| Kritische Infrastrukturen

Pflichten aus IT-Sicherheitsgesetz und EU-Richtlinie zur Cybersicherheit

Mit der Europäischen Richtlinie zur gemeinsamen Netz- und Informationssicherheit kommen auf viele Unternehmen zusätzliche Pflichten zu.
Bild: Astrium

Auf viele Unternehmen kommen zusätzliche Sicherungspflichten zu: Nachdem im letzten Sommer das neue nationale IT-Sicherheitsgesetz in Kraft getreten ist, gibt es nun mit einer europäischen Richtlinie zur gemeinsamen Netz- und Informationssicherheit eine weitere Vorgabe, mit der vor allem die IT-Sicherheit im Bereich kritischer Infrastrukturen verbessert werden soll.

Die Hauptziele des deutschen IT-Sicherheitsgesetzes und der EU-Richtlinie zur Gewährleistung einer hohen gemeinsamen Netz- und Informationssicherheit (NIS-Richtlinie) sind weitgehend deckungsgleich, soll damit doch die Sicherheit der IT-Systeme insbesondere im Bereich wichtiger Infrastrukturen verbessert werden, indem etwa eine Meldepflicht eingeführt wird. Im Detail gibt es allerdings auch einige Unterschiede, etwa im Hinblick auf den Kreis der betroffenen Unternehmen.

IT-Sicherheitsgesetz

Nach § 2 Abs. 10 BSIG erstreckt sich der Anwendungsbereich des Sicherheitsgesetzes auf Betreiber kritischer Infrastrukturen, zu denen etwa die Sektoren

  • Energie
  • Informationstechnik & Telekommunikation
  • Transport & Verkehr
  • Gesundheit
  • Wasser
  • Ernährung sowie
  • Finanz & Versicherungswesen

gehören, wobei jedoch nur solche Betreiber betroffen sind, die von hoher Bedeutung für das Funktionieren des Gemeinwesens sind. Eine genaue Bestimmung des Begriffs der kritischen Infrastrukturen soll in einer noch zu erlassenden Verordnung erfolgen, sodass der Anwendungsbereich noch nicht abschließend feststeht.

Ausnahmen

Nicht betroffen sind dagegen Kleinstunternehmen und der öffentliche Sektor. Spezielle Regelungen gibt es zudem für öffentliche Telekommunikationsnetze und Erbringer öffentlicher Telekommunikationsdienste, Betreiber von Energieversorgungsnetzen und Energieanlagen sowie Inhaber atomrechtlicher Genehmigungen und Betreiber von Infrastrukturen mit vergleichbaren Vorgaben. 

Bußgelder

Die betroffenen Betreiber sind nach dem IT-Sicherheitsgesetz dazu verpflichtet, gravierende Störungen der IT-Systeme und Cyber-Angriffe an eine Kontaktstelle beim Bundesamt für Sicherheit in der Informationstechnologie (BSI) zu melden. Zudem sind sie verpflichtet, angemessene organisatorische und technische Maßnahmen zu ergreifen, um derartige Störungen zu vermeiden. Bei Verstößen gegen die Meldepflicht drohen Bußgelder bis zu 50.000 EUR, andere Verstöße können mit bis zu 100.000 EUR geahndet werden.

Geltungsbereich des NIS

Im Anhang II  der EU-Richtlinie sind die Arten von Unternehmen aufgelistet, die als sogenannte Marktteilnehmer von den Regelungen betroffen sind. Hierzu gehören:

  • Anbieter von Diensten der Informationsgesellschaft (wie etwa E-Commerce-Plattformen, Suchmaschinen, Internet-Knotenpunkte, Domain-Registrare, App-Stores)
  • Betreiber von kritischen Infrastrukturen (wie Energie, Banken, Verkehr, Gesundheit).

Ausgenommen sind Soziale Netzwerke wie Facebook und Twitter und kleine digitale Unternehmen mit maximal 50 Mitarbeitern. Insbesondere durch die Berücksichtigung der E-Commerce-Dienste und der anderen Internet-Dienste betrifft die NIS-Richtlinie damit mehr Unternehmen als das in dieser Hinsicht enger gefasst IT-Sicherheitsgesetz.

Meldepflicht und Vorsorge

Die betroffenen Marktteilnehmer werden auch von dieser Richtlinie verpflichtet, ihre IT-Systeme auf Schwachstellen zu überprüfen und gegebenenfalls zusätzliche Schutzmaßnahmen zu ergreifen. Die Meldepflicht erstreckt sich auf Sicherheitsvorfälle mit erheblichen Auswirkungen, wobei auch anonyme Meldungen erfolgen können, sofern nicht ein Systemausfall droht.

Frist zur Umsetzung der Richtlinie

Zur Umsetzung der EU-Richtlinie zur gemeinsamen Netz- und Informationssicherheit, die in diesem Frühjahr in Kraft treten soll, haben die Mitgliedsstaaten 21 Monate Zeit. Wie die genaue Umsetzung der EU-Richtlinie durch den deutschen Gesetzgeber aussehen wird, und welche zusätzlichen Branchen dadurch betroffen sind, lässt sich daher derzeit noch nicht genau absehen. Wirtschaftsverbände wie der eco (https://www.eco.de/2015/pressemeldungen/eco-begruesst-einigung-ueber-europaeische-cybersicherheits-richtlinie.html) forderten die Bundesregierung jedoch bereits auf, bei der Umsetzung darauf zu achten, dass es dabei zu keinen größeren Differenzen zum IT-Sicherheitsgesetz kommt.

Was jetzt schon unternommen werden kann

Alle Unternehmen, die bereits jetzt schon in einer Branche tätig sind, die in den Anwendungsbereich des IT-Sicherheitsgesetzes fällt, sollten prüfen, ob auch sie als Anbieter kritischer Infrastrukturen gelten und gegebenenfalls die geforderten organisatorischen und technischen Vorgaben unverzüglich umsetzen, um mögliche Bußgelder zu vermeiden.

  • Eine vorsorgliche Überprüfung, ob ein Unternehmen von der EU-Richtlinie betroffen sein kann, ist anhand des Anhangs II, der eine Aufzählung von digitalen Dienstanbietern und Betreibern kritischer Infrastrukturen enthält, relativ einfach möglich. 
  • Nicht im Vorfeld beantworten lässt sich die Frage, wann ein Störfall bzw. ein Hackerangriff so gravierend ist, dass die Meldepflicht ausgelöst wird. Dies wird nur im Einzelfall entschieden werden können.

Vgl. zu dem Thema auch:

Sicherheitsregeln für Betreiber kritischer Infrastrukturen

EU Cybersicherheitsplan

EU will höhere Strafen für Cyberkriminelle

Schlagworte zum Thema:  IT-Sicherheit, EU-Kommission, Cyberkriminalität

Aktuell

Meistgelesen