NIS-Richtlinie verabschiedet: schwierige Umsetzung für digitale Dienste
Das Europäische Parlament hat am 6. Juli 2016 die Richtlinie über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union verabschiedet, kurz NIS-Richtlinie. Damit hat das EU-Parlament den im Ergebnis des Trilogs gefundenen Standpunkt des Rates akzeptiert und das Gesetzgebunsverfahren abgeschlossen. Die NIS-Richtlinie enthält Vorgaben für die EU-Mitgliedsstaaten zur Ausgestaltung ihrer IT-Sicherheit. Sie tritt voraussichtlich im August in Kraft, ist bis Mai 2018 in nationales Recht umzusetzen (zum Entwurf vgl. Gercke, CR 2016, 28-30) und:
- legt unter anderem Anforderungen an nationale Cybersicherheitsstrategien fest,
- verlangt von den Mitgliedsstaaten die Benennung verantwortlicher Behörden und die Einrichtung von CERTs und
- errichtet einen neuen europäischen Mechanismus der Zusammenarbeit bei der Cybersicherheit.
Änderungen für Unternehmen
Für die Unternehmen bedeutsam sind die neuen IT-Sicherheitsanforderungen und Meldepflichten, die nach Umsetzung der NIS-Richtlinie in nationales Recht zu beachten sein werden. Bei der Verpflichtung von Unternehmen unterscheidet die NIS-Richtlinie zwischen:
- Betreibern wesentlicher Dienste und
- Anbietern digitaler Dienste.
Pflichten für "wesentliche Dienste"
Mit "wesentlichen Diensten" sind die kritischen Infrastrukturen gemeint. Weitgehend analog zu dem im Sommer 2015 in Kraft getretenen deutschen IT-Sicherheitsgesetz verlangt die NIS-Richtlinie die Einhaltung von IT-Sicherheitsanforderungen und die Meldung von Sicherheitvorfällen, die erhebliche Auswirkungen auf die Verfügbarkeit des wesentlichen Dienstes, also der kritischen Infrastruktur haben.
Die Mitgliedsstaaten müssen nun die in der NIS-Richtlinie nur grob skizzierten Sektoren der kritischen Infrastrukturen genauer analysieren und bestimmen, welche Dienste konkret als wesentliche Dienste zu sehen sind. Deren Betreiber müssen anschließend Sicherheitsanforderungen einhalten und Vorfälle melden.
Eine Umsetzung dieser Regelungen in deutsches Recht wird wegen der hohen Analogie zum IT-Sicherheitgesetz nicht schwer fallen. Mit der im Mai 2016 in Kraft getretenen Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-Kritisverordnung) hat der deutsche Gesetzgeber schon wesentliche Vorarbeiten geleistet.
Pflichten für "digitale Dienste"
Die Regelungen der NIS-Richtlinie über digitale Dienste werfen allerdings schwierige Umsetzungsfragen auf - zumal im Zusammenhang mit schon regulierten IT- und TK-Diensten.
Definition: Digitale Dienste im Sinne der NIS-Richtlinie sind
- Online-Marktplätze,
- Online-Suchmaschinen und
- Cloud-Computing-Dienste.
Solche digitalen Dienste werden durch die NIS-Richtlinie grundsätzlich etwas schwächer reguliert als die kritischen Infrastrukturen.
Auch für sie müssen zwar angemessene Sicherheitsvorsorge getroffen und Sicherheitsvorfälle gemeldet werden. Die Mitgliedsstaaten müssen allerdings nicht a priori im Detail festlegen, welche Anbieter unter die Verpflichtung fallen.
Eine Kontrolle der Einhaltung der Verpflichtungen erfolgt nur ex-post, während Betreiber kritischer Infrastrukturen bereits im Vorhinein - wie schon im IT-Sicherheitsgesetz - zur Führung von Nachweisen verpflichtet werden können.
Gleichwohl gehen die Anforderungen an digitale Dienste über das IT-Sicherheitsgesetz hinaus:
- Das deutsche Recht sieht mit der Schaffung des § 13 Abs. 7 TMG lediglich Maßnahmen der IT-Sicherheit nach dem Stand der Technik vor. Meldepflichten sind nicht vorgesehen.
- Demgegenüber verlangt das EU-Recht nunmehr Meldepflichten und auch stärkere materielle Vorgaben für Unternehmen, etwa ein Business Continuity Management oder Konzepte zur Bewältigung von Sicherheitsvorfällen (Notfall-Konzepte).
Näheres hängt von Durchführungsrechtsakten der EU-Kommission ab, die bis Mitte 2017 zu erlassen sind. Eine Änderung des Telemediengesetzes wird erforderlich sein, um diese Verpflichtung der NIS-Richtlinie umzusetzen.
Drohende Zersplitterung
Die Gefahr einer Zersplitterung der IT-Sicherheitsanforderungen für Dienste aus dem Bereich der Informationstechnik und Telekommunikation ist dabei sehr hoch:
- TK-Netze und die meisten TK-Dienste sind aus den Anwendungsbereichen von NIS-Richtlinie und IT-Sicherheitsgesetz (zumindest partiell) ausgenommen, weil Sicherheitsmaßnahmen schon in der europäischen TK-Richtlinie und im TKG festgelegt sind.
- Vertrauensdienste nach der EU-eIDAS-Verordnung, also in der Regel Trust-Center-Leistungen, werden von der NIS-Richtlinie ausgenommen, im deutschen IT-Sicherheitsgesetz und der BSI-Kritis-Verordnung aber partiell erfasst.
- Einige wenige IT- und TK-Dienste werden in der NIS-Richtlinie als wesentliche Dienste - also kritische Infrastrukturen - einbezogen, nämlich Internet Exchange Points (wie DE-CIX), DNS-Diensteanbieter und TLS Name Registries, letztere erstaunlicherweise, obwohl man sie auch als Vertrauensdienste einstufen könnte. Das IT-Sicherheitsgesetz mit der BSI-Kritis-Verordnung nennt zusätzlich Housing, IT-Hosting und Content Delivery Networks (CDN) als kritische Infrastrukturdienste.
- Hier stellt sich die Frage der Abgrenzung zu den digitalen Diensten der NIS-Richtlinie. Cloud-Computing-Dienste sind dort sehr allgemein als "digitaler Dienst, der den Zugang zu einem skalierbaren und elastischen Pool gemeinsam nutzbarer Rechenressourcen ermöglicht" definiert. Überschneidungen zu Hosting und CDN sind offensichtlich.
- Für Telemediendienste jeder Art definiert § 13 Abs. 7 TMG Sicherheitsanforderungen. Digitale Dienste im Sinne der NIS-Richtlinie sind hiervon umfasst, darüber hinaus aber auch andere Dienste wie Soziale Netzwerke oder Webshops, die die NIS-Richtlinie - nach langen politischen Diskussionen - nicht verpflichten will.
Fazit
Für jede dieser Arten von IT- und TK-Diensten ergeben sich andere Sicherheitsanforderungen, Meldepflichten und Aufsichtsstrukturen. In der Zusammenschau ist es für Anbieter digitaler Dienste nur schwer erkennbar, welches Recht ab Mai 2018 für wen gilt. Dann endet sowohl die Umsetzungsfrist der NIS-Richtlinie als auch die Schonfrist aus dem IT-Sicherheitsgesetz.
Es bleibt zu hoffen, dass der deutsche Gesetzgeber durch Modifikationen im IT-Sicherheitsgesetz und im TMG bis dahin für mehr Einheitlichkeit sorgt.