NIS-Richtlinie und IT-Sicherheitsgesetz: Ein Vergleich

Auf europäischer Ebene ist Anfang Dezember 2015 eine Einigung für die EU-Richtlinie zur Netz- und Informationssicherheit, oder auch kurz NIS-Richtlinie, erfolgt. Die NIS-Richtlinie, welche als EU-Richtlinie von allen Mitgliedsstaaten der EU umgesetzt werden muss, richtet sich primär auf die Sicherheit im Internet sowie der Sicherheit privater Netze und Informationssysteme. Als Teil der Cyber-Sicherheitsstrategie der EU wendet sie sich in erster Linie der wachsenden Cyber-Kriminalität zu, welche sie zu mindern sucht.

Im vergangenen Jahr wurde in Deutschland ein in die gleiche Richtung zielendes Gesetz verabschiedet, das IT-Sicherheitsgesetz. Es modifizierte mannigfaltige andere Gesetze und modernisierte damit das nationale Recht, um ebenfalls als Teil einer nationalen Cyber-Sicherheitsstrategie für mehr Sicherheit im Internet zu sorgen.

Die nun erfolgte Einigung über die NIS-Richtlinie wirft natürlich die Frage auf, inwieweit das nationale IT-Sicherheitsgesetz hiervon betroffen ist, da die NIS-Richtlinie wie bereits erwähnt in deutsches Recht umgesetzt werden muss. Der vorliegende Beitrag soll daher aufzeigen, was beide Normenwerke überhaupt regeln. Dabei wird der Blick schwerpunktmäßig auf folgende Frage gerichtet: Ergänzen sie sich als gleichzielende Regelungswerke, oder widersprechen sie sich gar, sodass der nationale Gesetzgeber Punkte des ebenfalls recht neuen IT-Sicherheitsgesetzes wieder herausnehmen muss?

Verlauf und status quo der Verhandlungen zur NIS-Richtlinie

Vorgeschlagen wurde die NIS-Richtlinie am 7.2.2013 von der EU-Kommissarin für die Digitale Agenda, Neelie Kroes. Am 13.03.2014 stimmte das Parlament über den Vorschlag ab. Am 15.4.2013 wurde der Ausschuss für Binnenmarkt und Verbraucherschutz (IMCO) des Europäischen Parlaments für die NIS-Richtlinie als zuständig bestimmt. Dieser legte – ergänzt durch Stellungnahmen des Ausschusses für bürgerliche Freiheiten, Justiz und Inneres (LIBE), des Ausschusses für Industrie, Forschung und Energie (ITRE) und des Ausschusses für auswärtige Angelegenheiten (AFET) – einen Bericht vor, in dem einige der Änderungsanträge aus dem LIBE Eingang gefunden haben, insbesondere was den Datenschutz angeht.

Die meisten der Änderungsanträge wurden jedoch mangels Mehrheit nicht eingearbeitet, auch nicht, als diese im Plenum erneut eingereicht worden sind. Dabei wurde unter anderem gefordert, dass Software-Hersteller für erhebliche Sicherheitsmängel haftbar gemacht werden können und im Anwendungsbereich der Bestimmungen über Sicherheitsanforderungen und Meldung von Sicherheitsvorfällen liegen sollen. Außerdem wurde versucht, eine Regelung zu implementieren, dass Daten nur im Kooperationsnetzwerk ausgetauscht werden können, wenn sie unter EU- Datenschutzrecht fallen und die Einbeziehung von Akteuren aus Drittstaaten nur erfolgen sollte, wenn diese Drittländer ein gleiches Datenschutzniveau bieten. Grade letzter Punkt wird vor der aktuellen Rechtsprechung des EuGH bedeutsam, da dieser zum Safe Harbour-Abkommen der EU mit den USA judizierte, dass eine Übermittlung von Daten in die USA nicht mit den europäischen Datenschutz-Standards in Einklang zu bringen ist (Siehe zum Safe-Harbour-Urteil des EuGH den Beitrag auf unserem Blog, abrufbar unter https://www.recht-freundlich.de/datenschutz/safe-harbour-und-eugh-urteil).

Ursprünglich war der Anwendungsbereich der NIS-Richtlinie weiter gefasst als nun beschlossen, denn anfangs waren auch Dienstleistungswebsites wie soziale Netzwerke von den Regelungen erfasst. Im Verlauf der Verhandlungen wurde die Zielrichtung der NIS-Richtlinie jedoch auf sog. “kritische Infrastrukturen” justiert (siehe zu den „kritischen Infrastrukturen“ noch weiter unten).

