NIS-Richtlinie und Cloud-Anbieter: Neue gesetzliche Herausforderungen

Die NIS-Richtlinie, die mittlerweile vom europäischen Gesetzgeber verabschiedet wurde, sieht nicht nur Regelungen für die Betreiber wesentlicher Dienste, sprich kritische Infrastrukturen vor. Die NIS-Richtlinie enthält auch Regelungen für die Anbieter digitaler Dienste. Im Anhang 3 der NIS-Richtlinie ist aufgeführt, welche Arten digitaler Dienste unter die Regelungen der Richtlinie fallen sollen. Dabei geht es um Online-Marktplätze, Online-Suchmaschinen und Cloud-Computing-Dienste. Es wird dabei nicht zwischen privaten und öffentlichen Einrichtungen unterschieden. Dies bedeutet in der Praxis, dass auch die öffentlichen Einrichtungen, die insbesondere Cloud-Computing-Dienste anbieten, als Anbieter digitaler Dienste gemäß Artikel 4 Abs. 6 der NIS-Richtlinie zu sehen sind.

Ziel der NIS-Richtlinie

Ziel der NIS-Richtlinie ist es, mit Sicherheitsanforderungen und Meldepflichten eine Kultur des Risikomanagements auch bei den Anbietern digitaler Dienste zu fördern. Hier geht die NIS-Richtlinie weiter als die Regelung des IT-Sicherheitsgesetzes. Das IT-Sicherheitsgesetz sieht Ausnahmeregelungen für die öffentliche Verwaltung vor. Das Bundesgesetz kann auch nicht Regelungen für die Landesverwaltung und Kommunen schaffen. Hier wird zwar auf der politischen Ebene durchaus diskutiert, ob die Länder entsprechende Landesgesetze erlassen. Es wird aber noch eine erhebliche Zeit dauern, bis flächendeckend jedes Bundesland ein Landes-IT-Sicherheitsgesetz verabschiedet hat. Hier kann es durchaus sein, dass die Richtlinie, die bis 2018 von den Mitgliedstaaten umzusetzen ist, mit ihren Regelungen „überholt“.

Anbieter Digitaler Dienste

Für die Anbieter digitaler Dienste ist in Kapitel IV. der NIS-Richtlinie vorgesehen, dass diese Sicherheitsanforderungen zu erfüllen haben und Sicherheitsvorfälle melden müssen. Anbieter digitaler Dienste sollen durch geeignete und verhältnismäßige technische und organisatorische Maßnahmen sicherstellen, dass die Risiken für die Sicherheit der Netz- und Informationssysteme bewältigt werden können. Dabei verweist die Richtlinie auch auf den Stand der Technik. Es sollte aber nicht nur die Sicherheit der Systeme und Anlagen und die Bewältigung von Sicherheitsvorfällen im Vordergrund stehen. Erwartet wird auch die Einhaltung internationaler Normen, die Überwachung, Überprüfung und Erprobung von Sicherheitsmaßnahmen und ein Business continuity management (BCM).

Auch soll den Auswirkungen von Sicherheitsvorfällen vorgebeugt werden. Hier sind die Mitgliedsstaaten angehalten, entsprechende Maßnahmen zu treffen.

Meldepflichten für alle Cloud-Dienstleistungen

Weiterhin wird erwartet, dass die Anbieter digitaler Dienste, beispielsweise Behörden und kommunale Rechenzentren mit Cloud-Dienstleistungen Sicherheitsvorfälle melden. Allerdings sollen nur Sicherheitsvorfälle gemeldet werden, die erhebliche Auswirkungen auf die Bereitstellung der jeweils zu erbringenden Dienste haben. Die entsprechenden Meldungen müssen Informationen enthalten, die der jeweils zuständigen Behörde das Ausmaß etwaiger grenzübergreifender Auswirkungen des Sicherheitsvorfalls vor Augen führen. Ein Sicherheitsvorfall ist nur dann erheblich, wenn es eine gewisse Zahl von betroffenen Nutzer gibt, der Vorfall eine gewisse Dauer hat und ein gewisses Ausmaß der Unterbrechung der Bereitstellung des Dienstes vorliegt. Auch muss es Auswirkungen auf die wirtschaftlichen und gesellschaftlichen Tätigkeiten geben. Diese Parameter sind in der Richtlinie im Einzelnen genannt.

Weitere Maßnahmen zur NIS-Richtlinie

Es werden in diesem Zusammenhang noch einige Aktivitäten der Kommission erfolgen. Unter anderem soll die Kommission Durchführungsrechtsakte erlassen, um die jeweiligen Parameter für die Einordnung eines Ausfalls als Sicherheitsvorfall zu bestimmen. Auch soll die Kommission Durchführungsrechtsakte zur Festlegung der Form und des Verfahrens erlassen, das für die Meldepflichten gelten soll. Es bleibt abzuwarten, ob diese Vorgaben von den Regelungen des IT-Sicherheitsgesetzes und der KRITIS-VO abweichen.

 
1 Star2 Stars3 Stars4 Stars5 Stars 1 Bewertung(en), durchschnittlich: 5,00 von 5
Loading...
2 Kommentare zu “NIS-Richtlinie und Cloud-Anbieter: Neue gesetzliche Herausforderungen
  • 20. September 2016 um 13:01

    Danke für die Tippfehler-Hinweise 🙂

    Ja, für die Firmen und auch Behörden stehen einige Hausaufgaben an.

    VG
    Thomas Feil

  • 20. September 2016 um 10:22
    Martin Overbeck sagt:

    Tippfehler: Im Absatz “Anbieter Digitaler Dienste” soll es im zweiten Satz statt “nicht” sicherlich “durch” heißen. 😉
    Am Satzende würde ich noch ein “können” anhängen, denn es geht nicht um vermeindliche 100% Sicherheit, sondern um Vorkehrungen, um den Ausbau von (Abwehr- und Reaktions-) Fähigkeiten in Unternehmen und in der Gesellschaft voranzutreiben.

    Bin gespannt, wie in der EU die Umsetzung in jeweils nationales Recht erfolgen wird. Die EU-DSGVO geht als Verordnung mit Fokus Datenschutz halt einen anderen Weg, auch wenn das Datum der Scharfschaltung/Umsetzung jeweils mit Mai 2018 und die Anforderungen für viele Firmen gleichermaßen herausfordernd sein dürften. In beiden Fällen heißt es, möglichst bald anzufangen, seine Hausaufgaben zu machen und Synergieeffekte zu nutzen.

Schreibe einen Kommentar
Deine E-Mail-Adresse wird nicht veröffentlicht.

Sie können folgende HTML-Tags benutzen:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> 

*
*