Zum 30.06.2017 sind Änderungen des BSI-Gesetzes zur Erhöhung des Sicherheitsstandards von Netzwerk- und Informationssystemen in Kraft getreten. Anbieter „digitaler Dienste“ in Deutschland sind zukünftig zum Schutz Ihrer Systeme verpflichtet und müssen Sicherheitsvorfälle an das BSI melden.

Mit der Gesetzesänderung setzt Deutschland die EU-Richtlinie zur Gewährleistung eines hohen Sicherheitsstandards von Netzwerk- und Informationssystemen (NIS-Richtlinie) in nationales Recht um. Zu diesem Zweck ändert das Umsetzungsgesetz in erster Linie Bestimmungen des BSI-Gesetzes und des Telekommunikationsgesetzes.

Welche neuen Pflichten gibt es?

Ab dem 10.05.2018 sind nicht mehr nur Betreiber kritischer Infrastrukturen, sondern erstmals auch Anbieter so genannter „digitaler Dienste“ verpflichtet, Maßnahmen zum Schutz der von ihnen eingesetzten Netzwerk- und Informationssysteme zu ergreifen. Außerdem müssen Sicherheitsvorfälle unverzüglich an das BSI gemeldet werden, wenn sie im Einzelfall erhebliche Auswirkungen auf die Erbringung des Digitalen Dienstes haben können.

Wer ist betroffen?

Zu den „digitalen Diensten“ zählen Suchmaschinen, Online-Marktplätze und Cloud-Dienste. Die Sicherheits- und Meldepflichten gelten für Anbieter digitaler Dienste, die ihren Hauptsitz in Deutschland haben, einen Vertreter in Deutschland benannt haben oder Netzwerk- und Informationssysteme in Deutschland betreiben, um digitale Dienste zu erbringen.

Ausblick

Die EU-Kommission erarbeitet derzeit spezifische Anforderungen an Sicherheitsmaßnahmen zum Schutz von Anbietern digitaler Dienste eingesetzten IT-Systeme und Kriterien für die Meldung von Sicherheitsvorfällen. Erste Ergebnisse werden im August 2017 erwartet.

In Deutschland ist das BSI für die Durchsetzung der Pflichten nach dem BSI-Gesetz zuständig. Erfüllt ein Anbieter digitaler Dienste die neuen Anforderungen nicht, drohen Bußgelder von bis zu EUR 50.000,00.