Am 25.01.2017 hat die Bundesregierung den Gesetzesentwurf zur Umsetzung der NIS-Richtlinie beschlossen. Der Entwurf sieht neben Anpassungen, der durch das IT-Sicherheitsgesetz eingeführten Vorgaben für Betreiber kritischer Infrastrukturen, auch neue Sicherheitsanforderungen für Anbieter digitaler Dienste vor. Zu den „digitalen Diensten" zählen Online-Marktplätze, Online-Suchmaschinen und Cloud-Computing-Dienste.

Anbieter dieser Dienste sollen zur Einrichtung technischer und organisatorischer Maßnahmen verpflichtet werden, um Risiken für die Sicherheit zur Bereitstellung der digitalen Dienste verwendeter Netz- und Informationssysteme zu bewältigen. Außerdem müssen Diensteanbieter nach dem Gesetzesentwurf Vorkehrungen treffen, um den Auswirkungen von Sicherheitsvorfällen auf den digitalen Dienst vorzubeugen oder die Auswirkungen so gering wie möglich zu halten und Sicherheitsvorfälle an das BSI melden.

Bei Anhaltspunkten für einen Verstoß gegen die Sicherheitsanforderungen sieht der Entwurf eine Ermächtigung des BSI vor, Sicherheitsnachweise und die Beseitigung festgestellter Sicherheitsmängel der Diensteanbieter zu verlangen. Die Nichteinhaltung der neuen Vorgaben soll zudem als Ordnungswidrigkeit geahndet werden können.

Ob das Parlament noch in dieser Legislaturperiode über den Entwurf beraten und das Umsetzungsgesetz verabschieden wird, bleibt abzuwarten. Die EU-Mitgliedsstaaten haben bis zum 09.05.2018 Zeit, um die NIS-Richtlinie in nationales Recht umzusetzen.