04.02.2016
Neue EU-Richtlinie für Cybersicherheit – Worauf müssen sich Unternehmen einstellen?

Dr. Jan Scharfenberg
Director Informationssicherheit
Der Cyber-Raum durchdringt heute nahezu alle Bereiche des staatlichen, wirtschaftlichen und sozialen Lebens. In allen Bereichen schafft die digitale Vernetzung unzählige und bisher noch nicht ausgeschöpfte Potenziale. Mit der zunehmenden Vernetzung wächst aber auch die Abhängigkeit des Staates, der Wirtschaft und Verbraucher von der Funktionsfähigkeit der IT-Systeme und des Cyber-Raums.
Am 07.12.2015 haben sich der Rat der Europäischen Union und das Europäische Parlament daher auf einen Entwurf für eine neue „Richtlinie zur Verbesserung der Netz- und Informationssicherheit (kurz: NIS-Richtlinie) verständigt. Der Cyber-Raum kennt keine nationalen Grenzen. Ziel der NIS-Richtlinie ist es daher, in allen EU-Staaten durch ein einheitliches Bündel von Maßnahmen den Schutz von Institutionen, Unternehmen und Verbrauchern vor sogenannten „Cybergefahren“ – etwa technische Störungen, Hackerangriffe und Datenschutzverletzungen – zu verbessern.
Wen betrifft die NIS-Richtlinie?
Nach der NIS-Richtlinie sollen nicht nur die öffentliche Verwaltung, sondern auch bestimmte Unternehmen, sogenannte „Marktteilnehmer“, in die Pflicht genommen werden. Wer „Marktteilnehmer“ ist, ergibt sich ebenfalls aus der NIS-Richtlinie: Zum einen sind dies die Betreiber von bestimmten „Diensten der Informationsgesellschaft“, nämlich: Betreiber von elektronischen Marktplätzen (etwa Online-Shops, App-Stores und andere elektronische Marktplätze), Suchmaschinen und Anbieter von Cloud-Diensten. Zum anderen sollen auch Betreiber von „kritischen Infrastrukturen“ in die Pflicht genommen werden, dazu zählen unter anderem Unternehmen der Energie-, Verkehrs-, Finanz- und Gesundheitswirtschaft.
Wen betrifft die NIS-Richtlinie nicht?
Keine „Marktteilnehmer“ im Sinne der NIS-Richtlinie – und somit nicht von den darin vorgesehenen Verpflichtungen betroffen – sollen hingegen soziale Netzwerke sein. Zudem soll es Ausnahmen für „kleine Unternehmen“ – das sind Unternehmen mit weniger als 50 Mitarbeitern, deren Jahresumsatz sich auf nicht mehr als 10 Millionen Euro beläuft – geben.
Kostenfreie Expertise im E-Mail-Postfach
Alle wichtigen Neuigkeiten zum Datenschutz & zur Informationssicherheit einmal monatlich bequem im E-Mail-Postfach – natürlich kostenlos.
Was ändert sich?
Die NIS-Richtlinie sieht vor, dass die Marktteilnehmer verpflichtet werden, branchenabhängige, technische und organisatorische Maßnahmen zur Abwehr von Cybergefahren zu ergreifen. Zudem sollen sie verpflichtet werden, bestimmte Sicherheitsvorfälle den Behörden zu melden und die betroffenen Personen zu unterrichten. Verstöße sollen sanktioniert werden. Die EU-Staaten sollen verpflichtet werden, eine für die nationale Cybersicherheit zuständige Behörde zu benennen und eine Cyber-Strategie aufzustellen. Hierdurch soll die Zusammenarbeit zwischen den EU-Staaten verbessert werden. Außerdem muss jeder EU-Staat ein nationales „Soforteinsatzteam für IT-Sicherheitsvorfälle“ („Computer Security Incident Response Teams“, kurz CSIRT) einrichten, welches mit den anderen CSIRTs der jeweils anderen EU-Staaten ständig vernetzt ist.
