Inhalt der NIS-Richtlinie

Die Richtlinie über Maßnahmen zur Gewährleistung einer hohen gemeinsamen Netz- und Informationssicherheit in der Union (kurz: NIS-RL) hat zum Ziel, die europäischen Mitgliedstaaten zur Erhöhung ihrer Cybersicherheit zu verpflichten. Der deutsche Gesetzgeber hat dieses Vorhaben schon in Teilen durch das IT-Sicherheitsgesetz normtechnisch realisiert. Im Folgenden möchten wir einen Blick in die NIS-RL vornehmen und aufzeigen, welchen Inhalt diese konkret aufweist. Unsere Kanzlei für IT-Recht und Datenschutz beschäftigt sich intensiv mit dem IT-Sicherheitsgesetz, der NIS-Richtlinie und der EU-Datenschutzgrundverordnung – bei Fragen zu diesen Themen können Sie uns gern kontaktieren.

Kapitel 1: Allgemeine Bestimmungen der NIS-RL

In Art. 1 der NIS-Richtlinie wird der Gegenstand und Geltungsbereich beschrieben. Die gemeinsame Netz- und Informationssicherheit soll erhöht werden. Die Mitgliedstaaten sollen Prävention bezüglich IT-Sicherheitsvorfällen betreiben und auf sicheren Umgang mit solchen Vorfällen vorbereitet werden. Hierfür soll insbesondere eine Kooperation zwischen den Mitgliedstaaten stattfinden, um koordiniert auf IT-Sicherheitsrisiken reagieren zu können. Auch die Marktteilnehmer und öffentliche Verwaltungen sind miteinzubeziehen.

Art. 2 der NIS-RL schreibt vor, dass es sich bei der NIS-Richtlinie um eine sogenannte Mindestharmonisierung handelt. Dies bedeutet, dass es den Mitgliedstaaten überlassen bleibt, etwaig strengere Pflichten zur IT-Sicherheit national einzuführen. Dies könnte für den deutschen Gesetzgeber noch von besonderer Bedeutung werden, da mit dem IT-Sicherheitsgesetz der gleiche Gegenstand berührt und normtechnisch geregelt ist. Insofern das IT-Sicherheitsgesetz strenger als die NIS-Richtlinie ist, dürfte es keine Probleme geben. Allerdings darf das IT-Sicherheitsgesetz nicht hinter den Anforderungen der NIS-Richtlinie zurückbleiben.

Art. 3 der NIS-Richtlinie dient der Definition von wichtigen Begriffen wie etwa “Netze und Informationssysteme” oder “Sicherheit” und “Sicherheitsvorfälle”. Diese Definitionen sind für die Rechtsanwendung der NIS-Richtlinie und für etwaige Auslegungsprobleme von Bedeutung. Insbesondere wird es an den nationalen Gesetzgebern liegen, diese Definitionen möglichst einheitlich zu übernehmen, um europaweit rechtliche Klarheit in Bezug auf die IT-Sicherheit zu schaffen.

Kapitel 2: Nationaler Rahmen für die Netz- und Informationssicherheit

Art. 4 der NIS-RL regelt den Grundsatz, dass die Mitgliedstaaten eine hohe Netz- und Informationssicherheit in ihren Hoheitsgebieten gewährleisten. Der deutsche Gesetzgeber hat die Wichtigkeit dieses Grundsatzes bereits vor der Einigung der Kommission auf die NIS-RL national erkannt und das IT-Sicherheitsgesetz verabschiedet.

Art. 5 der NIS-Richtlinie beschreibt die nationale NIS-Strategie und den nationalen NIS-Kooperationsplan. Hierdurch sollen die Mitgliedstaaten verpflichtet werden, auf nationaler Ebene NIS-Strategien zu entwickeln, die insbesondere auch die EU-weite Kooperation in IT-Sicherheitsvorfällen zum Gegenstand hat. Als NIS-Strategie kann das deutsche IT-Sicherheitsgesetz bezeichnet werden, ohne dass zum jetzigen Zeitpunkt klar ist, inwieweit das IT-Sicherheitsgesetz den Anforderungen der NIS-Richtlinie genügt oder mit dieser kompatibel ist. Hier ist insbesondere Art. 2 NIS-RL zu beachten, der aufzeigt, dass es sich bei der NIS-Richtlinie “lediglich” um eine Mindestharmonisiernug handelt. Gesetzgeberischer Spielraum ist “nach oben” also durchaus gegeben.

Art. 6 der NIS-Richtlinie beschäftigt sich mit der für die Netz- und Informationssicherheit zuständigen nationalen Behörde. Die zuständige Behörde soll von den Mitgliedstaaten auf nationaler Ebene eingerichtet werden, um die Ziele der NIS-RL zu verfolgen. In Deutschland ist insbesondere das BSI durch das IT-Sicherheitsgesetz in den Kompetenzen erweitert worden. Es bleibt abzuwarten, inwieweit das BSI-Gesetz durch die NIS-Richtlinie geändert werden muss. Andere Mitgliedstaaten müssen eine solche Behörde unter Umständen erst ins Leben rufen oder entsprechend ausstatten, um den Anforderungen der NIS Richtlinie zu genügen.

Art. 7 der NIS-RL sieht vor, dass jeder Mitgliedstaat ein IT-Notfallteam bereitstellt. Dieses IT-Notfallteam wird als CERT bezeichnet (Computer Emergency Response Team). Das CERT soll durch die Mitgliedstaaten finanziell, technisch und personell “angemessen ausgestattet” sein, um die IT-Sicherheit im Notfall noch zu gewährleisten. Aufsicht über das CERT führt die zuständige Behörde (siehe Art. 6 NIS-RL).

