Umsetzung NIS-Richtlinie in deutsches Recht – Neue Durchführungsverordnung

Lesezeit: ca. 3 Minuten

Die NIS-Richtlinie ist am 8. August 2016 mit dem Titel „Richtlinie (EU) 2016/1148 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen“ in Kraft getreten und sollte bis Mai 2018 in nationales Recht umgesetzt werden. Dies hat der deutsche Gesetzgeber mit Neuregelungen unter anderem im BSI-Gesetz veranlasst. Seit dem 10. Mai 2018 gibt es ein zusätzliches Regelwerk zur NIS-Richtlinie in Form einer Durchführungsverordnung (EU 2018/151).

Neue Durchführungsveordnung zur NIS-Richtlinie

Diese Durchführungsverordnung ist in jedem Mitgliedsstaat der EU anzuwenden und muss nicht in nationales Recht umgesetzt werden. So soll europaweit sichergestellt werden, dass Mindestanforderungen an die IT-Sicherheit für die Anbieter digitaler Dienste gelten. Die Verordnung regelt zu beachtende Sicherheitselemente und verweist auf Parameter, die zur Feststellung von Sicherheitsvorfällen dienen sollen.

Adressat dieser neuen Regelung sind Anbieter digitaler Dienste. Dazu hat die NIS-Richtlinie in Anhang 3 Definitionen vorgesehen. Anbieter digitaler Dienste sind Online-Marktplätze, Online-Suchmaschinen und Cloud-Computing-Dienste. Während die Begriffe „Online-Marktplätze“ und „Online-Suchmaschinen“ eher selbsterklärend sind, stellt sich die Frage, was genau unter „Cloud-Computing-Dienste“ zu verstehen ist. Nach der NIS-Richtlinie handelt es sich dabei um solche Dienste, die einer Vielzahl von Nutzern den Zugriff auf gemeinsam nutzbare Rechenressourcen gestattet. Die Verarbeitung erfolgt aber für jeden Nutzer separat.

Anbieter digitaler Dienste und Cloud-Anbieter betroffen

In der Durchführungsverordnung wird nur gefordert, dass verschiedene Sicherheitselemente umzusetzen sind. Anbieter digitaler Dienste und auch Cloud-Computing-Anbieter sind verpflichtet, für ihre Dienste und Systeme ein Management aufzubauen. Weiterhin sollen Zugangskontrollen durchgeführt werden, und die Systeme sind gegen kriminellen Zugriff und Naturereignisse abzusichern. All dies muss entsprechend auch dokumentiert werden. Sicherheitsvorfälle sollen darüber hinaus gemeldet werden und Schwachstellen regelmäßig überprüft werden. Erwartet wird auch aus Sicht der EU, dass die Anbieter ein Betriebskontinuitätsmanagement einrichten. So sollen die entsprechenden Angebote auch bei Störungen aufrechterhalten bleiben oder schnell wiederhergestellt werden. All dies in Notfallplänen oder Wiederherstellungsplänen zu dokumentieren.

Parameter in der Durchführungsverordnung

In der Durchführungsverordnung zur NIS-Richtlinie sind auch Parameter festgelegt, ab wann erhebliche Auswirkungen von Sicherheitsvorfällen vorliegen. Dabei wird unter anderem auf die Anzahl der betroffenen Nutzer abgestellt, die vertraglich mit dem jeweiligen Anbieter verbunden sind, und die Zahl der Nutzer, die den Dienst während des Sicherheitsvorfalls genutzt haben. Ein weiterer Parameter ist die Dauer des Vorfalls der Unterbrechung und mögliche Auswirkungen auf wirtschaftliche oder gesellschaftliche Tätigkeiten der Nutzer. Dabei sieht die EU unter anderem Auswirkungen im Bereich Gesundheit, Sicherheitsgefährdung oder Sachschäden.

Ausgenommen von den Verpflichtungen sind nur sogenannte Kleinstunternehmen. Ein Kleinstunternehmen beschäftigt weniger als zehn Mitarbeiter und der Jahresumsatz bzw. die Jahresbilanz überschreitet nicht den Betrag von 2 Mio. Euro.

Umsetzung in Deutschland

In Deutschland wurde zunächst das IT-Sicherheitsgesetz am 24. Juli 2015 in Kraft gesetzt. Damit wurde der erste Teil der NIS-Richtlinie umgesetzt. In 2018 wurde dann ein weiterer Teil umgesetzt. In Deutschland sind nicht nur Kleinstunternehmen, sondern auch sogenannte Kleinunternehmen von den Verpflichtungen der Prüfungsverordnung ausgenommen. Kleinunternehmen sind Unternehmen, die weniger als 50 Mitarbeiter haben und deren Jahresumsätze unter 10 Mio. Euro liegen. Für diese Unternehmen entfallen beispielsweise die Meldepflichten.

Die Anbieter von Cloud-Computing-Diensten sollten sich intensiv mit den Anforderungen der Durchführungsverordnung 2018/151 zur NIS-Richtlinie beschäftigen und prüfen, ob die notwendigen Sicherheitselemente betriebsintern eingehalten werden. Auch sollte dokumentiert werden, dass Maßnahmen zur Umsetzung der neuen gesetzlichen Anforderung eingeleitet und umgesetzt worden sind.

Datenschutz und NIS-Richtlinie

Ungeklärt ist noch die Frage, wie das Zusammenspiel der neuen IT-sicherheitsrechtlichen Anforderungen aus der NIS-Richtlinie und der Durchführungsverordnung mit den neuen datenschutzrechtlichen Vorschriften aus der EU-Datenschutz-Grundverordnung ist. Muss beispielsweise der Datenschutzbeauftragte im Rahmen seiner gesetzlichen Überwachungspflichten auch prüfen, ob die Vorschriften zur NIS-Richtlinie und zur Durchführungsverordnung 2018/151 eingehalten worden sind? Zumindest kann aus den neuen gesetzlichen Anforderungen abgeleitet werden, dass die gesetzlichen Anforderungen der Mindeststandard ist, der von den Anbietern einzuhalten ist. Im Rahmen von Auftragsverarbeitungsverhältnissen sollte daher von dem Unternehmen ausdrücklich abgefragt werden, ob und insbesondere wie die Regelung zur Durchführungsverordnung in NIS-Richtlinie eingehalten werden.

Auch hier zeigt sich eine Beobachtung, die wir in anderen Zusammenhängen bereits gemacht haben: Auf der einen Seite entsteht zunehmend ein eigenes „Rechtsgebiet“ zum IT-Sicherheitsrecht, auf der anderen Seite sind aus datenschutzrechtlicher Sicht die neuen Regelungen zum IT-Sicherheitsrecht von erheblicher Bedeutung und sind zu beachten.

Wir unterstützen Unternehmen bundesweit, die die IT-sicherheitsrechtlichen Anforderungen zur NIS-Richtlinie und zur Durchführungsverordnung umsetzen müssen.

 
1 Star2 Stars3 Stars4 Stars5 Stars 3 Bewertung(en), durchschnittlich: 5,00 von 5
Loading...

Rechtsanwalt Thomas Feil in den Medien

Schreibe einen Kommentar
Deine E-Mail-Adresse wird nicht veröffentlicht.

Sie können folgende HTML-Tags benutzen:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> 

*
*

Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen