Thought Leadership
IT-Sicherheitsrisiken zu minimieren, Hackerangriffe zu bekämpfen und die Netzwerk- und Informationssicherheit zu erhöhen sind Ziele, die nicht nur der Bundesregierung wichtig sind, sondern seit Jahren auch auf EU-Ebene diskutiert werden.
Während in Deutschland bereits im Juli das IT-Sicherheitsgesetz in Kraft trat, verkündeten die Unterhändler der zuständigen EU-Organe im Dezember 2015 eine Einigung über die sog. NIS-Richtlinie (Network and Information Security). Das Zustandekommen dieser Vorschriften kann in der seit Längerem schwelenden Diskussion rund um die Schaffung eines normativen Rahmens zum Schutz vor IT-Sicherheitsrisiken durchaus als Meilenstein gesehen werden, auch weil die Debatte in Fachkreisen jetzt abermals befeuert wird.
Hintergrund der NIS-Richtlinie
Die NIS-Richtlinie ist Bestandteil der europäischen Strategie zum digitalen Binnenmarkt, an welcher auch der deutsche EU-Kommissar Günther Oettinger maßgeblich beteiligt ist. Ziel derselben ist es, Hindernisse zu beseitigen und Online-Potentiale auszuschöpfen. Einen europaweiten Ansatz zur Reduzierung von Cyber-Sicherheitsrisiken und zur Verbesserung der Netzwerk- und Informationssicherheit gab es bisher nicht. Die EU hat den Handlungsbedarf allerdings erkannt und erhöht ihre Aktivitäten in diesem Bereich.
Verhältnis zum IT-Sicherheitsgesetz
Im Gegensatz zu einer Verordnung gilt eine EU-Richtlinie für Unternehmen grundsätzlich nicht unmittelbar, sondern muss von den EU-Mitgliedstaaten binnen einer vorgegebenen Frist in nationales Recht umgesetzt werden. Dass das deutsche IT-Sicherheitsgesetz schon im Juli 2015 in Kraft trat, also bevor die Verhandlungen über die NIS-Richtlinie abgeschlossen wurden, ist eine besondere Konstellation. Sie wird dazu führen, dass der Gesetzgeber an das IT-Sicherheitsgesetz nochmals Hand anlegen muss, um es an der NIS-Richtlinie auszurichten. Wichtig ist dabei zu verstehen, dass die Richtlinie in weiten Teilen eine sog. Mindestharmonisierung anstrebt. Das bedeutet, dass die EU-Mitgliedstaaten die dort beschriebenen Grundsätze umsetzen müssen, meist aber noch darüber hinausgehen und schärfere Standards vorschreiben können.
Zeitliche Geltung
Wann die NIS-Richtlinie in Kraft tritt, lässt sich derzeit nicht sicher prognostizieren. Auf Grund der Einigung in den Verhandlungen ist jedoch davon auszugehen, dass die neuen Regelungen in den nächsten Wochen formell vom EU-Parlament verabschiedet werden. Die EU-Mitgliedstaaten haben dann 21 Monate Zeit, die Richtlinie in nationales Recht umzusetzen. Dies darf jedoch nicht darüber hinweg täuschen, dass das IT-Sicherheitsgesetz schon heute gilt und auf Grund der NIS-Richtlinie nur modifiziert werden wird.
Konkrete Pflichten für Betreiber Kritischer Infrastrukturen und Anbieter von digitalen Diensten
Wie auch das IT-Sicherheitsgesetz Regelungen für Betreiber von Kritischen Infrastrukturen und Telemedienanbieter enthält, finden sich auch in der NIS-Richtlinie vergleichbare, teils aber auch abweichende Vorschriften. Im Grundsatz ist das IT-Sicherheitsgesetz nicht weit von den Anforderungen der Richtlinie entfernt:
Bei für die Wirtschaft oder die Gesellschaft besonders wesentlichen Kritischen Infrastrukturen, die den Branchen Energie, Transport, Banken, Finanzen, Gesundheit, Trinkwasser oder IT angehören, ist der Stand der Technik als Maßstab bei der Gestaltung von IT-Systemen zu beachten. Die zuständige Behörde, in Deutschland das Bundesamt für Sicherheit in der Informationstechnik (BSI), kann entsprechende Nachweise der Umsetzung verlangen. Betroffene Unternehmen haben überdies die Pflicht, Sicherheitsvorfälle dem BSI zu melden und Anordnungen des BSI Folge zu leisten.
