Am 06.07.2016 hat das Europäische Parlament die Richtlinie zur Netz- und Informationssicherheit (NIS-Richtlinie) angenommen und damit nach mehr als drei Jahren endgültig bestätigt.

Den Hintergrund der Richtlinie, die noch in nationales Recht umzusetzen ist, bildet die steigende Bedrohung der von elektronischen Netzen und Informationssystemen zunehmend abhängigen Gesellschaft. Gefahren bestehen durch Online-Betrug und Cyber-Attacken, sei es in Form von Identitätsdiebstahl, Denial-of-Service-Angriffen oder Industriespionage. Die potentiellen Opfer sind dabei längst nicht nur Verbraucher, sondern auch Unternehmen und insbesondere Behörden.

Mit der im Rahmen der Cybersicherheitsstrategie der EU nun verabschiedeten Richtlinie soll dieser Bedrohung entgegengetreten werden. Die bislang auf Freiwilligkeit beruhenden Empfehlungen werden damit durch verbindliche, durch die Mitgliedsstaaten innerhalb von 21 Monaten in nationales Recht umzusetzende Regelungen ersetzt. Ziel ist dabei zum einen die Verhinderung von Angriffen, welche die europäischen Telekommunikationssysteme beeinträchtigen könnten, zum anderen aber auch die Entwicklung von angemessenen Gegenreaktionen bei Kenntnis erfolgter Störungen oder Angriffe. Durch die Einführung von harmonisierten Vorschriften, die für alle Mitgliedstaaten gelten, wird zudem für gleiche Wettbewerbsbedingungen gesorgt.

Die wichtigsten neuen Regelungen sind:

  • die Verpflichtung der Mitgliedsstaaten zur Festlegung einer IT-Sicherheitsstrategie und die Schaffung einer Behörde, die mit angemessenen Ressourcen ausgestattet wird, um IT-Risiken und -Vorfällen vorzubeugen, damit umzugehen und entsprechend darauf zu reagieren.
  • die Schaffung einer Kooperationsgruppe zwischen den Mitgliedstaaten und der Kommission, um Frühwarnungen auszutauschen und IT-Bedrohungen und Vorfällen koordiniert zu begegnen.
  • Sogenannte „Betreiber wesentlicher Dienste“ und Verwaltungen müssen Risikomanagementmaßnahmen ergreifen und der zuständigen nationalen Behörde gravierende IT?Vorfälle melden. Mit dieser Meldepflicht für IT?Vorfälle soll dazu beigetragen werden, eine Kultur des Risikomanagements zu entwickeln und sicherzustellen, dass ein Informationsaustausch zwischen privatem und öffentlichem Sektor stattfindet. Betreiber wesentlicher Dienste sind vor allem Unternehmen aus den Bereichen Finanzdienstleistungen, Verkehr, Energie und Gesundheitswesen und IT-Dienstleister (App-Stores, E-Commerce-Plattformen, Internet-Zahlungsplattformen, Cloud-Computing-Dienste, Suchmaschinen und soziale Netze). Wer genau unter diese verschärften Pflichten fällt, ist durch die Mitgliedsstaaten festzusetzen.


Die Richtlinie hat auch Auswirkungen auf das vom deutschen Gesetzgeber erst im letzten Jahr verabschiedeten IT-Sicherheitsgesetz. Dieses orientiert sich zwar an einer frühen Entwurfsfassung der NIS-Richtlinie, gerade bei der Frage, wer Betreiber wesentlicher Dienste ist, es bestehen aber Unterschiede. So kommt hierfür nach bisherigem deutschem Recht nur ein Dienstleister, der eine Mindestanzahl an Personen versorgt, in Frage. Kleinunternehmen aus den entsprechenden gefährdeten Branchen waren also bislang nicht von den Regelungen betroffen. Demgegenüber gibt die NIS-Richtlinie nun vor, dass auch Kleinunternehmen Betreiber wesentlicher Dienste sein können, etwa wenn bei Angriffen auf sie Auswirkungen auf andere Sektoren, die öffentliche Sicherheit oder die Versorgungssicherheit drohen. Insoweit ist also eine Anpassung der deutschen Rechtslage erforderlich.

Weitere Standorte

Brüssel

Kapellmann Rechtsanwälte mbB Prof. Dr. Robin van der Hout LL.M.,

Boulevard Louis Schmidt 26 B-1040 Brüssel Belgien

Tel. +32 - 2 - 234 11 60 Fax +32 - 2 - 234 11 69

robin.vanderhout@kapellmann.de
www.kapellmann.de  Kontakt