Nur wenige Monate nach Inkrafttreten des IT-Sicherheitsgesetzes im Juli 2015, steht jetzt eine europaweite Regulierung zur Verbesserung der IT-Sicherheit bevor: EU-Kommission, Europaparlament und EU-Rat haben sich auf die „Richtlinie über Maßnahmen zur Gewährleistung einer hohen gemeinsamen Netz- und Informationssicherheit in der Union“ verständigt (kurz NIS-Richtlinie). Nach formeller Annahme des Richtlinien-Entwurfs tritt die NIS-Richtlinie voraussichtlich noch im Frühjahr 2016 in Kraft.

Die NIS-Richtlinie ist ein wesentlicher Bestandteil der EU-Cybersicherheitsstrategie. Ziel ist ein EU-weit einheitlicher Mindeststandard für digitale Sicherheit. Die Vorgaben der NIS-Richtlinie gelten in den Mitgliedsstaaten nicht unmittelbar, sondern entfalten erst mit deren Umsetzung in nationales Recht verbindliche Wirkung. Dabei steht es den Mitgliedstaaten frei, für den nationalen Bereich strengere Anforderungen festzulegen, als in der NIS-Richtlinie vorgesehen.

Der deutsche Gesetzgeber hat durch das IT-Sicherheitsgesetz bereits im vergangenen Jahr eine Reihe von nationalen Vorgaben zur Verbesserung der IT-Sicherheit und zum Schutz kritischer Infrastrukturen in Deutschland festgelegt. Da NIS-Richtlinie und IT-Sicherheitsgesetz in maßgeblichen Aspekten inhaltlich vergleichbar sind, dürfte das IT-Sicherheitsgesetz einen wesentlichen Teil der europäischen Vorgaben bereits vorweggenommen haben. Soweit das IT-Sicherheitsgesetz jedoch hinter der NIS-Richtlinie zurückbleibt, muss der deutsche Gesetzgeber nachbessern.

Einige zu erwartende Kerninhalte der NIS-Richtlinie sind im Folgenden zusammen gefasst:

  • Kooperation der Mitgliedsstaaten (Kooperationsnetzwerk)

Einer der zentralen Inhalte der NIS-Richtlinie ist die Festlegung einer strategischen Kooperation der Mitgliedstaaten mit dem Ziel, den Schutz informationstechnischer Systeme EU-weit zu stärken. Die NIS-Richtlinie schließt damit die Lücke grenzüberschreitender IT-Sicherheit, für die das rein nationale IT-Sicherheitsgesetz keine Regelungen enthält.  

Die Funktion als Ansprechpartner für die anderen Mitgliedstaaten wird in Deutschland voraussichtlich das BSI übernehmen. Dem Kooperationsnetzwerk gehört neben den in den einzelnen Mitgliedstaaten zuständigen Behörden auch die EU-Kommission an. 

Das Netzwerk soll die EU-weite Kooperation zur Verbesserung der Netz- und Informationssicherheit durch die Zusammenarbeit der Mitgliedstaaten koordinieren. Die NIS-Richtlinie sieht dazu etwa ein Frühwarnsystem innerhalb des Kooperationsnetzwerkes sowie Regelungen zur koordinierten Reaktion auf Frühwarnungen vor.

  • Sicherer Informationsaustausch

Zusätzlich soll ein sicheres System für den Informationsaustausch eingerichtet werden, um den geschützten Austausch sensibler und vertraulicher Informationen innerhalb des Kooperationsnetzwerkes zu gewährleisten. Nur mit Hilfe eines solchen Systems kann das Kooperationsnetz funktionieren, da der Informationsaustausch andernfalls erschwert und das Ziel einer EU-weiten Stärkung der IT-Sicherheit gefährdet wäre. Für Aufbau und Aufrechterhaltung des Systems sieht die NIS-Richtlinie eine finanziell, technisch und personell angemessene Ausrüstungvor.

Vernetzung nationaler Soforteinsatzteams (CSIRTs)

Für eine verbesserte Kooperation auf operativer Ebene enthält die NIS-Richtlinie zudem Vorgaben zur EU-weiten Vernetzung nationaler Soforteinsatzteams für die Bewältigung von Sicherheitsvorfällen und Sicherheitsrisiken, so genannter CSIRTs. Das CSIRT-Netzwerk dient in erster Linie dem Informationsaustausch über aktuelle Risiken und Sicherheitsvorfälle, soll jedoch auch eine effektive Zusammenarbeit bei länderübergreifenden Vorfällen ermöglichen. 