Im März 2014 setzte sich das Europäische Parlament mit dem Richtlinienvorschlag auseinander und gab ihre Stellungnahme ab (Die Stellungnahme des Europäischen Parlaments ist abrufbar unter http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-//EP//TEXT+TA+P7-TA-2014-0244+0+DOC+XML+V0//DE).

Konfrontiert mit den etlichen Änderungsvorschlägen gestalteten sich die weiteren Verhandlungen langwierig und oft ergebnislos, weswegen unter der italienischen Ratspräsidentschaft keine Einigung auf eine endgültige Fassung der NIS-Richtlinie erfolgt ist. Bis die folgende, lettische Ratspräsidentschaft die Verhandlungen erneut aufnahm, vergingen mehrere Monate. Dabei war das Bestreben jedoch nicht davon getragen, nun zu einer schnellen Einigung zu kommen, vielmehr gab es weiteren Verhandlungsbedarf, da einige Zugeständnisse des Rates gegenüber dem Parlament mit weiteren Änderungsvorschlägen ergänzt wurden.

Der bisherige Verlauf der Verhandlungen über die neue NIS-Richtlinie lies insgesamt erkennen, dass die Mitgliedstaaten untereinander kaum zur Kooperation bereit waren und noch ein weiter Weg bis zur Verabschiedung eines endgültigen Kompromisses gegangen werden musste. In der Folge sind vier Triloge abgehalten worden, in denen kein einheitliches Ergebnis erreicht werden konnte:

14.10.2014: 1. Trilog

11.11.2014: 2. Trilog

30.4.2015: 3. Trilog

29.6.2015: 4. Trilog

Umso überraschender wurde am 7.12.2015 verkündet, das Europäische Parlament und die Kommission hätten sich auf einen Wortlaut der NIS-Richtlinie geeinigt (siehe hierzu die offizielle Pressemeldung unter http://www.europarl.europa.eu/news/en/news-room/content/20151207IPR06449/html/MEPs-close-deal-with-Council-on-first-ever-EU-rules-on-cybersecurity ). Die NIS-Richtlinie ist damit letzten Endes als gesichert zu sehen.

Ziel der NIS-Richtlinie

Wie bereits erwähnt hat die EU eine Cyber-Sicherheitsstrategie festgelegt, zu der die NIS-Richtlinie als bedeutender Teil gehört. Anders als eine Verordnung hat die NIS-Richtlinie zwar keine Direktwirkung in den Mitgliedsstaaten der EU, diese müssten sie aber in nationales Recht umsetzen. Folge dieses Vorgehens von europäischer Ebene aus ist, dass eine Mindestharmonisierung des geltenden Rechts in der EU vollzogen werden kann. Durch die NIS-Richtlinie wird also sichergestellt, dass das Schutzniveau in allen Mitgliedsstaaten der EU über einem bestimmten Level liegt und nicht mehr darunter sinken kann.

Mit der NIS-Richtlinie will die EU Angriffen auf die Netz- und Informationssicherheit den Kampf ansagen und diesen durch dezidierte Regelungen koordinieren. Dies ist insbesondere deshalb als nötig angesehen, weil sich durch den Wandel der Gesellschaft hin zu einer digitalisierten Gesellschaft flächendeckend die relevanten Lebensbereiche in diese digitale Welt verlagert haben. Die meisten täglichen Arbeiten sind geprägt von technologischer Unterstützung, wobei Netzwerke integraler und monumentaler Bestandteil dieser Technologisierung sind. Ergehen auf diese Netzwerke Cyber-Angriffe oder fallen Systeminstabilitäten auf, hat dies enorme Auswirkungen auf mannigfaltige Gebiete. Durch die immer weiter und stetig voranschreitende Digitalisierung steigt daher qualitativ die Relevanz des einzelnen Cyber-Angriffs oder der einzelnen Systeminstabilität, aber auch rein quantitativ sieht sich die EU und die dazugehörigen Mitgliedsstaaten einer steigenden absoluten Zahl dieser Vorfälle gegenüber. Aus dieser Entwicklung der letzten Jahre schlussfolgerte der europäische Gesetzgeber nunmehr, dass konkrete Regelungen für die Bekämpfung der hierdurch verursachten Unsicherheiten unausweichlich erscheinen, um die Cybersicherheit gewährleisten zu können.

