Die NIS-Richtlinie der EU

Momentan laufen auf europäischer Ebene Verhandlungen für eine neue EU-Richtlinie, welche für alle Mitgliedsstaaten der EU Geltung erlangen würde. Diese neue Richtlinie mit dem Namen EU-Richtlinie zur Netz- und Informationssicherheit, oder auch kurz NIS-Richtlinie, wurde am 7.2.2013 von der EU-Kommissarin für die Digitale Agenda, Neelie Kroes, vorgeschlagen (der ursprüngliche Text ist abrufbar unter http://eeas.europa.eu/policies/eu-cyber-security/cybsec_directive_de.pdf). Der Richtlinienvorschlag richtet den Blick in erster Linie auf die Sicherheit im Internet, sowie von privaten Netzen und Informationssystemen und ist in erster Linie entworfen worden, um der wachsenden Cyber-Kriminalität entgegenzutreten.

Der vorliegende Beitrag soll darstellen, wie sich der bisherige Ablauf bei der Diskussion um die NIS-Richtlinie darstellt und auf welchem Stand sich die NIS-Richtlinie der EU momentan befindet. Dabei wird selbstverständlich auch der Inhalt des Vorschlags zur neuen NIS-Richtlinie beleuchtet. Von besonderem Interesse und hoher Relevanz ist letzten Endes noch das Verhältnis zum erst kürzlich verabschiedeten nationalen IT-Sicherheitsgesetz, welches am 25.07.2015 in Kraft getreten ist und auf nationaler Ebene Teil einer Cyber-Sicherheitsstrategie ist.

UPDATE vom 07.12.2015: EU-Kommission einigt sich auf NIS-RL!
UPDATE vom 05.01.2016: Vergleich zwischen NIS-RL und IT-Sicherheitsgesetz!

UPDATE vom 17.05.2016: Neues zur NIS-Richtlinie!


Ziel der neuen NIS-Richtlinie

Die neue NIS-Richtlinie ist Teil einer Cyber-Sicherheitsstrategie der EU. Als Richtlinie würde sie zwar keine unmittelbare Geltung für sämtliche Mitgliedsstaaten entfalten, müsste von diesen jedoch in nationales Recht umgesetzt werden und könnte so – je nach Regelungsinhalt – eine Mindest- oder sogar eine Vollharmonisierung des geltenden Rechts in der EU herbeiführen, wobei zumindest darüber bereits ein Konsens zu herrschen scheint, dass die NIS-Richtlinie lediglich eine Mindestharmonisierung darstellen soll (siehe hierzu noch unten).

Inhaltlich soll durch die NIS-Richtlinie der Kampf gegen Angriffe auf die Netz- und Informationssicherheit gesteuert werden. Im Rahmen einer immer mehr technologisierten Gesellschaft, in welcher sich nahezu sämtliche Lebensbereiche in eine digitale Welt verlagert haben, sind Cyber-Angriffe und Systeminstabilitäten von enormer und immer höherer, noch steigender Relevanz. Doch nicht nur die Auswirkungen solcher Angriffe oder Instabilitäten sind höher, auch ihre absolute Zahl steigt kontinuierlich an, sodass die EU es als unausweichlich ansieht, neue Regelungen für die Bekämpfung der hierdurch verursachten Unsicherheiten aufzustellen.