Kapitel 3: Zusammenarbeit zwischen den zuständigen Behörden

Art. 8 der NIS-Richtlinie sieht die Gründung eines sogenannten Kooperationsnetz vor. Dieses Kooperationsnetz soll aus den zuständigen Behörden (vgl. Art. 6 NIS RL) und der Kommission gebildet werden. Hierdurch soll eine EU-weite Zusammenarbeit in Bezug auf die Netz- und Informationssicherheit gestaltet werden. Die NIS-Richtlinie betrifft also nicht nur die nationale Netz- und Informationssicherheit und endet nicht mit einem nationalen Gesetz wie etwa dem IT-Sicherheitsgesetz aus Deutschland. Viel mehr wird eine EU-weite Zusammenarbeit in IT-Sicherheitsfragen erfolgen und erfolgen müssen, um den neuen Gefahren wirksam entgegentreten zu können. Aufgrund der hohen Anzahl von Mitgliedstaaten und der Frage einer möglichst schnellen Reaktion bei IT-Sicherheitsvorfällen wird dieses Kooperationsnetz und seine tatsächliche Umsetzung insgesamt eine spannende Angelegenheit werden.

Art. 9 der NIS-RL beschreibt ein sicheres System für den Informationsaustausch. Durch die Errichtung dieses Systems soll u.a. gewährleistet werden, dass der Austausch sensibler und vertraulicher Informationen über das Kooperationsnetz in technisch-sicherer Vertraulichkeit erfolgt. Nur so kann ein derartiges Kooperationsnetz auch in Bezug auf die IT-Sicherheit tatsächlich sinnvoll aktiv werden. Auch hier wird eine finanzielle, technische und personelle Ausrüstung vorgeschrieben.

Art. 10 der NIS-Richtlinie beschreibt das System der Frühwarnungen. Hierdurch werden die zuständigen Behörden und die Kommission verpflichtet, innerhalb des Kooperationsnetzes Frühwarnungen auszusprechen, sobald ein NIS-RL-relevanter IT-Sicherheitsvorfall bekannt geworden ist. Es folgt eine Definition, wann eine solche Frühwarnung und unter welchen Umständen auszusprechen ist. Eine ähnliche Meldepflicht ist im deutschen IT-Sicherheitsgesetz für den nationalen Raum auch für gewisse Unternehmen vorgeschrieben.

Art. 11 der NIS-RL sieht vor, dass eine koordinierte Reaktion auf die Frühwarnung erfolgen muss. Hier kommt erneut das Kooperationsnetz zum Tragen.

Art. 12 der NIS-Richtlinie ermächtigt die Kommission dazu, durch Rechtsakte einen NIS-Kooperationsplan anzunehmen.  Dieser NIS-Kooperationsplan wird sodann näher umschrieben.

Art. 13 der NIS-RL beschäftigt sich mit der internationalen Zusammenarbeit in IT-Sicherheitsfragen.

Kapitel 4: Sicherheit der Netze und Informationssysteme der öffentlichen Verwaltungen und der Marktteilnehmer

Art. 14 der NIS-RL beschreibt die Sicherheitsanforderungen und Meldung von Sicherheitsvorfällen durch die öffentliche Verwaltung und Marktteilnehmer. Sowohl die öffentliche Verwaltung, als auch die Marktteilnehmer werden verpflichtet, technische und organisatorische Maßnahmen zur Erhöhung der IT-Sicherheit zu ergreifen. Diese Vorgaben kennen wir bereits in gewissen Teilen aus dem deutschen IT-Sicherheitsgesetz. Es folgen in Art. 14 eine nähere Beschreibung dieser Maßnahmen und weitere Details.

Art. 15 der NIS-Richtlinie beschäftigt sich mit der Umsetzung und Durchsetzung. Hier wird vorgeschrieben, den zuständigen Behörden “alle Befugnisse” einzuräumen, die für die Untersuchung von Verstößen gegen die Vorgaben der NIS-Richtlinie (bzw. der dann erfolgten verabschiedeten IT-Sicherheitsgesetze) einzuräumen. Eine ähnliche Kompetenzerweiterung hat der deutsche Gesetzgeber durch das IT-Sicherheitsgesetz, welches wiederum das BSI-Gesetz änderte, bereits vorgenommen. Inwiefern hier Anpassungsbedarf besteht, wird sich noch zeigen müssen.

Art. 16 der NIS-RL beschreibt die Normung in Fragen der IT-Sicherheit. Dadurch soll möglichst sichergestellt werden, dass die Mitgliedstaaten nicht “völlig eigene Wege” gehen und es gewisse Normierungen und Spezifikationen gibt, die EU-weit gelten.

Kapitel 5: Schlussbestimmungen der NIS-RL

Die Schlussbestimmungen der NIS-Richtlinie beschäftigen sich u.a. mit den Sanktionen (Art. 17 NIS-RL), dem Ausschussverfahren (Art. 19 NIS-RL) und der Umsetzung (Art. 21 NIS-RL). Sanktionen wurden bereits im deutschen IT-Sicherheitsgesetz auf nationaler Ebene festgelegt. Gemäß des Art. 17 NIS-RL müssen die Sanktionen “wirksam, angemessen und abschreckend” sein und der Kommission mitgeteilt werden. Hier wird also erst noch abzuwarten sein, ob die deutschen Sanktionen den Anforderungen der Kommission genügen.

 
1 Star2 Stars3 Stars4 Stars5 Stars 9 Bewertung(en), durchschnittlich: 4,56 von 5
Loading...
Schreibe einen Kommentar
Deine E-Mail-Adresse wird nicht veröffentlicht.

Sie können folgende HTML-Tags benutzen:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> 

*
*