Der NIS-Richtlinie wurde als Ziel gesetzt, die Sicherheit des Internets als solches und der privaten Netze sowie Informationssysteme zu verbessern. Dafür werden bspw. die Mitgliedsstaaten der EU durch die NIS-Richtlinie in die Pflicht genommen, differenzierte Maßnahmen zur Steigerung der Abwehrbereitschaft zu ergreifen. Auch die Zusammenarbeit zwischen den Mitgliedsstaaten soll deutlich verbessert werden, da ein gemeinsames Vorgehen gegen die beschriebenen Unsicherheiten auf der einen Seite deutlich mehr Erfolg verspricht, auf der anderen Seite eine deutlich gesteigerte Effizienz und Durchschlagskraft der Abwehrmaßnahmen die Folge sein kann. Durch die Mindestharmonisierung der NIS-Richtlinie soll dabei ein insgesamt hoher Sicherheitsstandard und eine gemeinsam angegangene Netz- und Informationssicherheit (NIS) in der gesamten EU erreicht werden, da dies als wirksamstes Mittel ausgemacht wurde. Dies ist aber nicht nur aus Sicherheitsgründen sinnvoll, sondern nicht zuletzt auch vor dem Hintergrund des gemeinsamen Binnenmarkts gerechtfertigt, da sich hier gleiche Regeln für alle positiv auswirken. Zwar können abseits der Mindestharmonisierung die nationalen Gesetzgeber noch höhere Standards implementieren, sodass es auch zu Abweichungen zwischen einzelnen Mitgliedsstaaten kommen kann. Diese werden durch die NIS-Richtlinie jedoch geringer ausfallen. Der EU gereicht dies als weiteres Argument, denn sie sieht sich auch in der Pflicht, die Netz- und Informationssicherheit als übergreifende Aufgabe für die gesamte EU zu koordinieren. Nicht zuletzt wurde auf europäischer Ebene festgestellt, dass “[…] die Robustheit und Stabilität der Netze und Informationssysteme eine Voraussetzung für die Vollendung des digitalen Binnenmarkts und für das reibungslose Funktionieren des Binnenmarkts überhaupt” ist. Der Binnenmarkt als Motor für die derzeit bestehende Gemeinschaft ist mit der allgemeinen Sicherheit daher das schlagende Argument für die Implementierung einer NIS-Richtlinie.

Konkrete Regelungen der NIS-Richtlinie

Der finale Text der NIS-Richtlinie wurde von der EU noch nicht veröffentlicht, es wurde lediglich die Pressemitteilung herausgegeben, dass eine Einigung stattgefunden hat. Trotz allem kann man anhand des letzten Vorschlags zur NIS-Richtlinie darauf abstellen, was wohl in den einzelnen Kapiteln der NIS-RL geregelt sein wird.

Kapitel 1: Allgemeine Bestimmungen der NIS-RL

Art. 1 der NIS-Richtlinie regelt den Gegenstand und Geltungsbereich der NIS-Richtlinie. Hierin ist bestimmt, dass die gemeinsame Netz- und Informationssicherheit erhöht werden soll. Im Fokus steht die Prävention der Mitgliedsstaaten der EU im Hinblick auf IT-Sicherheitsvorfälle sowie den sicheren Umgang mit etwaigen Problemen. Für eine bestmögliche Koordination wird eine weitgehende Kooperation zwischen den Mitgliedsstaaten angestrebt. Die Regelungen sollen auch für Marktteilnehmer und öffentliche Verwaltungen gelten.

Art. 2 der NIS-RL legt den Harmonisierungsgrad der NIS-Richtlinie fest. Grundsätzlich möglich ist eine Mindestharmonisierung oder eine Vollharmonisierung, bei welcher die Mindeststaaten keine weitergehenden Regelungen ergänzen könnten. Die NIS-Richtlinie entscheidet sich jedoch für eine Mindestharmonisierung: „Member States shall not be prevented from adopting or maintaining provisions ensuring a higher level of security, without prejudice to their obligations under Union law.“ Den EU-Mitgliedstaat steht es damit frei, über die Regelungen der NIS-Richtlinie hinausgehende, striktere Regelungen zur IT-Sicherheit im jeweiligen nationalen Recht einzuführen, jedoch das Schutzniveau nicht durch weniger strikte Regelungen zu unterlaufen. Für die nationale deutsche Lage und das Verhältnis der NIS-Richtlinie zum IT-Sicherheitsgesetz ist dies der erste bedeutsame Punkt, da hiermit geklärt ist, dass grundsätzlich nationale Regelungen neben der NIS-Richtlinie bestehen können. Fraglich ist daher alleine, ob die Regelungen im IT-Sicherheitsgesetz das Schutzniveau der NIS-Richtlinie übersteigen oder damit im Konflikt stehen. Regelungen des IT-Sicherheitsgesetzes, welche strenger sind als die der NIS-Richtlinie, dürften unproblematisch wirksam sein. Sollte es jedoch Regelungen im IT-Sicherheitsgesetz geben, die hinter dem Schutzniveau aus der NIS-Richtlinie zurückbleiben, so sind diese im Zweifel unwirksam.

