Auf viele Unternehmen kommen zusätzliche Sicherungspflichten zu: Nachdem im letzten Sommer das neue nationale IT-Sicherheitsgesetz in Kraft getreten ist, gibt es nun mit einer europäischen Richtlinie zur gemeinsamen Netz- und Informationssicherheit eine weitere Vorgabe, mit der vor allem die IT-Sicherheit im Bereich kritischer Infrastrukturen verbessert werden soll.
Die Hauptziele des deutschen IT-Sicherheitsgesetzes und der EU-Richtlinie zur Gewährleistung einer hohen gemeinsamen Netz- und Informationssicherheit (NIS-Richtlinie) sind weitgehend deckungsgleich, soll damit doch die Sicherheit der IT-Systeme insbesondere im Bereich wichtiger Infrastrukturen verbessert werden, indem etwa eine Meldepflicht eingeführt wird. Im Detail gibt es allerdings auch einige Unterschiede, etwa im Hinblick auf den Kreis der betroffenen Unternehmen.
IT-Sicherheitsgesetz
Nach § 2 Abs. 10 BSIG erstreckt sich der Anwendungsbereich des Sicherheitsgesetzes auf Betreiber kritischer Infrastrukturen, zu denen etwa die Sektoren
- Energie
- Informationstechnik & Telekommunikation
- Transport & Verkehr
- Gesundheit
- Wasser
- Ernährung sowie
- Finanz & Versicherungswesen
gehören, wobei jedoch nur solche Betreiber betroffen sind, die von hoher Bedeutung für das Funktionieren des Gemeinwesens sind. Eine genaue Bestimmung des Begriffs der kritischen Infrastrukturen soll in einer noch zu erlassenden Verordnung erfolgen, sodass der Anwendungsbereich noch nicht abschließend feststeht.
Ausnahmen
Nicht betroffen sind dagegen Kleinstunternehmen und der öffentliche Sektor. Spezielle Regelungen gibt es zudem für öffentliche Telekommunikationsnetze und Erbringer öffentlicher Telekommunikationsdienste, Betreiber von Energieversorgungsnetzen und Energieanlagen sowie Inhaber atomrechtlicher Genehmigungen und Betreiber von Infrastrukturen mit vergleichbaren Vorgaben.
Bußgelder
Die betroffenen Betreiber sind nach dem IT-Sicherheitsgesetz dazu verpflichtet, gravierende Störungen der IT-Systeme und Cyber-Angriffe an eine Kontaktstelle beim Bundesamt für Sicherheit in der Informationstechnologie (BSI) zu melden. Zudem sind sie verpflichtet, angemessene organisatorische und technische Maßnahmen zu ergreifen, um derartige Störungen zu vermeiden. Bei Verstößen gegen die Meldepflicht drohen Bußgelder bis zu 50.000 EUR, andere Verstöße können mit bis zu 100.000 EUR geahndet werden.
Geltungsbereich des NIS
Im Anhang II der EU-Richtlinie sind die Arten von Unternehmen aufgelistet, die als sogenannte Marktteilnehmer von den Regelungen betroffen sind. Hierzu gehören:
- Anbieter von Diensten der Informationsgesellschaft (wie etwa E-Commerce-Plattformen, Suchmaschinen, Internet-Knotenpunkte, Domain-Registrare, App-Stores)
- Betreiber von kritischen Infrastrukturen (wie Energie, Banken, Verkehr, Gesundheit).
Ausgenommen sind Soziale Netzwerke wie Facebook und Twitter und kleine digitale Unternehmen mit maximal 50 Mitarbeitern. Insbesondere durch die Berücksichtigung der E-Commerce-Dienste und der anderen Internet-Dienste betrifft die NIS-Richtlinie damit mehr Unternehmen als das in dieser Hinsicht enger gefasst IT-Sicherheitsgesetz.
Meldepflicht und Vorsorge
Die betroffenen Marktteilnehmer werden auch von dieser Richtlinie verpflichtet, ihre IT-Systeme auf Schwachstellen zu überprüfen und gegebenenfalls zusätzliche Schutzmaßnahmen zu ergreifen. Die Meldepflicht erstreckt sich auf Sicherheitsvorfälle mit erheblichen Auswirkungen, wobei auch anonyme Meldungen erfolgen können, sofern nicht ein Systemausfall droht.
Frist zur Umsetzung der Richtlinie
Zur Umsetzung der EU-Richtlinie zur gemeinsamen Netz- und Informationssicherheit, die in diesem Frühjahr in Kraft treten soll, haben die Mitgliedsstaaten 21 Monate Zeit. Wie die genaue Umsetzung der EU-Richtlinie durch den deutschen Gesetzgeber aussehen wird, und welche zusätzlichen Branchen dadurch betroffen sind, lässt sich daher derzeit noch nicht genau absehen. Wirtschaftsverbände wie der eco (https://www.eco.de/2015/pressemeldungen/eco-begruesst-einigung-ueber-europaeische-cybersicherheits-richtlinie.html) forderten die Bundesregierung jedoch bereits auf, bei der Umsetzung darauf zu achten, dass es dabei zu keinen größeren Differenzen zum IT-Sicherheitsgesetz kommt.
Was jetzt schon unternommen werden kann
Alle Unternehmen, die bereits jetzt schon in einer Branche tätig sind, die in den Anwendungsbereich des IT-Sicherheitsgesetzes fällt, sollten prüfen, ob auch sie als Anbieter kritischer Infrastrukturen gelten und gegebenenfalls die geforderten organisatorischen und technischen Vorgaben unverzüglich umsetzen, um mögliche Bußgelder zu vermeiden.
- Eine vorsorgliche Überprüfung, ob ein Unternehmen von der EU-Richtlinie betroffen sein kann, ist anhand des Anhangs II, der eine Aufzählung von digitalen Dienstanbietern und Betreibern kritischer Infrastrukturen enthält, relativ einfach möglich.
- Nicht im Vorfeld beantworten lässt sich die Frage, wann ein Störfall bzw. ein Hackerangriff so gravierend ist, dass die Meldepflicht ausgelöst wird. Dies wird nur im Einzelfall entschieden werden können.