Die Europäische Union hat ihre erste allgemeine Richtlinie zur IT-Sicherheit verabschiedet. Mit der Veröffentlichung der Richtlinie über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union (NIS-Richtlinie) im Amtsblatt der Europäischen Union am 19. Juli 2016 (L 194/1) ist der über dreijährige Gesetzgebungsprozess zum Abschluss gekommen. Die EU-Kommission hatte im Februar 2013 einen Vorschlag vorgelegt, die IT- und Cybersicherheit auf europäischer Ebene rechtlich zu regeln. Im Ergebnis der Verhandlungen zwischen Parlament, Rat und Kommission ist eine sehr weitgehende Richtlinie entstanden, die am 8. August 2016 in Kraft tritt. Die Richtlinie sieht Maßnahmen zur Verbesserung der IT- und Cybersicherheit auf drei verschiedenen Ebenen vor.
Zum einen müssen die EU-Mitgliedsstaaten ihre Anstrengungen zur Cybersicherheit harmonisieren: jeder Staat muss eine Cybersicherheitsstrategie vorlegen, eine (oder mehrere) zuständige Behörde(n) benennen und ein oder mehrere nationale Computer Emergency Response Teams (CERTs) einrichten. Für die meisten Mitgliedsstaaten sollten diese drei Anforderungen nicht schwierig umzusetzen sein. Allenfalls die Benennung zuständiger Behörden wird in föderalen Staaten wie Deutschland nicht einfach. Deutschland wird voraussichtlich Behörden auf Bundes- ebenso wie auf Landesebene benennen; zentraler Ansprechpartner aber wird sicherlich das BSI sein.
Zum zweiten wird ein europäischer Kooperationsmechanismus errichtet, um sowohl die strategische wie auch die operative Zusammenarbeit der Mitgliedsstaaten zu vertiefen. Strategisch wird eine neue Cooperation Group eingerichtet, operativ das bestehende CERT-Netzwerk ausgebaut, um unter anderem Informationen über Sicherheitsvorfälle auszutauschen.
Zum dritten enthält die Richtlinie IT-Sicherheits-Vorgaben für Unternehmen, sowohl für die Betreiber der kritischen Infrastrukturen wie auch für die Anbieter einiger digitaler Dienste. In den Sektoren Energie, Transport, Banken, Finanzmarktinfrastrukturen, Gesundheit, Wasser und digitale Infrastrukturen müssen die Betreiber durch die nationalen Gesetzgeber verpflichtet werden, technisch-organisatorische Maßnahmen zur Prävention von IT-Sicherheitsvorfällen zu ergreifen und Vorfälle gegenüber den nationalen Behörden (nicht gegenüber der EU) zu melden. Nicht als kritische Infrastrukturen angesehen, aber gleichwohl mit – etwas reduzierten – Verpflichtungen versehen werden bestimmte digitale Dienste: Online-Marktplätze, Cloud Computing Services und Suchmaschinen sollen wegen ihrer grundlegenden Bedeutung für die digitale Welt ebenfalls Sicherheitsmaßnahmen ergreifen und Vorfälle melden. Für diese Anbieter sind aber zunächst Ausführungsbestimmungen abzuwarten, die die Kommission bis Mitte 2017 erlässt.
Die EU-Mitgliedsstaaten müssen die jetzt verabschiedete Richtlinie binnen 21 Monaten, also bis Mai 2018 in nationales Recht umsetzen. Dazu wird in Deutschland das durch das IT-Sicherheitsgesetz geänderte BSI-Gesetz erneut geändert werden müssen. Diese Änderungen werden eher gering ausfallen, weil das IT-Sicherheitsgesetz die Brüsseler Pläne schon weitgehend aufgenommen hat. Aber auch weitere deutsche Gesetze wie das TKG und das TMG werden an die europäischen Sicherheitsvorgaben für digitale Infrastrukturen und Dienste angepasst werden müssen – hier sind die Auswirkungen der EU-Richtlinie noch nicht so deutlich wie hinsichtlich des IT-Sicherheitsgesetzes.
In jedem Fall werden sich die Betreiber kritischer Infrastrukturen und die Anbieter digitaler Dienste intensiv mit der neuen EU-Richtlinie beschäftigen müssen, weil das EU-Recht auch Sanktionen verlangt: Die Mitgliedsstaaten müssen durch nationales Recht “wirksame, angemessene und abschreckende” Sanktionen für den Verstoß gegen Sicherheitsanforderungen und Meldepflichten vorsehen. Die NIS-Richtlinie und ihre Umsetzung im Unternehmen werden nicht nur ein für die CISOs, auch die Compliance Abteilungen der Unternehmen sind gefordert.
Text der Richtlinie im Amtsblatt der EU: http://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=OJ:L:2016:194:FULL
Text of the directive in the Official Journal of the EU: http://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=OJ:L:2016:194:FULL