Die NIS-Richtlinie soll dabei die Sicherheit des Internets und der privaten Netze sowie Informationssysteme erhöhen. Unter anderem würde die NIS-Richtlinie die Mitgliedstaaten der EU verpflichten, differenzierte Maßnahmen zur Steigerung der Abwehrbereitschaft zu ergreifen und insbesondere auch Zusammenarbeit zwischen den Mitgliedsstaaten zu forcieren, um gemeinsam gegen die beschriebenen Unsicherheiten kämpfen zu können und so eine höhere Effizienz und eine generell stärkere Kraft gegen Angriffe entwickeln zu können. Die vorgeschlagene NIS-Richtlinie sieht hierbei die Gewährleistung einer allgemein hohen und vor allem gemeinsamen Netz- und Informationssicherheit (NIS) in der gesamten EU als bestes Mittel an. Nicht zuletzt wird das Bedürfnis nach einer Richtlinie, welche alle Mitgliedsstaaten der EU umfassen würde, mit dem gemeinsamen Binnenmarkt gerechtfertigt. Grundsätzlich ist es auch denkbar, die Netz- und Informationssicherheit den nationalen Gesetzgebern zu überlassen, welche dann für jeden Mitgliedsstaat einzeln voneinander abweichende Regeln aufstellen könnten. Die EU sieht sich jedoch vielmehr in der Pflicht, die Netz- und Informationssicherheit als übergreifende Aufgabe für die gesamte EU zu koordinieren, denn “[…] die Robustheit und Stabilität der Netze und Informationssysteme [ist] eine Voraussetzung für die Vollendung des digitalen Binnenmarkts und für das reibungslose Funktionieren des Binnenmarkts überhaupt.” Die Wichtigkeit des Binnenmarktes für die EU ist dabei nicht zu unterschätzen, sie ist vielmehr Motor für die derzeit bestehende Gemeinschaft.

Inhalt der NIS-Richtlinie

Die NIS-Richtlinie wurde bisher noch nicht in einer endgültigen Form beschlossen, sodass auch der Inhalt der NIS-Richtlinie noch nicht endgültig feststehen kann. Bis zu einer letzten Version können noch diverse Punkte gestrichen, eingefügt oder geändert werden. Trotz allem sollten die bisherigen Kernpunkte des Kommissionsvorschlags vorgestellt werden, um einen Einblick zu geben, in welche Richtung die Regeln des Vorschlags und damit höchstwahrscheinlich auch der endgültigen Fassung der NIS-Richtlinie zielen.

In dem Vorschlag zur NIS-Richtlinie ist in Art. 2 zunächst ausdrücklich festgelegt, dass durch sie lediglich eine Mindestharmonisierung im Bereich der Netz- und Informationssicherheit erreicht werden soll. Eine Vollharmonisierung, d.h. eine umfassende und abschließende Regelung ist also nicht gewollt. Die Mitgliedstaaten der EU werden demnach nicht daran gehindert, weitergehende oder ergänzende Bestimmungen zur Gewährleistung eines höheren Sicherheitsniveaus zu erlassen oder aufrechtzuerhalten. Durch Die NIS-Richtlinie soll somit sozusagen das unterste Schutzniveau festgelegt werden, unter welches kein Mitgliedsstaat fallen darf, wobei das Sicherheitsniveau nach oben durch nationale Bestimmung offen regelbar ist.

In Artikel 4 des Vorschlags zur neuen NIS-Richtlinie findet sich für die Mitgliedstaaten der EU die Pflicht, zumindest im Grundsatz in Übereinstimmung mit der Richtlinie für die Gewährleistung einer hohe Netz- und Informationssicherheit in ihren jeweiligen Hoheitsgebieten zu sorgen. Dafür soll jeder Mitgliedstaat eine nationale NIS-Strategie aufstellen, in der die strategischen Ziele und konkrete Regulierungsmaßnahmen aufgeführt sind, die dafür sorgen sollen, die geforderte, hohe Netz- und Informationssicherheit zu erreichen und aufrecht zu erhalten.

Um die nationalen Staaten weiter in die Pflicht zu nehmen, müssen diese gemäß dem Vorschlag zur neuen NIS-Richtlinie verbindlich eine für die Netz- und Informationssicherheit zuständige nationale Behörde einrichten bzw. eine bereits bestehende Behörde als für die Netz- und Informationssicherheit zuständig benennen, welche die Anwendung der NIS-Richtlinie auf der jeweiligen nationalen Ebene überwacht. Hierdurch soll insbesondere gewährleistet werden, dass die NIS-Richtlinie in ihrer Geltung möglichst einheitlich betrachtet und demnach auch möglichst vergleichbar in allen Mitgliedsstaaten der EU angewendet wird. Damit dies nicht lediglich von theoretischer Natur ist, werden die Mitgliedsstaaten angehalten, die zuständige Behörde für die Netz- und Informationssicherheit auch angemessenen auszustatten, und zwar sowohl auf personeller, finanzieller als auch technischer Ebene.