In Art. 3 der NIS-Richtlinie finden sich die Definition einiger wichtigrn Begriffe, unter anderem die Einordnung der “Netze und Informationssysteme” oder die Begriffe der “Sicherheit” und “Sicherheitsvorfälle”. Die in Art. 3 der NIS-Richtlinie festgelegten Definitionen sind für die Anwendung der Richtlinie für Bedeutung, da vom festgelegten Inhalt der jeweiligen Begriffe insoweit nicht mehr abgewichen werden kann. Dies ist besonders relevant in den Punkten, in denen es sonst zu Auslegungsprobleme kommen würde.

Kapitel 2: Nationaler Rahmen für die Netz- und Informationssicherheit

In Art. 4 der NIS-RL findet sich ein Grundsatz, nämlich dass die Mitgliedstaaten eine hohe Netz- und Informationssicherheit in ihren Hoheitsgebieten zu gewährleisten haben: „Member States shall ensure a high level of security of the network and information systems in their territories in accordance with this Directive.“ Im Vergleich mit dem IT-Sicherheitsgesetz finden sich hier keine Probleme, denn der deutsche Gesetzgeber hat diesen wichtigen Grundsatzes ebenfalls im IT-Sicherheitsgesetz implementiert. Richtlinie und nationales Gesetz laufen hier also konform, sodass Art. 4 NIS-Richtlinie in Deutschland schon als umgesetzt angesehen werden kann.

In Art. 5 der NIS-Richtlinie ist die nationale NIS-Strategie und der nationale NIS-Kooperationsplan geregelt. Die Mitgliedstaaten der EU werden durch diese Regelung verpflichtet, in ihrem jeweiligen Gebiet NIS-Strategien zu entwickeln und dabei vor allem eine EU-weite Kooperation in IT-Sicherheitsvorfällen mit zu berücksichtigen. Bezogen auf die nationale deutsche Lage ist hier festzuhalten, dass das IT-Sicherheitsgesetz durchaus als eine solche NIS-Strategie angesehen werden kann. Fraglich ist allein, wie weit das IT-Sicherheitsgesetz den Anforderungen der NIS-Richtlinie genügt. Bleibt das IT-Sicherheitsgesetz in einzelnen Punkten hinter der NIS-Richtlinie zurück, muss die deutsche Strategie noch weiter aufgewertet werden.

In Art. 6 der NIS-Richtlinie sind die zuständigen nationalen Behörden für die Netz- und Informationssicherheit geregelt. Dabei obliegt es den einzelnen Mitgliedstaaten, diese Behörden jeweils auf nationaler Ebene einzurichten: „Each Member State shall designate a national competent authority on the security of network and information systems (the “competent authority”).“

In Deutschland kann diese Zuständigkeit an das BSI übertragen werden. Dem BSI sind bereits durch das IT-Sicherheitsgesetz mehrere Erweiterungen der jeweiligen Kompetenzen zugesprochen worden. Ob das BSI-Gesetz, welches die Rechtsfragen im Zusammenhang mit dem BSI regelt, aufgrund der NIS-Richtlinie nochmals geändert werden muss, bleibt dabei noch abzuwarten, momentan ist ein revolutionärer Anpassungsbedarf jedoch nicht zu befürchten. In andere Mitgliedstaaten der EU suieht dies anders aus, denn diese müssen eventuell eine solche Behörde überhaupt erst neu bilden oder komplett umstrukturieren, um der NIS Richtlinie nachzukommen, denn auch eine angemessene Ausstattung der Behörden ist von der NIS-Richtlinie unmissverständlich gefordert: „Member States shall ensure that the competent authorities have adequate technical, financial and human resources to carry out in an effective and efficient manner the tasks assigned to them and thereby to fulfil the objectives of this Directive.“

In Art. 7 der NIS-RL ist etwas besonderes geregelt. Diese Regelung fordert von sämtlichen Mitgliedsstaaten der EU, dass jeder Staat ein eigenes, nationales IT-Notfallteam zusammenstellt, welches von der Richtlinie als „CERT“ (Computer Emergency Response Team) bezeichnet wird: „Each Member State shall set up a Computer Emergency Response Team (hereinafter: “CERT”) responsible for handling incidents and risks according to a well-defined process, which shall comply with the requirements set out in point (1) of Annex I. A CERT may be established within the competent authority.“

