Die Europ\u00e4ische Union hat ihre erste allgemeine Richtlinie zur IT-Sicherheit verabschiedet. Mit der Ver\u00f6ffentlichung der Richtlinie u\u00cc\u02c6ber Ma\u00dfnahmen zur Gewa\u00cc\u02c6hrleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union (NIS-Richtlinie) im Amtsblatt der Europ\u00e4ischen Union am 19. Juli 2016 (L 194\/1) ist der \u00fcber dreij\u00e4hrige Gesetzgebungsprozess zum Abschluss gekommen. Die EU-Kommission hatte im Februar 2013 einen Vorschlag vorgelegt, die IT- und Cybersicherheit auf europ\u00e4ischer Ebene rechtlich zu regeln. Im Ergebnis der Verhandlungen zwischen Parlament, Rat und Kommission ist eine sehr weitgehende Richtlinie entstanden, die am 8. August 2016 in Kraft tritt. Die Richtlinie sieht Ma\u00dfnahmen zur Verbesserung der IT- und Cybersicherheit auf drei verschiedenen Ebenen vor.<\/p>\n
Zum einen m\u00fcssen die EU-Mitgliedsstaaten ihre Anstrengungen zur Cybersicherheit harmonisieren: jeder Staat muss eine Cybersicherheitsstrategie vorlegen, eine (oder mehrere) zust\u00e4ndige Beh\u00f6rde(n) benennen und ein oder mehrere nationale Computer Emergency Response Teams (CERTs) einrichten. F\u00fcr die meisten Mitgliedsstaaten sollten diese drei Anforderungen nicht schwierig umzusetzen sein. Allenfalls die Benennung zust\u00e4ndiger Beh\u00f6rden wird in f\u00f6deralen Staaten wie Deutschland nicht einfach. Deutschland wird voraussichtlich Beh\u00f6rden auf Bundes- ebenso wie auf Landesebene benennen; zentraler Ansprechpartner aber wird sicherlich das BSI sein.
\nZum zweiten wird ein europ\u00e4ischer Kooperationsmechanismus errichtet, um sowohl die strategische wie auch die operative Zusammenarbeit der Mitgliedsstaaten zu vertiefen. Strategisch wird eine neue Cooperation Group eingerichtet, operativ das bestehende CERT-Netzwerk ausgebaut, um unter anderem Informationen \u00fcber Sicherheitsvorf\u00e4lle auszutauschen.<\/p>\n
Zum dritten enth\u00e4lt die Richtlinie IT-Sicherheits-Vorgaben f\u00fcr Unternehmen, sowohl f\u00fcr die Betreiber der kritischen Infrastrukturen wie auch f\u00fcr die Anbieter einiger digitaler Dienste. In den Sektoren Energie, Transport, Banken, Finanzmarktinfrastrukturen, Gesundheit, Wasser und digitale Infrastrukturen m\u00fcssen die Betreiber durch die nationalen Gesetzgeber verpflichtet werden, technisch-organisatorische Ma\u00dfnahmen zur Pr\u00e4vention von IT-Sicherheitsvorf\u00e4llen zu ergreifen und Vorf\u00e4lle gegen\u00fcber den nationalen Beh\u00f6rden (nicht gegen\u00fcber der EU) zu melden. Nicht als kritische Infrastrukturen angesehen, aber gleichwohl mit – etwas reduzierten – Verpflichtungen versehen werden bestimmte digitale Dienste: Online-Marktpl\u00e4tze, Cloud Computing Services und Suchmaschinen sollen wegen ihrer grundlegenden Bedeutung f\u00fcr die digitale Welt ebenfalls Sicherheitsma\u00dfnahmen ergreifen und Vorf\u00e4lle melden. F\u00fcr diese Anbieter sind aber zun\u00e4chst Ausf\u00fchrungsbestimmungen abzuwarten, die die Kommission bis Mitte 2017 erl\u00e4sst.<\/p>\n
Die EU-Mitgliedsstaaten m\u00fcssen die jetzt verabschiedete Richtlinie binnen 21 Monaten, also bis Mai 2018 in nationales Recht umsetzen. Dazu wird in Deutschland das durch das IT-Sicherheitsgesetz ge\u00e4nderte BSI-Gesetz erneut ge\u00e4ndert werden m\u00fcssen. Diese \u00c4nderungen werden eher gering ausfallen, weil das IT-Sicherheitsgesetz die Br\u00fcsseler Pl\u00e4ne schon weitgehend aufgenommen hat. Aber auch weitere deutsche Gesetze wie das TKG und das TMG werden an die europ\u00e4ischen Sicherheitsvorgaben f\u00fcr digitale Infrastrukturen und Dienste angepasst werden m\u00fcssen – hier sind die Auswirkungen der EU-Richtlinie noch nicht so deutlich wie hinsichtlich des IT-Sicherheitsgesetzes.
\nIn jedem Fall werden sich die Betreiber kritischer Infrastrukturen und die Anbieter digitaler Dienste intensiv mit der neuen EU-Richtlinie besch\u00e4ftigen m\u00fcssen, weil das EU-Recht auch Sanktionen verlangt: Die Mitgliedsstaaten m\u00fcssen durch nationales Recht “wirksame, angemessene und abschreckende” Sanktionen f\u00fcr den Versto\u00df gegen Sicherheitsanforderungen und Meldepflichten vorsehen. Die NIS-Richtlinie und ihre Umsetzung im Unternehmen werden nicht nur ein f\u00fcr die CISOs, auch die Compliance Abteilungen der Unternehmen sind gefordert.<\/p>\n
Text der Richtlinie im Amtsblatt der EU: http:\/\/eur-lex.europa.eu\/legal-content\/DE\/TXT\/PDF\/?uri=OJ:L:2016:194:FULL<\/a> Die Europ\u00e4ische Union hat ihre erste allgemeine Richtlinie zur IT-Sicherheit verabschiedet. Mit der Ver\u00f6ffentlichung der Richtlinie u\u00cc\u02c6ber Ma\u00dfnahmen zur Gewa\u00cc\u02c6hrleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union (NIS-Richtlinie) im Amtsblatt der Europ\u00e4ischen Union am 19. Juli … Continue reading
\nText of the directive in the Official Journal of the EU: http:\/\/eur-lex.europa.eu\/legal-content\/EN\/TXT\/PDF\/?uri=OJ:L:2016:194:FULL<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"