Diese zuständigen, mitgliedstaatlichen Behörden sowie die Europäische Kommission selbst sollen zusammen ein Kooperationsnetz zur Bewältigung von Sicherheitsrisiken und Vorfällen bilden. Dabei soll auf europäischer Ebene die Europäische Agentur für Netz- und Informationssicherheit die Arbeit dieses Kooperationsnetzes auf Anfrage unterstützen.

Die Behörden sollen bei ihrer überwachenden Tätigkeit vor allen Dingen auch Frühwarnungen aussprechen, nachdem sie die einschlägigen Information bewertet haben. Die sollen sich ebenfalls auf eine koordinierte Reaktion auf Gefahren einigen. Hierfür soll die Europäische Kommission einen NIS-Kooperationsplan annehmen können.

Momentan findet sich in dem Vorschlag zur neuen NIS-Richtlinie auch die Vorgabe für jeden Mitgliedsstaat im Geltungsbereich der Richtlinie, ein IT-Notfallteam, genannt Computer Emergency Response Team (CERT) einzurichten. Dieses soll für die Bewältigung von Sicherheitsvorfällen und Risiken zuständig sein, wobei das CERT nach einem konkret festgelegten Ablaufplan handeln soll.

Doch nicht nur die Mitgliedsstaaten der EU, sondern auch Unternehmen werden vom Vorschlag nur neuen NIS-Richtlinie angesprochen. Sie sollen verpflichtet werden, die Risiken für die Netz- und Informationssicherheit, welche durch ihr Handeln entstehen, zu bewerten und hernach geeignete und angemessene Maßnahmen zu ergreifen, welche die Netz- und Informationssicherheit gewährleisten können.

Kapitel IV des Vorschlags zur neuen NIS-Richtlinie bestimmt fürderhin Sicherheitsanforderungen an die öffentliche Verwaltung und für die Marktteilnehmer.

Insgesamt richtet sich der Vorschlag zur neuen NIS-Richtlinie also nicht allein an den Staat und einzurichtende Behörden mit umfassenden Pflichten, sondern hat unter anderem den Blick auch auf Unternehmen, auf die öffentliche Verwaltung und auch auf Marktteilnehmer gerichtet. Die Netz- und Informationssicherheit soll somit auf allen Ebenen gewährleistet werden.

Bisheriger Ablauf

Der Vorschlag zur NIS-Richtlinie wurde wie bereits geschildert am 7.2.2013 von der EU-Kommissarin für die Digitale Agenda, Neelie Kroes, vorgeschlagen. Etwa fünf Wochen später, am 13.03.2014, wurde über die Position des Parlaments zum Vorschlag der neuen NIS-Richtlinie im Plenum abgestimmt. Weitere vier Wochen später, am 15.4.2013, wurde der für die NIS-Richtlinie zuständige Ausschuss bestimmt, wobei die Wahl auf den Ausschuss für Binnenmarkt und Verbraucherschutz (IMCO) des Europäischen Parlaments gefallen ist. Dieser erarbeitete einen Bericht, welcher durch Stellungnahmen anderer Ausschüsse ergänzt wurde. Solche Stellungnahmen wurden vom Ausschuss für bürgerliche Freiheiten, Justiz und Inneres (LIBE), vom Ausschuss für Industrie, Forschung und Energie (ITRE) und vom Ausschuss für auswärtige Angelegenheiten (AFET) getroffen.