  • Sicherheitsmaßnahmen und Meldung von Störungen

Nach der NIS-Richtlinie werden Betreiber wesentlicher Dienste (operators of essential services) verpflichtet, angemessene technische und organisatorische Maßnahmen zum Schutz ihrer Netzwerke und IT-Systeme zu ergreifen und erhebliche Störungen zu melden. Im Kern korrespondierende Pflichten sieht das IT-Sicherheitsgesetz für Betreiber kritischer Infrastrukturen vor.

  • Spezifizierung betroffener Unternehmen

Ob die vom IT-Sicherheitsgesetz und durch die NIS-Richtlinie verpflichteten Unternehmen vollständig identisch sind, lässt sich derzeit nicht mit letzter Sicherheit vorhersagen. Ebenso wenig wie das IT-Sicherheitsgesetz definiert die NIS-Richtlinie im Einzelnen, welche Unternehmen zu Sicherheitsmaßnahmen und Störungsmeldung verpflichtet werden. Stattdessen nennt die NIS-Richtlinie lediglich betroffene  Industriebereiche  und  Rahmenkriterien.

Wer konkret als Betreiber wesentlicher Dienste im Sinne der NIS-Richtlinie gilt, muss jeder Mitgliedsstaat selbst festlegen. Auch insoweit korrespondiert die NIS-Richtlinie mit dem IT-Sicherheitsgesetz, das eine Spezifizierung von Betreibern kritischer Infrastrukturen durch die BSI-Kritisverordnung (kurz KritisVO) vorsieht. Für die Festlegung von Betreibern wesentlicher Dienste liegt ein Rückgriff auf die in der KritisVO identifizierten Kriterien deswegen nahe. Ein aktueller Entwurf der KritisVO steht auf der Webseite des BMI zum Abruf bereit. Mit der endgültigen Fassung ist für Mitte März 2016 zu rechnen.

  • Suchmaschinen, Online-Marktplätze und Cloud Dienste

Die NIS-Richtlinie verpflichtet Suchmaschinenbetreiber sowie Anbieter von Online-Marktplätzen und Cloud Diensten (digital service providers) zum Schutz der für die Erbringung ihrer Leistungen eingesetzten Netzwerke und IT-Systeme. Eine vergleichbare Verpflichtung für Anbieter von Telemediendiensten wurde bereits durch das IT-Sicherheitsgesetz im TMG ergänzt.

Die NIS-Richtlinie sieht für die betroffenen Unternehmen darüber hinaus eine Pflicht zur Meldungerheblicher Störungen bei der zuständigen Behörde vor. Insoweit geht die NIS-Richtlinie über das IT-Sicherheitsgesetz hinaus. Dieses sieht nur für Betreiber kritischer Infrastrukturen, nicht jedoch auch für Anbieter von Telemediendiensten eine Meldepflicht vor.  

Insgesamt muss davon ausgegangen werden, dass der deutsche Gesetzgeber erneut auf dem Gebiet der IT-Sicherheit tätig werden wird, um die Vorgaben der NIS-Richtlinie vollständig in nationales Recht umzusetzen. Der Umfang erforderlicher gesetzlicher Änderungen wird im Einzelnen erst nach Inkrafttreten der NIS-Richtlinie abzusehen sein. Die Umsetzung muss durch die Mitgliedstaaten binnen 21 Monaten erfolgen.

Möglicherweise betroffene Unternehmen sollten die Entwicklungen in diesem Bereich weiter eng beobachten. Die KritisVO wird zumindest den Kreis der vom IT-Sicherheitsgesetz betroffenen Unternehmen näher definieren. Es steht derzeit zu erwarten, dass diese Unternehmen auch vom Anwendungsbereich der NIS-Richtlinie erfasst werden. 

Da betroffene Unternehmen unmittelbar bislang lediglich durch das IT-Sicherheitsgesetz verpflichtet werden, sollten diese zunächst jedenfalls die dort enthaltenen Vorgaben umsetzen, auch wenn Änderungen der Anforderungen infolge der NIS-Richtlinie nicht ausgeschlossen werden können.