werden und anschließend strenge Sicherheitsanforderungen nach dem neuesten Stand der Technik einhalten sowie Vorfälle und Störungen nach genauen Vorgaben melden.

 

Digitale Dienste

Unter Anbietern digitaler Dienste versteht die Richtlinie Online-Marktplätze, -Suchmaschinen sowie Cloud-Computing-Dienste. Auch sie müssen fortan strengere Sicherheitsmaßnahmen treffen und Vorfälle melden, allerdings werden sie weniger einheitlich und schwächer reguliert als die Betreiber wesentlicher Dienste. Auch gelten die Anforderungen nur für Unternehmen mit mehr als 50 Mitarbeitern.

Eine große Herausforderung für einige Unternehmen aus dieser Gruppe wird es jedoch sein, genau herauszufinden, ob sie per definitionem zu den Anbietern „digitaler Infrastrukturen“ und somit zu den „wesentlichen Diensten“ gehören, oder zu den Anbietern digitaler Dienste. Hier ist zu hoffen, dass die Umsetzung in nationales Recht eine deutlichere Abgrenzung der beiden Bereiche mit sich bringt.

Für alle Unternehmen der betroffenen Branchen gilt jedoch, dass sie sich frühzeitig über die zu erwartenden Sicherheitsanforderungen informieren sollten, um sicherzustellen, dass sie ihre Systeme und Abläufe rechtzeitig auf die neuen Standards einstellen können.