Neue EU-Richtlinie für Cybersicherheit – Worauf müssen sich Unternehmen einstellen?

Der Cyber-Raum durchdringt heute nahezu alle Bereiche des staatlichen, wirtschaftlichen und sozialen Lebens. In allen Bereichen schafft die digitale Vernetzung unzählige und bisher noch nicht ausgeschöpfte Potenziale. Mit der zunehmenden Vernetzung wächst aber auch die Abhängigkeit des Staates, der Wirtschaft und Verbraucher von der Funktionsfähigkeit der IT-Systeme und des Cyber-Raums.

Am 07.12.2015 haben sich der Rat der Europäischen Union und das Europäische Parlament daher auf einen Entwurf für eine neue „Richtlinie zur Verbesserung der Netz- und Informationssicherheit (kurz: NIS-Richtlinie) verständigt. Der Cyber-Raum kennt keine nationalen Grenzen. Ziel der NIS-Richtlinie ist es daher, in allen EU-Staaten durch ein einheitliches Bündel von Maßnahmen den Schutz von Institutionen, Unternehmen und Verbrauchern vor sogenannten „Cybergefahren“ ­– etwa technische Störungen, Hackerangriffe und Datenschutzverletzungen – zu verbessern.

Wen betrifft die NIS-Richtlinie?

Nach der NIS-Richtlinie sollen nicht nur die öffentliche Verwaltung, sondern auch bestimmte Unternehmen, sogenannte „Marktteilnehmer“, in die Pflicht genommen werden. Wer „Marktteilnehmer“ ist, ergibt sich ebenfalls aus der NIS-Richtlinie: Zum einen sind dies die Betreiber von bestimmten „Diensten der Informationsgesellschaft“, nämlich: Betreiber von elektronischen Marktplätzen (etwa Online-Shops, App-Stores und andere elektronische Marktplätze), Suchmaschinen und Anbieter von Cloud-Diensten. Zum anderen sollen auch Betreiber von „kritischen Infrastrukturen“ in die Pflicht genommen werden, dazu zählen unter anderem Unternehmen der Energie-, Verkehrs-, Finanz- und Gesundheitswirtschaft.

Wen betrifft die NIS-Richtlinie nicht?

Keine „Marktteilnehmer“ im Sinne der NIS-Richtlinie – und somit nicht von den darin vorgesehenen Verpflichtungen betroffen – sollen hingegen soziale Netzwerke sein. Zudem soll es Ausnahmen für „kleine Unternehmen“ – das sind Unternehmen mit weniger als 50 Mitarbeitern, deren Jahresumsatz sich auf nicht mehr als 10 Millionen Euro beläuft – geben.

Was ändert sich?

Die NIS-Richtlinie sieht vor, dass die Marktteilnehmer verpflichtet werden, branchenabhängige, technische und organisatorische Maßnahmen zur Abwehr von Cybergefahren zu ergreifen. Zudem sollen sie verpflichtet werden, bestimmte Sicherheitsvorfälle den Behörden zu melden und die betroffenen Personen zu unterrichten. Verstöße sollen sanktioniert werden. Die EU-Staaten sollen verpflichtet werden, eine für die nationale Cybersicherheit zuständige Behörde zu benennen und eine Cyber-Strategie aufzustellen. Hierdurch soll die Zusammenarbeit zwischen den EU-Staaten verbessert werden. Außerdem muss jeder EU-Staat ein nationales „Soforteinsatzteam für IT-Sicherheitsvorfälle“ („Computer Security Incident Response Teams“, kurz CSIRT) einrichten, welches mit den anderen CSIRTs der jeweils anderen EU-Staaten ständig vernetzt ist.

Verhältnis zum IT-Sicherheitsgesetz

Es drängt sich die Frage auf, in welchem Verhältnis die NIS-Richtlinie zum deutschen IT-Sicherheitsgesetz steht. Das IT-Sicherheitsgesetz ist bereits im Juli 2015 in Kraft getreten und erlegt Betreibern sogenannter kritischer Infrastrukturen ebenfalls technische und organisatorische Maßnahmen sowie Meldepflichten auf, wobei auch hier Verstöße sanktioniert werden können. Im Vergleich zeigt sich jedoch, dass die NIS-Richtlinie deutlich über das IT-Sicherheitsgesetz hinausgeht. Dies gilt insbesondere hinsichtlich des weiten Anwendungsbereichs der NIS-Richtlinie. Die NIS-Richtlinie sieht vor, dass auch solche Unternehmen in die Pflicht genommen werden, die – zumindest auf den ersten Blick – vergleichsweise „unkritische“ digitale Dienste anbieten, etwa Suchmaschinen und Online-Shops.

Zeitplan und Handlungsempfehlung

Die NIS-Richtlinie soll noch Anfang 2016 in Kraft treten. Danach hätten die EU-Mitgliedsstaaten 21 Monate Zeit, um die entsprechenden Umsetzungsgesetze zu schaffen.

Auch wenn das IT-Sicherheitsgesetz bereits einige der von der NIS-Richtlinie vorgesehenen Maßnahmen vorwegnimmt, sollten alle Unternehmen – unabhängig davon, ob sie vom geltenden IT-Sicherheitsgesetz betroffen sind oder nicht – prüfen, ob Sie dem Anwendungsbereich der NIS-Richtlinie unterfallen können und so die sich daraus möglicherweise ergebende Notwendigkeit zur Umsetzung von Sicherheitsmaßnahmen frühzeitig identifizieren und berücksichtigen zu können. Da der Wortlaut des vorliegenden Entwurfes der NIS-Richtlinie in vielen wichtigen Punkten unspezifisch ist, kann zurzeit aber nicht immer zuverlässig eingeschätzt werden, ob ein Unternehmen betroffen sein wird und, falls ja, welche konkreten Schutzmaßnahmen ihm auferlegt werden.