Die einzelnen Mitgliedsstaaten müssen diese CERTs sowohl finanziell und technisch als auch personell angemessen ausstatten, damit eine ausreichende IT-Sicherheit auch in einem Notfall gewährleistet werden kann und ein schnelles Eingreifen von kompetenter Stelle möglich ist: „Member States shall ensure that CERTs have adequate technical, financial and human resources to effectively carry out their tasks set out in point (2) of Annex I.“ Die Aufsicht über die CERTs führt die jeweils zuständige nationale Behörde nach Art. 6 NIS-RL.

Kapitel 3: Zusammenarbeit zwischen den zuständigen Behörden

In Art. 8 der NIS-Richtlinie ist die Gründung eines sog. Kooperationsnetzes geregelt: „The competent authorities and the Commission shall form a network (“cooperation network”) to cooperate against risks and incidents affecting network and information systems.“

Das Kooperationsnetz wird von den zuständigen Behörden nach Art. 6 der NIS-RL und der Kommission gebildet und soll die EU-weite Kooperation in Bezug auf die Netz- und Informationssicherheit koordinieren. Die Netz- und Informationssicherheit soll also grade keine von der EU vorgegebene und von den Nationen schlicht umgesetzte Regelungsmaterie werden, sondern soll von einer weitgehenden Zusammenarbeit geprägt werden.

In Art. 9 der NIS-RL ist ein sicheres System für den Informationsaustausch angesprochen. Ein solches System muss zunächst eingerichtet werden und verfolgt das Ziel, den Austausch sensibler und vertraulicher Informationen über das Kooperationsnetz sicher und vertraulich gewährleisten zu können: „The exchange of sensitive and confidential information within the cooperation network shall take place through a secure infrastructure.“ Das nach Art. 8 der NIS-Richtlinie eingerichtete Kooperationsnetz kann aufgrund der hohen Sensibilität der Materie nur mit einem solchen System miteinander angemessen in Kontakt treten. Deswegen schreibt die NIS-Richtlinie auch hierfür eine finanziell, technisch und personell angemessene Ausrüstung vor.

Art. 10 der NIS-Richtlinie befasst sich mit dem System von Frühwarnungen. Die nach Art. 6 zuständigen Behörden und die Kommission werden verpflichtet, als Teil des Kooperationsnetzes in diesem Frühwarnungen auszusprechen, wenn ein NIS-RL-relevanter IT-Sicherheitsvorfall vorliegt. Die NIS-Richtlinie definiert sodann die Fälle, in denen eine solche Frühwarnung und unter welchen Umständen auszusprechen ist: „The competent authorities or the Commission shall provide early warnings within the cooperation network on those risks and incidents that fulfil at least one of the following conditions:

  • (a)  they grow rapidly or may grow rapidly in scale;
  • (b)  they exceed or may exceed national response capacity;
  • (c)  they affect or may affect more than one Member State.“

Als europäische Kooperationsregelung ist eine solche Regel noch nicht im IT-Sicherheitsgesetz implementiert, allerdings findet sich eine regelungstechnisch ähnliche Meldepflicht für gewisse Unternehmen.

In Art. 11 der NIS-RL ist die koordinierte Reaktion auf die nach Art. 10 erfolgten Frühwarnungen geregelt. Hierfür ist erneut das Kooperationsnetz gefragt: „Following an early warning referred to in Article 10 the competent authorities shall, after assessing the relevant information, agree on a coordinated response in accordance with the Union NIS cooperation plan referred to in Article 12.“

In Art. 12 der NIS-Richtlinie wird der Kommission die Befugnis erteilt, mittels Rechtsakten einen NIS-Kooperationsplan festzulegen: „The Commission shall be empowered to adopt, by means of implementing acts, a Union NIS cooperation plan. Those implementing acts shall be adopted in accordance with the examination procedure referred to in Article 19(3).“ Dieser NIS-Kooperationsplan wird in der Folge auch noch näher beschrieben.