Verhältnis zum IT-Sicherheitsgesetz
Es drängt sich die Frage auf, in welchem Verhältnis die NIS-Richtlinie zum deutschen IT-Sicherheitsgesetz steht. Das IT-Sicherheitsgesetz ist bereits im Juli 2015 in Kraft getreten und erlegt Betreibern sogenannter kritischer Infrastrukturen ebenfalls technische und organisatorische Maßnahmen sowie Meldepflichten auf, wobei auch hier Verstöße sanktioniert werden können. Im Vergleich zeigt sich jedoch, dass die NIS-Richtlinie deutlich über das IT-Sicherheitsgesetz hinausgeht. Dies gilt insbesondere hinsichtlich des weiten Anwendungsbereichs der NIS-Richtlinie. Die NIS-Richtlinie sieht vor, dass auch solche Unternehmen in die Pflicht genommen werden, die – zumindest auf den ersten Blick – vergleichsweise „unkritische“ digitale Dienste anbieten, etwa Suchmaschinen und Online-Shops.
Lernen Sie unsere Expertise in der Informationssicherheit kennen
Schützen Sie mit unserer Expertise Ihre digitalen Vermögenswerte mit maßgeschneiderten IT-Sicherheitslösungen.
Zeitplan und Handlungsempfehlung
Die NIS-Richtlinie soll noch Anfang 2016 in Kraft treten. Danach hätten die EU-Mitgliedsstaaten 21 Monate Zeit, um die entsprechenden Umsetzungsgesetze zu schaffen.
Auch wenn das IT-Sicherheitsgesetz bereits einige der von der NIS-Richtlinie vorgesehenen Maßnahmen vorwegnimmt, sollten alle Unternehmen – unabhängig davon, ob sie vom geltenden IT-Sicherheitsgesetz betroffen sind oder nicht – prüfen, ob Sie dem Anwendungsbereich der NIS-Richtlinie unterfallen können und so die sich daraus möglicherweise ergebende Notwendigkeit zur Umsetzung von Sicherheitsmaßnahmen frühzeitig identifizieren und berücksichtigen zu können. Da der Wortlaut des vorliegenden Entwurfes der NIS-Richtlinie in vielen wichtigen Punkten unspezifisch ist, kann zurzeit aber nicht immer zuverlässig eingeschätzt werden, ob ein Unternehmen betroffen sein wird und, falls ja, welche konkreten Schutzmaßnahmen ihm auferlegt werden.
Weitere Neuigkeiten
03.02.2025
Externer Datenschutzbeauftragter (DSB): Pflicht, Aufgaben und Kosten
Die Bestellung eines Datenschutzbeauftragten ist für ein Großteil der Unternehmen Pflicht. Doch was macht ein DSB überhaupt und was sollte er können. Und wann ist es sinnvoll, einen externen DSB zu bestellen und wann reicht vielleicht eine interne Lösung? Wir haben alle Informationen zum externen Datenschutzbeauftragten zusammengestellt, um Ihnen die Entscheidung zu erleichtern.
Weiterlesen … Externer Datenschutzbeauftragter (DSB): Pflicht, Aufgaben und Kosten
23.01.2025
Cyber Resilience Act: Frist, Anwendung & Maßnahmen
Der Cyber Resilience Act bringt weitreichende Veränderungen in der EU mit sich und betrifft insbesondere Unternehmen aus dem Maschinen- und Anlagenbau. Produkte mit kommunikationsfähigen digitalen Elementen müssen ab 2027 strenge Sicherheitsstandards erfüllen, um die CE-Kennzeichnung zu erhalten. Das Gesetz verlangt Maßnahmen zur Minimierung von Cybersicherheitsrisiken während des gesamten Produktlebenszyklus - vom Design bis zur regelmäßigen Bereitstellung von Updates nach Inverkehrbringen. Damit Ihrem Unternehmen die Umsetzung gelingt, gibt dieser Beitrag einen Überblick über alle wesentlichen Neuerungen.
Weiterlesen … Cyber Resilience Act: Frist, Anwendung & Maßnahmen
14.01.2025
Datenschutzaudit: DSGVO-Lücken erkennen & schließen – mit Selbstcheck zum Download
Die DSGVO sieht an vielen Stellen Kontrollmechanismen für Unternehmen vor, um regelmäßig zu überprüfen, ob die Vorgaben eingehalten werden und wo mögliche Risiken bestehen. Einer dieser Mechanismen ist das Datenschutzaudit. Wann und für wen ist es notwendig? Alles über Ablauf, Umfang und Notwendigkeit von Datenschutzaudits sowie einen ausführlichen Leitfaden inkl. Selbstcheck zum Download finden Sie hier.
Weiterlesen … Datenschutzaudit: DSGVO-Lücken erkennen & schließen – mit Selbstcheck zum Download