Anbieter von digitalen Diensten finden in der NIS-Richtlinie im Vergleich zum IT-Sicherheitsgesetz sehr detaillierte Regelungen, die allerdings – bei aktuellem Verhandlungsstand – abschließend sind, was bedeutet, dass der deutsche Gesetzgeber insoweit den durch die Richtlinie vorgegebenen Rahmen nicht verlassen darf (Vollharmonisierung). Zu den digitalen Diensten zählen Online Shops, Suchmaschinen und Cloud Computing Dienste. Soziale Netzwerke wurden in letzter Minute wieder aus dem Entwurf gestrichen. Auch bei digitalen Diensten sollen der Stand der Technik eingehalten und angemessene technische und organisatorische Maßnahmen umgesetzt werden.
Softwarehersteller finden sich in der NIS-Richtlinie nicht wieder. Trotz andauernder Diskussionen entschieden sich die EU-Organe dagegen, besondere Regelungen in diesem Bereich aufzunehmen, und verweisen stattdessen auf das schon bestehende Produkthaftungsrecht. Da verbindliche Sicherheitsstandards fehlen, darf aber bezweifelt werden, ob das deutsche Produkthaftungsgesetz tatsächlich alle Bedürfnisse erfüllt. In jedem Fall wurde hier eine Spezialmaterie geschaffen, welche die Grenzen von Technik und Recht verschwimmen lässt.
Enge Kooperation innerhalb der EU und Schaffung von Notfallteams
Nach der NIS-Richtlinie müssen die zuständigen Behörden (in Deutschland das BSI) innerhalb der EU eng miteinander kooperieren, was sich insbesondere in der zu gründenden Kooperationsgruppe (Cooperation Group) sowie dem CSIRT-Netzwerk zeigt. Das CSIRT-Netzwerk (Computer Security Incident Response Team) besteht aus nationalen IT-Notfallteams, denen besondere Aufgaben obliegen: Überwachung und Analyse von Sicherheitsvorfällen auf nationaler Ebene, Veröffentlichung von Frühwarnungen und Alarmmeldungen sowie die Verbreitung von Informationen über Sicherheitsrisiken und -vorfälle.
Bußgelder
Die NIS-Richtlinie enthält keine festen vorgeschriebenen Bußgeldtatbestände, verlangt jedoch, dass die im nationalen Recht festzulegenden Bußgelder wirksam, angemessen und abschreckend sein sollen. Das deutsche IT-Sicherheitsgesetz sieht etwa Bußgelder in Höhe von bis zu 100.000 Euro vor.
Was ist für Unternehmen akut zu beachten?
Nur wenige Unternehmen sind unerlässlich für die „Aufrechterhaltung zentraler wirtschaftlicher oder gesellschaftlicher Tätigkeiten“, wie es die Definition der Kritischen Infrastrukturen verlangt. In Zweifelsfällen empfiehlt es sich, die von der Bundesregierung zu erlassende Rechtsverordnung abzuwarten, welche die Kritischen Infrastrukturen näher beschreibt.
Anbieter von digitalen Diensten, also etwa Online Shops oder Cloud Computing Diensten, müssen die neuen Regelungen in jedem Fall beachten, unabhängig von Branchenzugehörigkeit oder Bedeutung für Wirtschaft und Gesellschaft. Nachlässigkeit kann zu Bußgeldern oder Ansprüchen der Betroffenen führen. Es ist dringend zu raten, mit juristisch-technischem Sachverstand die Anforderungen im Einzelfall zu identifizieren. Ferner sollten Verträge mit IT-Dienstleistern dahingehend überprüft werden, ob sie den neuen Anforderungen gerecht werden und auch Schadensfälle hinreichend berücksichtigen.
Es darf bei der Diskussion um neue Vorschriften nicht übersehen werden, dass IT-Sicherheit nicht als regulatorische Maßnahme des Gesetzgebers zu verstehen ist, sondern zu einer ordnungsgemäßen Unternehmensführung gehören sollte, die dem Schutz der Kunden und dem Eigenschutz dient. Dass der Stand der Technik zu berücksichtigen ist, wie es in den neuen Vorschriften verlangt wird, sollte für jeden Marktteilnehmer eine Selbstverständlichkeit sein. Auch organisatorische Maßnahmen gehören zu einem ausgereiften IT-Sicherheitskonzept. Wer IT-Sicherheit schon heute ernst nimmt, wird nur in einigen wenigen (aber wichtigen) Bereichen Umsetzungsbedarf erkennen. Allein für Betreiber Kritischer Infrastrukturen werden sich die Anforderungen im Hinblick auf die verpflichtende Zusammenarbeit mit dem BSI deutlich erhöhen.
Dr. Markus Kaulartz ist Rechtsanwalt am Münchener Standort der Wirtschaftskanzlei CMS Hasche Sigle und spezialisiert auf das Datenschutzrecht sowie das Recht der IT-Sicherheit.