Art. 13 der NIS-RL befasst sich erneut mit der Kooperation zwischen den einzelnen Mitgliedsstaaten der EU, genauer mit der internationalen Zusammenarbeit in IT-Sicherheitsfragen: „Without prejudice to the possibility for the cooperation network to have informal international cooperation, the Union may conclude international agreements with third countries or international organisations allowing and organizing their participation in some activities of the cooperation network. Such agreement shall take into account the need to ensure adequate protection of the personal data circulating on the cooperation network.“

Kapitel 4: Sicherheit der Netze und Informationssysteme der öffentlichen Verwaltungen und der Marktteilnehmer

In Art. 14 der NIS-RL sind konkrete Sicherheitsanforderungen und die Meldung von Sicherheitsvorfällen durch die öffentliche Verwaltung und Marktteilnehmer festgelegt. Auch diese müssen technische und organisatorische Maßnahmen treffen, welche ein angemessenes IT-Sicherheitsniveaus gewährleisten können. Im weiteren Wortlaut werden diese Maßnahmen weiter ausgeführt.

Auch das deutsche IT-Sicherheitsgesetz kennt solche Maßnahmen schon, hier sind im Detail jedoch sicher noch einige Ergänzungen denkbar.

In Art. 15 der NIS-Richtlinie finden sich die Regelungen zur Umsetzung und Durchsetzung der Richtlinienregelungen. Hierfür sollen die zuständigen Behörden grundsätzlich sämtliche Befugnisse zugesprochen bekommen, die für die Untersuchung von Verstößen gegen Regelungen der NIS-Richtlinie nötig sind: „Member States shall ensure that the competent authorities have all the powers necessary to investigate cases of non-compliance of public administrations or market operators with their obligations under Article 14 and the effects thereof on the security of networks and information systems.“

Auf nationaler ebene ist eine solche Kompetenzerweiterung bereits durch das IT-Sicherheitsgesetz vorgenommen worden. Das IT-Sicherheitsgesetz hat hierfür das BSI-Gesetz abgeändert. In diesem Punkt sind große Neuerungen daher nicht zu erwarten, sondern allenfalls punktuelle Ergänzungen.

In Art. 16 der NIS-RL sind bestimmte Normungen vorgenommen worden, welche EU-weit gelten sollen.

Kapitel 5: Schlussbestimmungen der NIS-RL

In den Schlussbestimmungen der NIS-Richtlinie finden sich u.a. Regelungen über die Sanktionen bei Verstößen gegen die Regelungen der NIS-Richtlinie (Art. 17 NIS-RL) sowie Regelungen zum Ausschussverfahren (Art. 19 NIS-RL) und der Umsetzung der NIS-Richtlinie (Art. 21 NIS-RL).

Sanktionen müssen beispielsweise nach Art. 17 NIS-Richtlinie wirksam, angemessen und abschreckend sein und bei der Kommission angezeigt werden.

Auf nationaler Ebene wurden im IT-Sicherheitsgesetz bereits Sanktionen festgelegt. Hier wird abzuwarten sein, ob die national geregelten Sanktionen konform mit den Anforderungen durch die NIS-Richtlinie sind.

Verhältnis zum IT-Sicherheitsgesetz

Während sich auf europäischer Ebene nunmehr im Dezember 2015 auf die endgültige NIS-Richtlinie geeinigt wurde, wurde in Deutschland wie bereits dargelegt vom deutschen Gesetzgeber schon im Juni 2015 das sog. IT-Sicherheitsgesetz verabschiedet. Ebenso wie die NIS-Richtlinie ist das IT-Sicherheitsgesetz dabei ein Teil einer Cyber-Sicherheitsstrategie und soll damit ebenfalls für Sicherheit im digitalen Bereich sorgen. Allerdings richtet sich das IT-Sicherheitsgesetz anders als die NIS-Richtlinie auf eine rein nationale statt europäische Ebene. Damit einher geht natürlich, dass nicht sämliche Regelungen des IT-Sicherheitsgesetz mit der NIS-Richtlinie konform gehen kann sowie dass nicht sämtliche Vorgaben der NIS-Richtlinie im IT-Sicherheitsgesetz schon umgesetzt worden sind. Nach der nun erfolgten Einigung über die endgültige Fassung der NIS-Richtlinie besteht dabei also ein erneuter Handlungs- und Überarbeitungsbedarf, welcher sich jedoch grundsätzlich einigermaßen in überschaubaren Bahnen halten sollte.

