Am 29.06.2016 wurde die europäische Richtlinie zur Gewährleistung einer hohen Netzwerk- und Informationssicherheit (NIS-Richtlinie) verabschiedet. Bei der Richtlinie handelt es sich im Wesentlichen um ein europäisches Pendant zum deutschen IT-Sicherheitsgesetz.

Da es sich um eine EU-Richtlinie handelt, muss diese Richtlinie noch in nationales Recht umgesetzt werden. Das Umsetzungsgesetz zur EU-NIS-Richtlinie wurde am 23.06.2017 vom Bundestag beschlossen und am 29.06.2017 im Bundesgesetzblatt veröffentlicht.

Änderungen für Kritische Infrastrukturen

Wie das IT-Sicherheitsgesetz befasst sich auch die NIS-Richtlinie in ihrem Kern mit „Kritischen Infrastrukturen“, nur dass diese in der EU „wesentliche Dienste“ genannt werden. Die wesentlichen Dienste werden dabei in die Sektoren Energie, Verkehr, Bankwesen, Finanzmarktinfrastruktur, Gesundheitswesen, Trinkwasserlieferung und -versorgung sowie Digitale Infrastruktur unterteilt und unterscheiden sich daher nicht wesentlich von den Sektoren des IT-Sicherheitsgesetzes.

Genau wie im Rahmen des IT-Sicherheitsgesetzes müssen die Betreiber angemessene Sicherheitsmaßnahmen gemäß dem Stand der Technik umsetzen und Störungen mit erheblichen Auswirkungen auf die Verfügbarkeit melden. Die umzusetzenden Sicherheitsmaßnahmen sind dabei von den Mitgliedsstaaten auf nationaler Ebene festzulegen. Die Umsetzung der Anforderungen müssen Betreiber wesentlicher Dienste regelmäßig prüfen lassen und in den Prüfungsergebnissen muss die Umsetzung und Einhaltung der Sicherheitsanforderungen nachgewiesen werden.

Durch das bestehende IT-Sicherheitsgesetz müssen für die Betreiber Kritischer Infrastrukturen (KRITIS) zur Umsetzung der NIS-Richtlinie nur gezielte Anpassungen im BSI-Gesetz vorgenommen werden. Mit dem angepassten Gesetz müssen KRITIS-Betreiber dem Bundesamt für Sicherheit in der Informationstechnik (BSI) nun z.B. die Ergebnisse von durchgeführten Audits, Prüfungen und Zertifizierungen bereitstellen und auf Wunsch auch Zugang zu den IT-Systemen und dazugehörigen Unterlagen gewähren. Außerdem ist es dem BSI zukünftig erlaubt, Dritten den Zugang zu Unterlagen zu gewähren, wenn dem nicht schutzwürdige Interessen der Anlagenbetreiber entgegenstehen.

Außerdem wurden die Regelungen zur Meldepflicht von Störungen überarbeitet. Mit der Änderung müssen nun Störungen mit Auswirkungen auf IT-Systeme gemeldet werden, sofern diese tatsächlich zu Ausfällen oder erheblichen Beeinträchtigungen geführt haben. Für erhebliche Störungen gilt sogar, dass diese unabhängig vom Eintreten der Ausfälle oder erheblicher Beeinträchtigungen gemeldet werden müssen; hier reicht, dass sie dazu führen könnten.

Zudem wurden im Sozialgesetzbuch Anpassungen vorgenommen, da die Gesellschaft für Telematik nun auch eine Kritische Infrastruktur ist und entsprechende Sicherheitsmaßnahmen zur Absicherung der Telematikinfrastruktur umsetzen und nachweisen muss.

 Anbieter Digitaler Dienste

In der NIS-Richtlinie werden auch sogenannte Anbieter digitaler Dienste betrachtet. Als digitale Dienste werden Online-Marktplätze, Online-Suchmaschinen und Cloud-Computing-Dienste gewertet. Auch die Digitalen Dienste müssen mit angemessenen Sicherheitsmaßnahmen gemäß dem Stand der Technik abgesichert werden und Störungen melden. Allerdings sollen für die Diensteanbieter europaweit einheitliche Sicherheitsmaßnahmen umgesetzt werden und daher sollen diese noch durch Durchführungsrechtsakte der Kommission genauer festgelegt werden.

Ein großer Unterschied zwischen Betreibern wesentlicher Dienste und den Anbietern digitaler Dienste besteht darin, wie die Umsetzung der Anforderungen überprüft wird. Im Gegensatz zur regelmäßigen Prüfung alle zwei Jahre bei KRITIS-Betreibern gilt für Anbieter digitaler Dienste eine Überwachung Ex-post. Das bedeutet, dass die zuständigen Behörden erst auf Basis von konkreten Hinweisen auf die Nicht-Einhaltung der Sicherheitsanforderungen entsprechende Nachweise einfordern und Prüfungen durchführen dürfen.

