2016/8 | Fachbeitrag | IT-Sicherheit
Neue EU-Richtlinie für Cybersicherheit: Worauf müssen sich Unternehmen einstellen?
Inhaltsübersicht:
Nach der NIS-Richtlinie sollen nicht nur die öffentliche Verwaltung, sondern auch bestimmte Unternehmen, sogenannte „Marktteilnehmer“, in die Pflicht genommen werden. Wer Marktteilnehmer ist, ergibt sich ebenfalls aus der NIS-Richtlinie: Zum einen sind dies die Betreiber von bestimmten „Diensten der Informationsgesellschaft“, nämlich: Betreiber von elektronischen Marktplätzen (etwa Online-Shops, App-Stores und andere elektronische Handelsplattformen), Suchmaschinen und Anbieter von Cloud-Diensten. Zum anderen gilt die Richtlinie auch für Betreiber von „kritischen Infrastrukturen“. Dazu zählen unter anderem Unternehmen der Energie-, Verkehrs-, Finanz- und Gesundheitswirtschaft. Keine „Marktteilnehmer“ im Sinne der NIS-Richtlinie – und somit nicht von den darin vorgesehenen Verpflichtungen betroffen – sollen hingegen soziale Netzwerke sein. Zudem soll es Ausnahmen für kleine Unternehmen – das sind Firmen mit weniger als 50 Mitarbeitern, deren Jahresumsatz sich auf nicht mehr als 10 Millionen Euro beläuft – geben.
Was ändert sich?
Die NIS-Richtlinie verpflichtet die Marktteilnehmer, branchenabhängige, technische und organisatorische Maßnahmen zur Abwehr von Cybergefahren zu ergreifen. Zudem sollen sie bestimmte Sicherheitsvorfälle den Behörden melden und die betroffenen Personen darüber unterrichten. Verstöße werden sanktioniert. Die EU-Staaten sollen verpflichtet werden, eine für die nationale Cybersicherheit zuständige Behörde zu benennen und eine Cyber-Strategie aufzustellen. Ziel ist es, die Zusammenarbeit zwischen den EU-Staaten zu verbessern. Außerdem muss jeder EU-Staat ein nationales „Soforteinsatzteam für IT-Sicherheitsvorfälle“ (Computer Security Incident Response Teams, kurz CSIRT) einrichten, welches mit den CSIRTs der jeweils anderen EU-Staaten ständig vernetzt ist.
Verhältnis zum IT-Sicherheitsgesetz
Es drängt sich die Frage auf, in welchem Verhältnis die NIS-Richtlinie zum deutschen IT-Sicherheitsgesetz steht. Das IT-Sicherheitsgesetz ist bereits im Juli 2015 in Kraft getreten und erlegt Betreibern so genannter kritischer Infrastrukturen ebenfalls technische und organisatorische Maßnahmen sowie Meldepflichten auf, wobei auch hier Verstöße sanktioniert werden können. Im Vergleich zeigt sich jedoch, dass die NIS-Richtlinie deutlich über das IT-Sicherheitsgesetz hinausgeht. Dies gilt insbesondere hinsichtlich des weiten Anwendungsbereichs der NIS-Richtlinie. Die NIS-Richtlinie sieht vor, dass auch solche Unternehmen in die Pflicht genommen werden, die – zumindest auf den ersten Blick – vergleichsweise „unkritische“ digitale Dienste anbieten, etwa Suchmaschinen und Online-Shops.
Zeitplan und Handlungsempfehlung
Die NIS-Richtlinie soll im August 2016 in Kraft treten. Danach haben die EU-Mitgliedsstaaten 21 Monate Zeit, um die entsprechenden Umsetzungsgesetze zu schaffen.
Auch wenn das IT-Sicherheitsgesetz bereits einige der von der NIS-Richtlinie vorgesehenen Maßnahmen vorwegnimmt, sollten alle Unternehmen – unabhängig davon, ob sie vom geltenden IT-Sicherheitsgesetz betroffen sind oder nicht – prüfen, ob sie dem Anwendungsbereich der NIS-Richtlinie unterfallen und die sich daraus möglicherweise ergebende Notwendigkeit zur Umsetzung von Sicherheitsmaßnahmen frühzeitig identifizieren. Da der Wortlaut des vorliegenden Entwurfes der NIS-Richtlinie in vielen wichtigen Punkten unspezifisch ist, kann zurzeit aber nicht immer zuverlässig eingeschätzt werden, ob ein Unternehmen betroffen sein wird und, falls ja, welche konkreten Schutzmaßnahmen ihm auferlegt werden.