IT-Sicherheitsgesetz: Europäische Rechtslage

Die Europäische Union errichtete durch die EG-Verordnung Nr. 460/2004 die Europäische Agentur für Netz- und Informationssicherheit (ENISA), um im Gebiet der EU zu einer hohen Netz- und Informationssicherheit und zur Entwicklung einer NIS-Kultur beizutragen.

Das EU-Parlament stimmte am 13.03.2014 für eine Cybersicherheitsrichtlinie, nachdem am 07.02.2013 eine entsprechende Gesetzesinitiative der Europäischen Kommission erfolgte. Die Richtlinie dient der Harmonisierung der NIS-Vorschriften. Durch die unterschiedlichen Regelungen der Mitgliedstaaten und einem dadurch für den Binnenmarkt bestehendes Hindernis, sah sich die Europäische Kommission zu einem Tätigwerden veranlasst.[1]

Die Richtlinie über Maßnahmen zur Gewährleistung einer hohen gemeinsamen Netz- und Informationssicherheit in der Union (NIS) soll insbesondere eine Meldepflicht für IT-Angriffe vorsehen. Die EU will dabei die Betreiber von kritischen Infrastrukturen stärker in die Pflicht nehmen und von diesen geeignete Schritte zur Beherrschung von Sicherheitsrisiken verlangen. Dabei soll ein Mindeststandart in den Mitgliedstaaten geschaffen und eine zentrale Stelle für NIS-Meldungen eingerichtet werden. Die Aufgabe der zentralen Stellen soll eine europaweite Vernetzung und der gegenseitiger Informationsaustausch über Vorfälle sein.

Der zur Zeit der italienischen Ratspräsidentschaft eingebrachte Text dem auch, mit kleinen Änderungen, das Parlament zustimmte, sollte unter lettischer Ratspräsidentschaft fortgeführt werden.

Durch das neue Mandat der Letten kam es zu einer massiven Abschwächung der in Artikel 8a und 8b eingeführten Grundsätze, auch wenn es anderseits Zugeständnisse gab. Statt einer verbindlichen regelmäßigen Zusammenarbeit sollen diese durch Gespräche auf freiwilliger Basis ersetzt werden. Auch der Austausch von Erfahrungen durch entsprechende Stellen und Berichte über die Zusammenarbeit wurden aus dem Entwurf gelöscht.

Unabdingbare Voraussetzung für eine handlungs- und kooperationsfähige Zusammenarbeit der Mitgliedstaaten ist die Einrichtung einer kompetenten Stelle und die Aufstellung einer Netz- und Informationssicherheitsstrategie.[2] Diese solldurch die Einführung der Richtlinie geschaffen werden.

Deutschland übernimmt im europäischen Raum eine Vorreiterrolle ein. Auf europäischer Ebene gibt es, bis auf den Entwurf der Kommission zusammen mit den Änderungsvorschlägen, noch keine verbindliche Regelungen oder die angestrebte Mindestharmonisierung. So ist nicht beantwortet, wie auch im Bereich der nationalen Gesetzgebung, wann eine Infrastruktur „kritisch genug“ ist, sodass die Richtlinie auf diese Anwendung findet. Auf europäischer Ebene wird diese Frage auch offen gelassen. Die Definition und Entscheidung, ob eine Infrastruktur als kritisch angesehen wird, wird den Mitgliedstaaten überlassen. Die Richtlinie definiert den „Marktteilnehmer“ in Art. 3 Nr. 8 a) uns b) als „Anbieter von Diensten der Informationsgesellschaft, der die Bereitstellung anderer Dienste der Informationsgesellschaft ermöglicht und als Betreiber kritischer Infrastrukturen, die für die Aufrechterhaltung zentraler wirtschaftlicher und gesellschaftlicher Tätigkeiten in den Bereichen Energie, Verkehr, Banken, Börsen und Gesundheit unerlässlich sind.“

Damit ist die europäische Definition des Marktteilnehmers sehr viel enger als die deutsche Regelung im derzeitigen Entwurf.