Durch das IT-Sicherheitsgesetz werden Betreiber besonders gefährdeter Infrastrukturen angesprochen. Wie in der Richtlinie werden diese als Kritische Infrastrukturen bezeichnet, sodass der Wortlaut mit der NIS-Richtlinie konform geht und sich grundsätzlich an die gleiche Zielgruppe wendet. Zu den kritischen Infrastrukturen gehören nach dem IT-Sicherheitsgesetz Einrichtungen, welche mit der Versorgung mit Energie, Wasser, Gesundheit oder Telekommunikation zu tun haben. Das IT-Sicherheitsgesetz soll in erster Linie dafür sorgen, dass die Betreiber dieser kritischen Infrastrukturen für einen verbesserten Schutz ihrer Netze vor Cyber-Kriminalität. Insoweit scheinen IT-Sicherheitsgesetz und NIS-Richtlinie gleichzulaufen.

Ähnlich wie die NIS-Richtlinie ist im IT-Sicherheitsgesetz keine konkrete Festlegung der kritischen Infrastrukturen erfolgt. Das Gesetz definiert in Art. 1 Nr. 2 die Kritischen Infrastrukturen lediglich abstrakt: „(10) Kritische Infrastrukturen im Sinne dieses Gesetzes sind Einrichtungen, Anlagen oder Teile davon, die den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen angehören und 
von hoher Bedeutung für das Funktionieren des Gemeinwesens sind, weil durch ihren Ausfall oder ihre Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit eintreten würden. Die Kritischen Infrastrukturen im Sinne dieses Gesetzes werden durch die Rechtsverordnung nach § 10 Absatz 1 [BSI-Gesetz] näher bestimmt.“ Es wird letzten Endes also auf Rechtsverordnungen ankommen, Diese bestimmten, welche Infrastrukturen überhaupt vom IT-Sicherheitsgesetz betroffen sind. Für jede relevante Branche soll demnach eine eigene Rechtsverordnungen zur Klärung des Anwendungsbereichs des IT-Sicherheitsgesetzes erstellt werden. Hierzu gehören alle Branchen aus den Bereichen Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen. Damit ist nicht nur auf europäischer Ebene, sondern auch aus nationaler Sicht der Anwendungsbereichs nicht allein durch die Hauptregelungswerke zu bestimmen, es bedarf weiterer Regelungswerke und Debatten, wobei Rechtsverordnungen grade auch nicht die gleiche Wirkung entfalten wie Gesetze. Eine Rechtsverordnung ist zwar ebenfalls wie ein Gesetz eine Rechtsnorm, jedoch kein parlamentarisches Gesetz durch die Legislative, , sondern wird durch die Exekutive erlassen. Die Legislative selbst kann dabei rein von der Definition wegen keine eigenen Rechtsverordnungen erlassen, diese jedoch aufgrund des umfassenden Gesetzgebungsrechts ändern bzw. ergänzende Gesetze erlassen, welche sodann über den erlassenen Rechtsverordnung stehen und diesen in ihrer Wirksamkeit vorgehen. Schon im Geltungs- und Anwendungsbereich leiden sowohl Richtlinie als auch IT-Sicherheitsgesetz daher noch an Kinderkrankheiten und bedürfen mit der Zeit weiterer Ausgestaltung.

Inhaltlich verpflichtet das IT-Sicherheitsgesetz die Betreiber der kritischen Infrastrukturen, bei einem IT-Sicherheitsvorfällen diesen zu melden. Das IT-Sicherheitsgesetz legt darüber hinaus ergänzende Mindeststandards für die IT-Sicherheit fest. Hierfür sollen für alle Betreiber der kritischen IT-Infrastrukturen branchenweite Standards implementiert werden.

Über die gesetzlich festgelegten Standards sollen die jeweiligen Branchenverbände Mindeststandards für die Infrastruktursicherheit in ihrer Branche erarbeiten. Diese sollen sodann für die Zukunft als verbindlich festgelegt werden. Das BSI soll dafür die Standards daraufhin untersuchen, ob sie für die jeweilige Branche relevant, sinnvoll und angemessen sind und bei positivem Ausgang der Untersuchung diese Standards genehmigen.

Damit die IT-Sicherheit in der Praxis tatsächlich gewahrt werden kann, sollen die Unternehmen danach alle 2 Jahre nachweisen, dass sie die Anforderungen immer noch erfüllen.

Das IT-Sicherheitsgesetz geht in diesen Regelungen konkreter in die Regelungsmaterie und damit teilweise über die NIS-Richtlinie hinaus. Da es sich bei der NIS-Richtlinie lediglich um eine Mindestharmonisierung handelt, ist dies jedoch unproblematisch, da weitergehende Regelungen unproblematisch möglich und damit wirksam sind.

Das IT-Sicherheitsgesetz stärkt durch die vorgenommenen Änderungen in anderen Gesetzen die Aufsichts- und Sicherheitsbehörden für die Netz- und Informationssicherheit, namentlich das BSI, aber auch das BKA, den BND und das Bundesamt für Verfassungsschutz, sodass diese ihren Aufgaben im Zusammenhang mit der Cyber-Kriminalität besser wahrnehmen können.

