2016/8 | Fachbeitrag | IT-Sicherheit

Neue EU-Richtlinie für Cybersicherheit: Worauf müssen sich Unternehmen einstellen?

von Kathrin Schürmann

Inhaltsübersicht:

Nach der NIS-Richtlinie sollen nicht nur die öffentliche Verwaltung, sondern auch bestimmte Unternehmen, sogenannte „Marktteilnehmer“, in die Pflicht genommen werden. Wer Marktteilnehmer ist, ergibt sich ebenfalls aus der NIS-Richtlinie: Zum einen sind dies die Betreiber von bestimmten „Diensten der Informationsgesellschaft“, nämlich: Betreiber von elektronischen Marktplätzen (etwa Online-Shops, App-Stores und andere elektronische Handelsplattformen), Suchmaschinen und Anbieter von Cloud-Diensten. Zum anderen gilt die Richtlinie auch für Betreiber von „kritischen Infrastrukturen“. Dazu zählen unter anderem Unternehmen der Energie-, Verkehrs-, Finanz- und Gesundheitswirtschaft. Keine „Marktteilnehmer“ im Sinne der NIS-Richtlinie – und somit nicht von den darin vorgesehenen Verpflichtungen betroffen – sollen hingegen soziale Netzwerke sein. Zudem soll es Ausnahmen für kleine Unternehmen – das sind Firmen mit weniger als 50 Mitarbeitern, deren Jahresumsatz sich auf nicht mehr als 10 Millionen Euro beläuft – geben.

Was ändert sich?

Die NIS-Richtlinie verpflichtet die Marktteilnehmer, branchenabhängige, technische und organisatorische Maßnahmen zur Abwehr von Cybergefahren zu ergreifen. Zudem sollen sie bestimmte Sicherheitsvorfälle den Behörden melden und die betroffenen Personen darüber unterrichten. Verstöße werden sanktioniert. Die EU-Staaten sollen verpflichtet werden, eine für die nationale Cybersicherheit zuständige Behörde zu benennen und eine Cyber-Strategie aufzustellen. Ziel ist es, die Zusammenarbeit zwischen den EU-Staaten zu verbessern. Außerdem muss jeder EU-Staat ein nationales „Soforteinsatzteam für IT-Sicherheitsvorfälle“ (Computer Security Incident Response Teams, kurz CSIRT) einrichten, welches mit den CSIRTs der jeweils anderen EU-Staaten ständig vernetzt ist.

Verhältnis zum IT-Sicherheitsgesetz

Es drängt sich die Frage auf, in welchem Verhältnis die NIS-Richtlinie zum deutschen IT-Sicherheitsgesetz steht. Das IT-Sicherheitsgesetz ist bereits im Juli 2015 in Kraft getreten und erlegt Betreibern so genannter kritischer Infrastrukturen ebenfalls technische und organisatorische Maßnahmen sowie Meldepflichten auf, wobei auch hier Verstöße sanktioniert werden können. Im Vergleich zeigt sich jedoch, dass die NIS-Richtlinie deutlich über das IT-Sicherheitsgesetz hinausgeht. Dies gilt insbesondere hinsichtlich des weiten Anwendungsbereichs der NIS-Richtlinie. Die NIS-Richtlinie sieht vor, dass auch solche Unternehmen in die Pflicht genommen werden, die – zumindest auf den ersten Blick – vergleichsweise „unkritische“ digitale Dienste anbieten, etwa Suchmaschinen und Online-Shops.

Zeitplan und Handlungsempfehlung

Die NIS-Richtlinie soll im August 2016 in Kraft treten. Danach haben die EU-Mitgliedsstaaten 21 Monate Zeit, um die entsprechenden Umsetzungsgesetze zu schaffen.
Auch wenn das IT-Sicherheitsgesetz bereits einige der von der NIS-Richtlinie vorgesehenen Maßnahmen vorwegnimmt, sollten alle Unternehmen – unabhängig davon, ob sie vom geltenden IT-Sicherheitsgesetz betroffen sind oder nicht – prüfen, ob sie dem Anwendungsbereich der NIS-Richtlinie unterfallen und die sich daraus möglicherweise ergebende Notwendigkeit zur Umsetzung von Sicherheitsmaßnahmen frühzeitig identifizieren. Da der Wortlaut des vorliegenden Entwurfes der NIS-Richtlinie in vielen wichtigen Punkten unspezifisch ist, kann zurzeit aber nicht immer zuverlässig eingeschätzt werden, ob ein Unternehmen betroffen sein wird und, falls ja, welche konkreten Schutzmaßnahmen ihm auferlegt werden.

Diese Artikel könnten Sie auch interessieren

Sensibles Wissen: Das neue Geschäftsgeheimnisgesetz

WISSENplus
Unternehmerisches Handeln und erfolgreiches Wirtschaften sind stets mit Risiko verbunden: Ob es um neue Produkte, externe Rahmenbedingungen oder Investitionsentscheidungen geht. Ein ernstzunehmendes Risiko sind allerdings auch Geschäftsgeheimnisse - zumindest dann, wenn sie nicht länger geheim sind. ...

Weiterlesen

IT-Sicherheit - auch im Homeoffice

Fernarbeit ist bei LogMeIn nicht erst seit Corona an der Tagesordnung. Die Sicherheitskultur des SaaS-Anbieters ist entsprechend hoch, das Konzept ist auch auf Mitarbeiter im Home Office oder auf Reisen ausgelegt. Es lässt sich auf jedes Unternehmen, ob klein, mittelständisch oder Konzern übertragen, denn aktuell benötigt es neben einer sicheren IT-Infrastruktur und Zugriffsrechten auch die passende Si...

Weiterlesen

7 Praxis-Tipps: So vermeiden Sie Schatten-IT in Ihrer Team-Kommunikation

Lahmgelegte Systeme und kritische Datenlecks: Pro Tag registriert das Bundesamt für Sicherheit (BSI) 320.000 neue Schadprogramme, wie sein im September 2020 veröffentlichter Lagebericht zur IT-Sicherheit in Deutschland offenbart. Die beunruhigenden Zahlen zeigen nicht nur, dass Cyber-Kriminalität eine zunehmende Bedrohung darstellt, sondern auch, wie wichtig es ist, (potenzielle) Sicherheitslücken...

Weiterlesen