Ähnliches gilt auf europäischer Ebene bei dem Begriff der Zwischenfälle. So lautet Art. 14 Nr. 2) „Sicherheitsvorfälle […], die erhebliche Auswirkungen auf die Sicherheit der […] Kerndienste haben.“ Die nationalen Regelungen hingegen erfassen allgemein Störungen.[3] Hilfestellung in diesem Bereich geben die Definitionen der Richtlinie nur bedingt, so heißt es in Art. 2 Nr. 4) „Sicherheitsvorfälle sind alle Umstände oder Ereignisse, die tatsächlich negative Auswirkungen auf die Sicherheit haben.“

Noch keine Einigung auf europäischer Ebene besteht hingegen darüber, ob Bereiche, in denen sensible Daten verarbeitet werden, auch zum Anwendungsbereich der Richtlinie fallen.

Die vorgeschlagene Richtlinie definiert im Ergebnis drei Ziele und drei Anforderungen an die Mitgliedstaaten:

Ziel der Richtlinie soll es sein:

  1. Ein gemeinsames Mindestniveau in den Mitgliedstaaten einzuführen, um die Abwehrbereitschaft und Reaktionsfähigkeit insgesamt zu erhöhen;
  2. Die Zusammenarbeit im Bereich NIS auf EU-Ebene zu verbessern, um grenzübergreifende Sicherheitsvorfälle und Bedrohungen zu bewältigen;
  3. eine Risikomanagementkultur zu schaffen und den Informationsaustausch zwischen dem privaten und dem öffentlichen Sektor zu verbessern.

Die rechtlichen Anforderungen die die Richtlinie vorsieht lassen sich wie folgt festhalten:

  1. Jeder Mitgliedstaat nimmt eine nationale NIS-Strategie an und benennt eine für die NIS zuständige nationale Behörde, die mit angemessenen finanziellen und personellen Ressourcen ausgestattet wird, um die Prävention von, den Umgang mit und die Reaktion auf NIS-Vorfälle und -Risiken gewährleisten zu können;
  2. Einrichtung von Kooperationsmechanismen zwischen den Mitgliedstaaten und der Kommission zur Verbreitung von Frühwarnungen vor Sicherheitsrisiken und -vorfällen, zur Zusammenarbeit und Durchführung regelmäßiger gegenseitiger Überprüfungen;
  3. Bestimmte Arten von Einrichtungen in der ganzen EU müssen eine Risikomanagementkultur entwickeln und ihrer zuständigen nationalen Behörde Sicherheitsvorfälle mit erheblichen Auswirkungen auf die von ihnen bereitgestellten Kerndienste melden. Davon betroffen sind Betreiber kritischer Informationsinfrastrukturen in einer Reihe von Sektoren (Finanzdienstleistungen, Verkehr, Energie, Gesundheitswesen), wichtige Anbieter von Diensten der Informationsgesellschaft (Cloud Computing, Plattformen für den elektronischen Geschäftsverkehr, Internet-Zahlungs-Gateways, Suchmaschinen, Application Stores und soziale Netze) und öffentliche Verwaltungen.

Die Umsetzung der Richtlinie soll nach dem Beschluss durch den Europäischen Rat binnen 18 Monaten erfolgen.

Jedoch wurden insgesamt 142 Änderungswünsche über den Vorschlag für die Richtlinie eingereicht, die zurzeit diskutiert werden. Die Maßnahmen und verbindlichen Regelungen die durch die Richtlinie europaweit geschaffen werden sollen, stehen somit noch aus. Die Trilog-Verhandlungen über die NIS-Richtlinie zwischen dem Europaparlament, der Kommission und dem Rat sollen im 2. Quartal 2015 beginnen.


 

[1] COM (2013) 48 final – 2013/0027 (COD).

[2] Positionspapier zum Vorschlag für eine Richtlinie zur Erreichung eines hohen Netzwerk und Informationssicherheitsstandards der Europäischen Kommission (COM 2013/0027 (COD))

[3] Entwurf der Bundesregierung zur Erhöhung der Sicherheit informationstechnischer Systeme.

 
1 Star2 Stars3 Stars4 Stars5 Stars 5 Bewertung(en), durchschnittlich: 5,00 von 5
Loading...
Schreibe einen Kommentar
Deine E-Mail-Adresse wird nicht veröffentlicht.

Sie können folgende HTML-Tags benutzen:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> 

*
*