NIS-Richtlinie: Welche Unternehmen sind betroffen?

Die EU-Kommission hat sich am 07.12.2015 auf die sog. NIS-Richtlinie (Richtlinie zur gemeinsamen Erhöhung der Netz- und Informationssicherheit der Union) geeinigt. Wir haben bereits zur NIS-RL ausführlich berichtet. Eine interessante Detailfrage ist allerdings, welche Unternehmen von den Regelungen der NIS-Richtlinie betroffen sein werden. Zur Beantwortung dieser Frage lohnt sich ein Blick in den Wortlaut der NIS-Richtlinie.

Art. 3 und Art. 14 der NIS-Richtlinie beachten

Art. 14 der NIS-RL sieht vor, dass die Mitgliedstaaten ihre öffentliche Verwaltung und Marktteilnehmer dazu anhalten sollen, technische und organisatorische Maßnahmen zur Erhöhung der IT-Sicherheit zu ergreifen. Hier ist also nicht unmittelbar von “Unternehmen” die Rede, sondern von “Marktteilnehmer”.

Art. 3 Abs. 8 NIS-Richtlinie wiederum definiert die “Marktteilnehmer”:

a) Marktteilnehmer sind Anbieter von Diensten der Informationsgesellschaft, die die Bereitstellung anderer Dienste der Informationsgesellschaft ermöglichen; Anhang II enthält eine nicht erschöpfende Liste solcher Anbieter;

b) Marktteilnehmer sind Betreiber kritischer Infrastrukturen, die für die Aufrechterhaltung zentraler wirtschaftlicher und gesellschaftlicher Tätigkeiten in den Bereichen Energie, Verkehr, Banken, Börsen und Gesundheit unerlässlich sind; Anhang II enthält eine nicht erschöpfende Liste dieser Betreiber;

Hier stellen sich gleich mehrere Fragen. Welche “Anbieter von Diensten der Informationsgesellschaft” sind genau gemeint? Und inwieweit sind Betreiber von kritischen Infrastrukturen im Einzelfall “unerlässlich”? Allerdings liefert die NIS-Richtlinie einige Antworten auf diese Rechtsbegriffe im Anhang II der NIS-Richtlinie.

Anhang II der NIS-Richtlinie konkretisiert

Anhang II der NIS-RL wird als “Liste der Marktteilnehmer” tituliert und enthält folgende Konkretisierungen:

Nach Art. 3 Abs. 8 Buchstabe a NIS-RL sind Marktteilnehmer Plattformen des elektronischen Geschäftsverkehrs, Internet-Zahlungs-Gateways, Soziale Netze, Suchmaschinen, Cloud-Computing-Dienste und Application Stores.

Nach Art. 3 Abs. 8 Buchstabe b NIS-RL sind Marktteilnehmer im Bereich Energie Strom- und Gasversorger, Verteilernetzbetreiber und Endkundenlieferanten im Stom- und/oder Gassektor, Erdgas-Fernleitungsnetzbetreiber, Erdgasspeicher- und LNG-Anlagebetreiber, Übertragungsnetzbetreiber (Strom), Erdöl-Fernleitungen und Erdöllager, Strom- und Gasmarktteilnehmer sowie Betreiber von Erdöl- und Erdgas-Produktions-, Raffinations- und Behandlungsanlagen.

Im Bereich Verkehr sind unter Marktteilnehmer zu verstehen: Luftfahrtunternehmen, Beförderungsunternehmen des Seeverkehrs, Eisenbahnen, Flughäfen, Häfen, Betreiber von Verkehrsmanagement- und Verkehrssteuerungssystemen sowie unterstützende Logistikdienste.

Im Bereich Bankwesen sind Marktteilnehmer Kreditinstitute nach Art. 4 Abs. 1 der Richtlinie 2006/48/EG. Im Bereich Finanzmarktinfrastrukturen sind gemeint Börsen und Clearingstellen mit zentraler Gegenpartei. Im Gesundheitswesen wiederum sind unter Marktteilnehmer zu verstehen: Einrichtungen der medizinischen Versorgung (einschließlich Krankenhäuser und Privatkliniken) sowie andere Einrichtungen der Gesundheitsfürsorge.

“Nicht erschöpfend aufgelistet” – was bedeutet das?

Zwar sind im Anhang II der NIS-Richtlinie einige Konkretisierungen zur Frage, welche Unternehmen betroffen sind zu finden, allerdings sind diese dort vorgenommenen Konkretisierungen wiederum im wahrsten Sinne des Wortes endgültig, da beispielsweise “Plattformen des elektronischen Geschäftsverkehrs” ein weiter Begriff ist. Außerdem stellt die NIS-RL selbst in Art. 3 Abs. 8 klar, dass die Auflistung nicht abschließend ist. Dies bedeutet unter Umständen, dass noch weitere Unternehmen und weitere Bereiche hinzukommen. Insbesondere Art. 2 NIS-RL (Mindestharmonisierung) sieht vor, dass die Mitgliedstaaten in der Umsetzung durchaus “weiter” gehen dürfen – also strengere Maßstäbe ansetzen können, darunter fällt auch die Ausweitung des Anwendungsbereichs und die Ausweitung der betroffenen Marktteilnehmer. Dies ist auch im Sinne der NIS-RL (Grundsatz der Erhöhung der Netz- und Informationssicherheit).

Spannend ist die Frage, inwieweit das IT-Sicherheitsgesetz bezüglich der NIS-Richtlinie “weiter geht” oder gar unter den Anforderungen bleibt. Es mag sein, dass erneuter gesetzgeberischer Handlungsbedarf auf nationaler Ebene entsteht. Wir halten Sie gern auf dem Laufenden und stehen für Rückfragen zur Verfügung.

 

 

 
1 Star2 Stars3 Stars4 Stars5 Stars 8 Bewertung(en), durchschnittlich: 4,50 von 5
Loading...
Schreibe einen Kommentar
Deine E-Mail-Adresse wird nicht veröffentlicht.

Sie können folgende HTML-Tags benutzen:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> 

*
*