Umsetzung der EU-Richtlinie über die Sicherheit von Netzwerk- und Informationssystemen (NIS)

KURZDARSTELLUNG

Der Rat der Europäischen Union hat am 21. April 2016 die endgültige Version der Richtlinie über die Sicherheit von Netzwerk- und Informationssystemen (NIS) veröffentlicht. Während diese in diesem Sommer vom Europäischen Parlament noch formal zu unterzeichnen ist, haben sich die drei EU-Institutionen bereits auf den Wortlaut geeinigt, der voraussichtlich auch nicht mehr geändert wird. Die Mitgliedsstaaten müssen die Richtlinie innerhalb von 21 Monaten nach ihrer Annahme in nationales Recht umsetzen. Um diesen Prozess zu unterstützen, finden Sie beigefügt einen Leitfaden, wie die für die Technologiebranche relevanten Aspekte umgesetzt und die Absichten der Verfasser wirksam verankert werden können.

Die EU-Richtlinie über die Sicherheit von Netzwerk- und Informationssystemen ist die erste gesamteuropäische Gesetzgebung für Cybersicherheit, die den Schwerpunkt auf die Stärkung der zuständigen Behörden auf nationaler Ebene, eine verbesserte Koordination untereinander und die Einführung von Sicherheitsanforderungen für die wichtigsten Wirtschaftssektoren legt.

Die innerstaatlichen Durchführungsvorschriften dürfen die beiden Hauptziele der Richtlinie nicht aus den Augen verlieren: (1) ein hohes Maß an Cybersicherheit für die kritischen Infrastrukturen des Landes; (2) Einrichtung eines wirkungsvollen Kooperationsmechanismus innerhalb der EU-Mitgliedsstaaten, um dieses Ziel voranzutreiben. Die Ressourcen sollten in erster Linie dazu verwendet werden, diese zwei wichtigen Zielsetzungen zu erreichen.

Für die Technologiebranche sind die Bestimmungen im Hinblick auf die sogenannten Anbieter digitaler Dienste von besonderem Interesse. In der Richtlinie ist eindeutig festgelegt, dass es grundlegende Unterschiede zwischen den Betreibern wesentlicher Dienste und den Anbietern digitaler Dienste gibt. Tatsächlich sind Letztere nicht als kritische Infrastruktur an sich zu betrachten. Wie auch die Gesetzgebung anerkennt, bedeutet ein Ereignis, das Auswirkungen auf diese digitalen Dienste hätte, ein erheblich geringeres Risiko für die wirtschaftliche und öffentliche Sicherheit eines Landes. Es ist unverzichtbar, diese Unterscheidung beizubehalten, damit die knappen Ressourcen der Behörden, die für die Überwachung und Durchsetzung der Vorschriften zuständig sind, auch wirksam und effizient eingesetzt werden können.

Demzufolge empfehlen wir, den vorgesehenen Geltungsbereich der betreffenden Dienste genau zu beachten und ersuchen die politischen Entscheidungsträger, keine anderen Sektoren als diejenigen, die als Anbieter digitaler Dienste und Betreiber wesentlicher Dienste erfasst wurden, den Sicherheitsanforderungen im nationalem Recht zu unterwerfen.

Im Hinblick auf die rechtliche Zuständigkeit müssen die Anbieter digitaler Dienste in der Lage sein, sich auf das geltende Recht in dem Land ihrer Hauptniederlassung verlassen zu können, selbst in solchen Fällen, wenn zuständige Behörden aus mehr als einem Land beteiligt sind. Bei der Aufsicht sollten die zuständigen Behörden einen Ex-Post-Ansatz verfolgen, anstatt eine allgemeine Pflicht zur Beaufsichtigung der Anbieter digitaler Dienste aufzuerlegen. Ferner sollten sie sich auf die Ergebnisse konzentrieren und die Unterscheidung zwischen Betreibern wesentlicher Dienste und Anbietern digitaler Dienste beibehalten, indem Letztere nicht Anforderungen unterworfen werden, die in der Richtlinie nicht vorgesehen sind, wie beispielsweise Prüfbefugnisse oder verbindliche Anweisungen.

Die Sicherheitsmaßnahmen für Anbieter digitaler Dienste müssen sich angesichts der in der Richtlinie getroffenen Aussage, dass diese ein erheblich geringeres Sicherheitsrisiko darstellen, von den Vorschriften für die Betreiber wesentlicher Dienste unterscheiden. Entscheidungsträger müssen das Ziel der Harmonisierung für diese Dienste erkennen, die bestehenden und von der Industrie getriebenen internationalen Standards anerkennen, Technologievorgaben vermeiden und das in der Richtlinie verankerte Recht des Anbieters digitaler Dienste, die für ihre Systeme am besten geeigneten Sicherheitsmaßnahmen zu definieren, respektieren. Die Meldung von Sicherheitsvorfällen muss auf europäischer Ebene ebenfalls möglichst einheitlich gestaltet sein, sich auf Vorfälle konzentrieren, die Auswirkungen auf die Kontinuität des Dienstes haben, die Flexibilität für den Zeitrahmen der Benachrichtigungen respektieren und ein vertrauensvolles Umfeld schaffen, das einen Austausch von Informationen befördert, ohne dass die benachrichtigende Partei dadurch einer erhöhten Haftung ausgesetzt wird.

Die den Betreibern wesentlicher Dienste auferlegten Maßnahmen werden sich auch auf andere Industriezweige auswirken, da die Sicherheitsmaßnahmen und die Meldung von Sicherheitsvorfällen in die Vertragsbestimmungen einfließen werden. Dies gilt insbesondere für die sogenannten “Cloud”-Dienste. Infolgedessen können die Anbieter digitaler Dienste indirekt dem nationalen Recht ihrer Kunden unterliegen; folglich haben wir ein starkes Interesse daran, dass international anerkannte Sicherheitsmaßnahmen auf diese Dienste Anwendung finden. Wir schlagen ferner eine Koordinierung und höchstmögliche Synergien zwischen den Meldepflichten sowohl für die Betreiber wesentlicher Dienste als auch für die Anbieter digitaler Dienste vor, da Letztere voraussichtlich einer doppelten Benachrichtigungspflicht unterliegen werden.

In der Richtlinie wird das Bestreben deutlich, ein hohes gemeinsames Maß an Sicherheit für Netzwerk- und Informationssysteme zu erreichen, um das Funktionieren des Binnenmarktes zu verbessern. Um dieses hoch gesteckte Ziel zu erreichen, muss sich die nationale Umsetzung auf einen risikobasierten, einheitlichen und internationalen Ansatz konzentrieren, der den Akteuren aus dem Privatsektor die Flexibilität gibt, sich an eine ständig ändernde Bedrohungslage anzupassen, den zuständigen Behörden die Möglichkeit gibt, die beschränkten Ressourcen für die wichtigsten Herausforderungen einzusetzen und der anerkannt, dass die Lösung für ein grenzüberschreitendes Problem global sein muss. Wir hoffen, dass dieser Leitfaden hierfür ein nützliches Werkzeug liefert und stehen Ihnen bei Rückfragen gerne zur Verfügung.