Während in der geplanten NIS-Richtlinie eine Kooperation der Mitgliedsstaaten angedacht ist, finden sich im IT-Sicherheitsgesetz keine Regelungen zur internationalen Kooperation, es wird lediglich festgehalten, dass das BSI auch als internationaler Ansprechpartner fungieren soll. Hier ist daher noch Anpassungsbedarf gegeben. Zuzugeben ist hier den Ausführungen der Kritiker, die schon während den Diskussionen zum IT-Sicherheitsgesetz auf die Problematik hingewiesen haben, dass eine Abstimmung mit der EU bzw. der damals schon geplanten NIS-Richtlinie sinnvoll ist. Das IT-Sicherheitsgesetz kann rein denklogisch für die europäisch ausgerichtete Regelungen der NIS-Richtlinie nicht weit genug gefasst sein, was sich grade in den Regelungen über die Zusammenarbeit Ausdruck verleiht. Das Kooperationsnetz, das sichere System für den Informationsaustausch sowie das System für Frühwarnungen sowie sämtliche weiteren Regelungen für die Kooperation zwischen den Mitgliedsstaaten konnten vom deutschen Gesetzgeber nicht berücksichtigt werden. Hier ist größerer Anpassungsbedarf zu sehen, damit das IT-Sicherheitsgesetz der NIS-Richtlinie nachkommen kann.

Zusammenfassung

In den letzten Jahren war eine immer weitergehende Technologisierung und Digitalisierung in allen Bereichen zu spüren. Leider hat dies nicht nur zu Erleichterungen, Möglichkeiten und Vorteilen geführt, sondern auch die Kriminalität hat sich weiter entwickelt. So ist eine sich dürfen weder die EU selbst noch deren einzelne Mitgliedstaaten die Augen verschließen; vielmehr sind sie durch diesem Umstand verpflichtet, eine geeignete und angemessene Cyber-Sicherheitsstrategie aufzustellen.

Die nationale Gesetzgebung war hier in Deutschland dabei schneller als die EU und hat das IT-Sicherheitsgesetz verabschiedet. Die EU zog nun mit der NIS-Richtlinie Anfang Dezember 2015 nach. Die oft als Schnellschuss und ohne Absprache mit der EU sehenden Auges in Kauf genommene Problematik fehlender Abstimmung mit der NIS-Richtlinie hat sich glücklicherweise als nicht zu verhängnisvoll herausgestellt. Grundsätzlich von gleicher Ausrichtung bestehen aber durchaus Unterschiede zwischen bereits in Kraft getretenem IT-Sicherheitsgesetz und der NIS-Richtlinie. Einzelne Regelungen der NIS-Richtlinie finden sich dabei in der ein oder anderen Weise schon in der nationalen Gesetzgebung, insgesamt wird jedoch abgewartet werden müssen, inwieweit der deutsche Gesetzgeber in Einzelheiten das IT-Sicherheitsgesetz noch weiter anpassen muss. Grade im Bereich der Kooperation in der EU und zwischen den Mitgliedsstaaten ist jedoch Nachholbedarf zu sehen. Dies war aufgrund des nationalen Wesens des nationalen IT-Sicherheitsgesetzes jedoch ohnehin zu erwarten. Darüber hinaus bestanden unabhängig von der NIS-Richtlinie ohnehin noch einige klärungsbedürftige Fragen, insbesondere was die Rechtsverordnungen zum Anwendungsbereich angeht. Insgesamt ist es sicher jedoch zu begrüßen, dass sowohl die EU als auch Deutschland als Staat den Zahn der Zeit erkannt hat und der Cyber-Kriminalität mehr Aufmerksamkeit widmet.

Sollten Sie zum IT-Sicherheitsgesetz, der NIS-Richtlinie oder auch der Datenschutz-Grundverordnung Fragen haben, zögern Sie nicht, uns anzusprechen. Wir befassen uns dezidiert mit diesen Regelungen und können Ihnen bei sämtlichen Fragen mit Rat und Tat zur Seite stehen.

 
1 Star2 Stars3 Stars4 Stars5 Stars 6 Bewertung(en), durchschnittlich: 5,00 von 5
Loading...
Schreibe einen Kommentar
Deine E-Mail-Adresse wird nicht veröffentlicht.

Sie können folgende HTML-Tags benutzen:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> 

*
*