Bei der Umsetzung der neuen Anforderungen für Anbieter Digitaler Dienste wurde, soweit es möglich ist, auf die bestehenden Regelungen des IT-Sicherheitsgesetzes, z.B. zur Meldung von Sicherheitsvorfällen, zurückgegriffen. Die Umsetzung der Sicherheitsmaßnahmen und die Prüfungsmöglichkeiten durch das BSI sind im neuen Paragrafen 8c geregelt.

In Deutschland geht das BSI zurzeit davon aus, dass es 500-1500 Anbieter digitaler Dienste geben wird, die die neuen Anforderungen umsetzen müssen. Dafür haben Sie bis zum 09.05.2018 Zeit, da die Maßnahmen gemäß der EU-Richtlinie ab dem 10.05.2018 angewendet werden. Da zum jetzigen Zeitpunkt aber weder die Kriterien zur Festlegung der betroffenen Anbieter, noch die umzusetzenden Sicherheitsmaßnahmen bekannt sind, ist allerdings fraglich, wann mit der Umsetzung effektiv gestartet werden kann.

Einrichtung von Computer-Notfallteams

Außerdem sollen Mitgliedsstaaten sogenannte Computer-Notfallteams (CSIRTs) aufstellen. Diese Teams sollen Betreiber wesentlicher Dienste und Anbieter von digitalen Diensten bei der Bewältigung von Störungen und Sicherheitsvorfällen unterstützen.

In Deutschland wird das Notfallteam als Mobile Incident Response Teams (MIRT) beim BSI angesiedelt. Auf Wunsch können KRITIS-Betreiber das MIRT in sogenannten „herausgehobenen Fällen“ hinzuziehen, um sich bei der Wiederherstellung der Sicherheit und Funktionsfähigkeit der IT-Systeme unterstützen zu lassen. Das BSI besitzt zudem nun die Möglichkeit, von Hard- und Softwareherstellern die Mitwirkung bei der Wiederherstellung von IT-Systemen zu verlangen.

Der „herausgehobene Fall“ liegt dann vor, wenn es sich um einen Angriff von besonderer technischer Qualität handelt oder die Wiederherstellung der Sicherheit oder Funktionsfähigkeit der IT-Systeme im öffentlichen Interesse ist.

Änderungen für Betreiber von Energienetzen und -anlagen

Im Energiewirtschaftsgesetz wurden z.B. die Meldung von Störungen und die Bußgeldvorschriften angepasst. Auch für die Betreiber von Energienetzen und -anlagen gilt nun die neue Regelung für Störungen, dass sowohl Störungen, die tatsächlich zu Ausfällen oder Beeinträchtigungen geführt haben und erhebliche Störungen, die dazu führen können, gemeldet werden müssen.  Verstöße gegen §11a bzw. §11b EnWG (IT-Sicherheitskataloge) sind nun mit einem Bußgeld von bis zu 100.000€ bewährt.

Änderungen am Telekommunikationsgesetz

Auch im Telekommunikationsgesetz wurden einige Änderungen vorgenommen, insbesondere in Paragraf 109a. Die Anbieter der Kommunikationsdienste erhalten im Rahmen des Gesetztes neue Befugnisse im Umgang mit dem Datenverkehr ihrer Nutzer. Im Falle einer Störung darf nun der Datenverkehr eines Nutzers umgeleitet werden, soweit dies zur Benachrichtig des Nutzers über die Störung notwendig ist.

Dienstanbieter dürfen bei einer Störung außerdem die Nutzung des Telekommunikationsdienstes einschränken, umleiten oder unterbinden, soweit dies zur Beseitigung oder Verhinderung einer Beeinträchtigung der Systeme des Diensteanbieters, des betroffenen Nutzers oder von anderen Nutzern erforderlich ist. Zudem dürfen Diensteanbieter den Datenverkehr zu Störungsquellen einschränken oder unterbinden, soweit dies zur Vermeidung von Störungen in den Telekommunikations- und Datenverarbeitungssystemen der Nutzer erforderlich ist.

Dies ist aus juristischer Sicht nicht unproblematisch, denn hier wird Anbietern von Telekommunikationsdienstleistungen, also Privatunternehmen, die Befugnis gegeben, die Nutzung von Telekommunikationsdiensten einzuschränken bzw. den Datenverkehr ganz zu unterbinden. Die Prüfung der teils unscharf formulierten Voraussetzungen obliegt ebenfalls den Diensteanbietern.

| | , | , , , , ,