Einige der Änderungsanträge aus dem LIBE wurden dabei vom IMCO aufgenommen, wobei v.a. der Bereich des Datenschutzes relevant wurde. Für die Mehrzahl der Änderungsanträge wurde jedoch keine Mehrheit gefunden, sodass diese vom IMCO nicht berücksichtigt wurden. Teilweise sind diese nichtaufgenommenen Änderungsanträge im Plenum erneut eingereicht worden, haben aber auch dort keine Mehrheit gefunden. Inhalt der nicht angeommenen Änderungsanträge war unter anderem, dass:

  • Software-Hersteller für erhebliche Sicherheitsmängel haftbar gemacht werden können
  • Software-Hersteller im Anwendungsbereich der Bestimmungen über Sicherheitsanforderungen und Meldung von Sicherheitsvorfällen liegen sollen
  • Daten nur im Kooperationsnetzwerk ausgetauscht werden können, wenn sie unter EU-Datenschutzrecht fallen und die Einbeziehung von Akteuren aus Drittstaaten nur erfolgen sollte, wenn diese Drittländer ein gleiches Datenschutzniveau bieten. Dieser Punkt ist insbesondere im Zusammenhang mit einem neuen Urteil des EuGH zum Safe Harbour-Abkommen interessant, zu welchem ebenfalls ein Beitrag auf unserem Blog existiert (abrufbar unter https://www.recht-freundlich.de/datenschutz/safe-harbour-und-eugh-urteil).

Im Verlauf der Verhandlungen wurde der Anwendungsbereich der neuen NIS-Richtlinie auf sog. “kritische Infrastrukturen” reduziert. Dies hat unter anderem dazu geführt, dass Dienstleistungswebsites wie soziale Netzwerke, welche im ursprünglichen Vorschlag für die neue NIS-Richtlinie erfasst waren, nicht mehr in den Anwendungsbereich fallen würden.

Im März 2014 hat sich das Europäische Parlament dezidiert mit dem Vorschlag auseinander gesetzt, wobei sie ihre Stellungnahme zu den einzelnen Normen des Vorschlags zur neuen NIS-Richtlinie abgegeben hat. Die Stellugnnahme des Europäischen Parlaments ist abrufbar unter http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-//EP//TEXT+TA+P7-TA-2014-0244+0+DOC+XML+V0//DE).

Der weitere Verlauf der Verhandlungen war zäh und von wenigen Ergebnissen bestimmt. In der Folge konnte unter der italienischen Ratspräsidentschaft keine Einigung auf einen gemeinsamen Text der neuen NIS-Richtlinie gefunden werden. Dabei wurden ganze drei Monate lang gar keine Verhandlungen geführt, bis die lettische Ratspräsidentschaft es sich zur Aufgabe gemacht hat, die Verhandlungen mit dem Parlament wieder anzukurbeln.

Der neue Vorschlag, der durch die lettische Ratspräsidentschaft vorgetragen wurde, macht dem Parlament dabei zwar einige Zugeständnisse, weicht jedoch in vielen Punkten von der vorherigen Fassung ab, sodass weiterer Verhandlungsbedarf entstanden ist. Grade was den Anwendungsbereich auf „kritische Infrastrukturen“ betrifft, ist die Debatte alles andere als auf einem Kurs der Einigung, da insbesondere als problematisch gesehen wird, feste Schwellen festzulegen, wann eine Infrastruktur kritisch genug ist. Nach dem momentanen Vorschlag soll dies von jedem Mitgliedstaat selbst definiert werden, was dazu führen würde, dass die Mitgliedsstaaten selbst festlegen könnten, in welchen Fällen die NIS-Richtlinie überhaupt zur Geltung kommen würde. Dies ist deutlich problematischer als Regelungen, die über die Mindestharmonisierung hinausgehen, weil diese nur zu einem höheren Schutz führen können. Können die Mitgliedsstaaten der EU jedoch selbst bestimmen, wann die NIS-Richtlinie Anwendung findet, kann in der Folge der Schutz in einem Land für einen konkreten Fall bestehen, während in einem anderen Land ein solcher Schutz nicht gewährleistet wird. Es ist daher kein Wunder, dass grade in diesem Punkt Uneinigkeit herrscht und weitere Verhandlungen folgen werden. Ebenfalls fraglich, umstritten und verhandelt ist die Frage, ob Bereiche der sensible Daten verarbeitenden Wirtschaft ebenfalls zum Anwendungsbereich der neuen NIS-Richtlinie gehören sollen.

