IT-Sicherheit in der öffentliche Verwaltung: Was bedeutet die NIS-RL für Behörden?

Die EU-Kommission hat sich Ende Dezember 2015 auf die sog. NIS-Richtlinie (Richtlinie zur gemeinsamen Erhöhung der Netz- und Informationssicherheit) geeinigt. Ziel dieser Richtlinie ist es, die Cybersicherheit europaweit zu erhöhen. Der deutsche Gesetzgeber hat Mitte 2015 bereits das IT-Sicherheitsgesetz verabschiedet, welches eine ähnliche Zielsetzung hatte. Allerdings geht die NIS-Richtlinie unserer Einschätzung nach viel weiter als das jetzige IT-Sicherheitsgesetz. Insbesondere sind von der NIS-Richtlinie Behörden, dem Wortlaut der NIS-Richtlinie nach die “öffentlichen Verwaltungen” insgesamt betroffen.

Unsere Kanzlei beschäftigt sich intensiv mit dem IT-Sicherheitsgesetz, der NIS-Richtlinie und der EU-Datenschutzgrundverordnung. Gern können Sie uns kontaktieren, wenn Sie eine Frage zu diesen Themen haben.

Öffentliche Verwaltung von NIS-Richtlinie tangiert

Anders als das IT-Sicherheitsgesetz spricht die NIS-Richtlinie nicht hauptsächlich nur kritische Infrastrukturen an, sondern auch „Marktteilnehmer“ und „öffentliche Verwaltungen“, vgl. Art. 1 Nr. 2 lit. c) NIS-RL. Auch die Sicherheitsanforderungen und Meldepflichten sind gem. Art. 14 Abs. 1 NIS-RL auf „Marktteilnehmer“ und „öffentliche Verwaltungen“ gerichtet, Zitat: „Die Mitgliedstaaten stellen sicher, dass öffentliche Verwaltungen und Marktteilnehmer geeignete technische und organisatorische Maßnahmen ergreifen, um die Risiken für die Sicherheit der Netze und Informationssysteme, die ihnen unterstehen und die sie für ihre Tätigkeiten nutzen, zu managen.“

Insbesondere ist nicht ersichtlich, dass die NIS-Richtlinie den Begriff der öffentlichen Verwaltung eingrenzt. Scheinbar sind alle Behörden damit gemeint. Dies ergibt auch vor dem Hintergrund der Zielsetzung der Richtlinie Sinn: Was nützt IT-Sicherheit lediglich auf Bundesebene? Was nützt IT-Sicherheit im BKA, wenn die LKAs nicht auch zur technischen Aufrüstung verpflichtet werden? IT-Sicherheit ist als staatliche Aufgabe nur dann zu gewährleisten, wenn tatsächlich alle staatlichen Stellen, die IT-Infrastrukturen nutzen, technisch und organisatorisch die Herausforderungen der Cybersicherheit meistern. Dazu gehört letztlich, dass alle Behörden, also die gesamte öffentliche Verwaltung ihren Teil zur gesamtstaatlichen IT-Sicherheit leisten.

Behörden müssen bezüglich IT-Sicherheit aufrüsten

Die NIS-RL ist nicht unmittelbar anwendbares deutsches Recht, sondern wird den nationalen Gesetzgeber auf den Plan rufen, vgl. Art. 2 NIS-RL (Mindestharmonisierung). Wir nehmen an, dass das IT-Sicherheitsgesetz im Detail noch aufgrund der NIS-RL angepasst werden muss. Inwieweit der nationale Gesetzgeber die Landesbehörden dann doch über das IT-Sicherheitsgesetz, oder etwa über ein anderes Gesetz zur Umsetzung der NIS-RL unmittelbar miteinbeziehen wird, ist derzeit nicht klar. Das BSI wird eventuell eine erneute Kompetenzerweiterung erfahren, die gewisse Befugnisse auch gegenüber den Landesbehörden zum Gegenstand haben könnte, Zitat: „Die zuständige Behörde kann die Öffentlichkeit unterrichten oder die öffentliche Verwaltung und die Marktteilnehmer zur Unterrichtung verpflichten, wenn sie zu dem Schluss gelangt, dass die Bekanntmachung des Sicherheitsvorfalls im öffentlichen Interesse liegt.“

Wie auch immer der deutsche Gesetzgeber die NIS-Richtlinie umsetzen wird – sei es mittels Anpassungen des IT-Sicherheitsgesetzes, oder eines eigenen Gesetzes zur Umsetzung der NIS-Richtlinie -, die öffentliche Verwaltung muss ihre IT-Infrastrukturen technisch aufrüsten und organisatorische Maßnahmen zur Gewährleistung der IT-Sicherheit ergreifen.

Die NIS-RL ist jedoch noch nicht vom Europäischen Parlament verabschiedet, sondern liegt derzeit nur als Vorschlag der EU-Kommission vor. Eine endgültige, vom Europäischen Parlament verabschiedete Fassung muss daher noch abgewartet werden.

Druck auch seitens der EU-Datenschutzgrundverordnung

Nicht nur mittels der NIS-Richtlinie werden alle Behörden der öffentlichen Verwaltung zur technischen Sicherung ihrer IT-Infrastrukturen seitens der EU angehalten. Auch die EU-Datenschutzgrundverordnung sieht in Teilen technische Regelungen vor. Art. 30 der EU-Datenschutzgrundverordnung stellt klar, dass jede verantwortliche Stelle – und dazu gehören auch alle Behörden, die personenbezogene Daten verarbeiten – im Rahmen der Angemessenheit technische und organisatorische Maßnahmen zum Schutz der Daten ergreifen muss. Da die Daten heutzutage größtenteils in der IT-Infrastruktur liegen, geht es also auch hier um eine technische Aufrüstung der IT-Infrastruktur.

Die öffentliche Verwaltung sieht sich also einerseits seitens der NIS-Richtlinie, andererseits durch die EU-Datenschutzgrundverordnung vor neuen Herausforderungen.

 

 
1 Star2 Stars3 Stars4 Stars5 Stars 5 Bewertung(en), durchschnittlich: 5,00 von 5
Loading...
Schreibe einen Kommentar
Deine E-Mail-Adresse wird nicht veröffentlicht.

Sie können folgende HTML-Tags benutzen:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> 

*
*