Der bisherige Verlauf der Verhandlungen über die neue NIS-Richtlinie lässt insgesamt erkennen, dass die Mitgliedstaaten untereinander kaum zur Kooperation bereit sind und noch ein weiter Weg bis zur Verabschiedung eines endgültigen Kompromisses gegangen werden muss. Mittlerweile sind bereits vier Triloge abgehalten worden, in denen kein einheitliches Ergebnis erreicht werden konnte:

14.10.2014: 1. Trilog

11.11.2014: 2. Trilog

30.4.2015: 3. Trilog

29.6.2015: 4. Trilog

Mit weiteren Trilogen ist zu rechnen. Momentan ist nicht abzusehen, ob überhaupt eine Einigung zustande kommen wird, oder ob ähnlich wie bei der Datenschutzverordnung mehrere Jahre vergehen, ohne dass ein konkretes, endgültiges Ergebnis gefasst werden kann.

Verhältnis zum IT-Sicherheitsgesetz

Während auf europäischer Ebene die Richtlinie über Netzwerk- und Informationssicherheit also weiterhin diskutiert wird und eine Einigung auf einen endgültigen Entwurf noch auf sich warten lässt, wurde in Deutschland vom deutschen Bundestag im Juni 2015 das sog. IT-Sicherheitsgesetz verabschiedet. Dieses am 25.07.2015 in Kraft getretene Gesetz ist wie der Vorschlag zur neuen NIS-Richtlinie ein Teil einer Cyber-Sicherheitsstrategie, soll also ebenfalls für Sicherheit im digitalen Bereich sorgen. Es ist dabei nicht verwunderlich, dass das IT-Sicherheitsgesetz und die angedachte neue NIS-Richtlinie nicht in allen Normen komplett übereinstimmen werden, zumindest von deutscher Seite somit nach Verabschiedung einer endgültigen Fassung der NIS-Richtlinie erneuter Handlungs- und Überarbeitungsbedarf bestehen dürfte. Was das neue IT-Sicherheitsgesetz regelt und wie es mit dem Vorschlag zur neuen NIS-Richtlinie in Konflikt steht, soll vorliegend beleuchtet werden.

Das deutsche IT-Sicherheitsgesetz verpflichtet die Betreiber besonders gefährdeter Infrastrukturen (sogenannten Kritische Infrastrukturen, insoweit geht der Wortlaut der angedachten NIS-Richtlinie mit dem IT-Sicherheitsgesetz konform) wie Energie, Wasser, Gesundheit oder Telekommunikation, für einen verbesserten Schutz ihrer Netze vor Hacker-Angriffen zu sorgen. Durch das IT-Sicherheitsgesetz werden Meldung von IT-Sicherheitsvorfällen obligatorisch. Daneben werden weiterhin ergänzende Mindeststandards für die IT-Sicherheit festgelegt, und zwar für jegliche Betreiber solcher IT-Infrastrukturen branchenweite Standards. Neben diesen gesetzlich festgelegten Stands haben die jeweiligen Branchenverbände den Auftrag erhalten, Mindeststandards für die Infrastruktursicherheit zu erarbeiten, die in der Zukunft für verbindlich erklärt werden sollten. Diese selbst erarbeiteten, zusätzlichen Standards, die für ihre Branche relevant, sinnvoll und angemessen sind, sollen sodann vom BSI genehmigt werden. Damit die IT-Sicherheit in der Praxis tatsächlich gewahrt werden kann, sollen die Unternehmen danach alle 2 Jahre nachweisen, dass sie die Anforderungen immer noch erfüllen.

Ist auf europäischer Ebene derzeit noch umstritten, wer zu den sog. Kritischen Infrastrukturen gehört (siehe oben), ist auch durch das IT-Sicherheitsgesetz diese Frage noch nicht beantwortet. Es ist nicht ausdrücklich im IT-Sicherheitsgesetz festgelegt, welche Unternehmen konkret als Kritische Infrastrukturen im Sinne des Gesetzes gelten sollen. Das Gesetz definiert die Kritischen Infrastrukturen lediglich abstrakt, was zu einem nicht scharf umrissenen, sondern ebenfalls abstrakten Anwendungsbereich des IT-Sicherheitsgesetzes und damit eine nicht klar umrissene Sicherheitsstrategie sorgt. Eine Änderung des IT-Sicherheitsgesetzes wird deshalb jedoch nicht angedacht, vielmehr sollen für jede relevante Branche eigene Rechtsverordnungen zur Klärung des Anwendungsbereichs des IT-Sicherheitsgesetzes erstellt werden. Hierzu gehören alle Branchen aus den Bereichen Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen. Auch auf nationaler Sicht bedarf das IT-Sicherheitsgesetz für die Strukturierung des Anwendungsbereichs daher weiterer Regelungswerke und Debatte, wobei Rechtsverordnungen grade auch nicht die gleiche Wirkung entfalten wie Gesetze. Eine Rechtsverordnung ist zwar ebenfalls wie ein Gesetz eine Rechtsnorm, diese wird jedoch nicht durch den Gesetzgeber, also die Legislative, erlassen, sondern durch ein Regierungs- oder Verwaltungsorgan, also die Exekutive. Der Umfang dessen, was eine Verordnung zulässigerweise regeln darf, und ihr Wirkungsbereich weichen dabei von einem förmlichen Gesetz ab, in der Normenhierarchie stehen Rechtsverordnungen genau wie Satzungen und Verwaltungsvorschriften im Rang unterhalb der förmlichen Gesetze. Zwar kann die Legislative rein logisch keine anderen Rechtsverordnungen erlassen. Wegen des umfassenden Gesetzgebungsrechts kann die Legislative allerdings Rechtsverordnungen ändern bzw. ergänzende Gesetze erlassen, welche wiederum über der Rechtsverordnung stehen. Die Regelung des Anwendungsbereichs durch Rechtsverordnungen ist daher nicht gänzlich unproblematisch.

Insgesamt sollen durch das neue IT-Sicherheitsgesetz auch die Aufsichts- und Sicherheitsbehörden, also in erster Linie das BSI, aber auch das Bundeskriminalamt, der Bundesnachrichtendienst und das Bundesamt für Verfassungsschutz für ihre Arbeit und Aufgaben im „Cyber-Bereich“ gestärkt werden.

Das IT-Sicherheitsgesetz ist jedoch nicht von sämtlicher Kritik ausgenommen. Dabei wurde schon relativ früh darauf hingewiesen, dass die Diskussion über das IT-Sicherheitsgesetz auf nationaler Ebene nicht mit den auf europäischer Ebene laufenden Verhandlungen zur NIS-Richtlinie abgestimmt wurde, weshalb überhaupt erst die Möglichkeit entstanden ist, dass beide Regelungswerke kollidieren können. Während für die neue NIS-Richtlinie auf europäischer Ebene durchaus stark darüber diskutiert wird, ob auch datenverarbeitende Unternehmen in den Geltungsbereich der NIS-Richtlinie fallen sollen, ist für das IT-Sicherheitsgesetz beschlossen, dass dieses die datenverarbeitenden Unternehmen nicht einschließt. Der bisherige Vorschlag zur neuen NIS-Richtlinie sah weiterhin auch Vorschriften für so genannte “Markteilnehmer” vor, worunter bspw. Internet-Zahlungsdienste, soziale Netze, Suchmaschinen, Cloud-Computing-Dienste und Application Stores gefasst werden könnten. In der momentanen Diskussion ist diese Vorschrift aber zumindest aufgeweicht, sodass der weitere Verlauf verfolgt werden muss. Es ist jedoch durchaus denkbar, dass das IT-Sicherheitsgesetzes letzten Endes einen deutlich engeren Anwendungsbereich haben könnte, als die neue NIS-Richtlinie haben soll. Wird dies der Fall sein, muss der nationale Gesetzgeber das IT-Sicherheitsgesetz umstrukturieren, weshalb auch von verschiedenen Seiten der Vorwurf erhoben wird, dass es sich bei dem IT-Sicherheitsgesetz um einen Schnellschuss handelt, der die europäischen Entwicklungen in diesem Bereich nicht ausreichend berücksichtigt hat.

Neben der fehlenden Abstimmung zwischen dem IT-Sicherheitsgesetz und der geplanten NIS-Richtlinie steht weiterhin in der Kritik, dass lediglich der Bestand kritischer Infrastrukturen geschützt werden soll, allerdings darüber hinausgehend keine ausreichenden Präventionsmaßnahmen geplant sind. Für eine erfolgsversprechende, effiziente Cyber-Sicherheitsstrategie ist es essenziell, dass solche Anreizstrukturen geschaffen werden, welche für Unternehmen den Ausbau der Sicherheit im eigenen Unternehmen über die Mindeststandards hinaus attraktiv macht.

Insbesondere Datenschützer fordern darüber hinaus seit Jahren, dass eine Produkthaftung für Software geregelt wird. Hierdurch versprechen sich Datenschutz-Experten nahezu eine Explosion in Sachen Informationssicherheit. Eine Produkthaftung für Software ist jedoch in den Cyber-Sicherheitsstrategien nicht ausreichend angesprochen, um einen solchen Meilenstein setzen zu können.

Die gesamte Ausrichtung der Cyber-Sicherheitsstrategien auf die sog. Kritischen Infrastrukturen ist vielen Kritikern nicht genug. Gerade die Sicherheit der gespeicherten, personenbezogenen Daten bei Unternehmen müssten prioritär geschützt werden, da ansonsten auch zukünftig mit hierauf gerichteter Cyber-Kriminalität im großen Stil zu rechnen sei.

Während in der geplanten NIS-Richtlinie eine Kooperation der Mitgliedsstaaten angedacht ist, finden sich im IT-Sicherheitsgesetz keine Regelungen zur internationalen Kooperation, es wird lediglich festgehalten, dass das BSI auch als internationaler Ansprechpartner fungieren soll.

Mehr Informationen zum IT-Sicherheitsgesetz und dem europäischen Hintergrund: https://www.recht-freundlich.de/it-sicherheitsgesetz/it-sicherheitsgesetz-europaeische-rechtslage

Zusammenfassung zur NIS-Richtlinie (Stand Nov. 2015)

Fortlaufende und steigende Cyber-Kriminalität verpflichtet sowohl nationale als auch europäische Gesetzgebung, sich um eine Cyber-Sicherheitsstrategie zu kümmern. Während auf europäischer Ebene die NIS-Richtlinie noch diskutiert wird und eine schnelle Einigung nicht in Sicht ist, hat der deutsche Gesetzgeber das IT-Sicherheitsgesetz erlassen. Grundsätzlich von ähnlicher Ausrichtung bestehen aber durchaus Unterschiede zwischen bereits in Kraft getretenem IT-Sicherheitsgesetz und der bisherigen Fassung der geplanten NIS-Richtlinie. Es wird abgewartet werden müssen, inwieweit eine endgültige Fassung der NIS-Richtlinie dazu führt, dass der deutsche Gesetzgeber das IT-Sicherheitsgesetz anpassen müssen wird.

Abgesehen von den Unterschieden zwischen beiden Regelungswerken gibt es jedoch auch weitere Kritikpunkte am jeweiligen Inhalt. Dabei befürchten viele Kritiker, dass die Cyber-Kriminalität durch einen verengten Anwendungsbereich generell nicht ausreichend angegangen werden kann. Der Kampf gegen die Kriminalität im digitalen Bereich muss jedoch mit harter Hand geführt werden.

Während auf deutscher Ebene also schon ein Gesetz erlassen worden ist, wird für die europäische NIS-Richtlinie weiter abgewartet werden, wie sich deren Inhalt noch verändern wird und sogar, ob sie überhaupt nach weiteren Diskussionen mit einer endgültigen Fassung als Kompromiss zur Geltung gelangen kann.

 
1 Star2 Stars3 Stars4 Stars5 Stars 7 Bewertung(en), durchschnittlich: 5,00 von 5
Loading...
Schreibe einen Kommentar
Deine E-Mail-Adresse wird nicht veröffentlicht.

Sie können folgende HTML-Tags benutzen:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> 

*
*