Kategorien
Cybercrime & IT-Strafrecht IT-Sicherheit

Gesetz zur Umsetzung der NIS-Richtlinie

Anwaltskanzlei Ferner Alsdorf: 02404 92100

Am 25. Januar 2017 hat das Bundeskabinett den Gesetzesentwurf zur Umsetzung der EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS-Richtlinie) beschlossen. Diese lange umkämpfte Richtlinie schafft einen einheitlichen EU-weiten Rechtsrahmen zur Stärkung der IT-Sicherheit und sieht Mindestanforderungen und Meldepflichten für bestimmte digitale Dienste vor.

Link: Das Gesetzgebungsverfahren ist hier dokumentiert.

Die „NIS-Richtlinie“ (Richtlinie (EU) 2016/1148) soll die IT-Sicherheit europaweit stärken, existiert aber erst seit 2016. Bereits 2015 hatte Deutschland mit dem IT-Sicherheitsgesetz das Thema aufgegriffen und teilweise Regelungen umgesetzt, die später durch die NIS-Richtlinie vorgesehen waren. Es besteht aber weiterer Regelungsbedarf, da die NIS-Richtlinie noch weitere Regelungen vorsieht die bisher nicht umgesetzt sind. Zeit dafür ist noch genug vorhanden: Die Nationalstaaten müssen die am 8. August 2016 in Kraft getretene NIS-Richtlinie bis zum 10. Mai 2018 in nationales Recht umsetzen. Mit dem nun vorliegenden Entwurf wird dieser Schritt angegangen.

Weitere Vorgaben für digitale Dienste

Seit dem IT-Sicherheitsgesetz existiert ein zweistufiges System: Zum einen gibt es die kritischen Dienste (KRITIS), die sehr hohe Sicherheitsanforderungen haben. Es gibt aber auch die reinen Telemediendienste, die die allgemeine gesetzliche Pflicht trifft, den Stand aktueller Sicherheit zu gewährleisten. Die NIS-Richtlinie sieht aber noch eine Zwischenstufe vor, die nunmehr geschaffen wird: Die Digitalen Dienste. Dies sind nach dem neuen §2 Abs.11 BSIG:

  • Online-Markplätze, die definiert werden als Dienste, die es Verbrauchern oder Unternehmen ermöglichen, Kaufverträge oder Dienstleistungsverträge mit Unternehmern entweder auf der Website dieser Dienste oder auf der Website eines Unternehmers, die von diesen Diensten bereitgestellte Rechendienste verwendet, abzuschließen – also trifft dies im Ergebnis wohl auch Online-Shops!;

Anbieter digitaler Dienste trifft dann eine Reihe von Pflichten: Sie müssen insbesondere ihren Sicherheitsstandard prüfen und dokumentieren, das BSI kann diese Dokumentationen unter Umständen anfordern. Bei besonderen sicherheitsrelevanten Vorfällen besteht eine Meldepflicht an das BSI. Bei Mängeln hinsichtlich der Sicherheitsvorkeherungen kann das BSI die Abhilfe verlangen und Auflagen vorsehen. Allerdings sind Kleinstunternehmer von diesen Vorgaben befreit!

Mögliche Notfallteams

Ein Kernanliegen wird im neuen §5a umgesetzt: Anbieter von KRITIS können bei besonders erheblichen Vorfällen anfordern, dass Sie – ohne gesonderte Kosten! – vom BSI zur Inbetriebnahme unterstützt werden. Die Idee ist, dass das BSI mobile Notfall-Teams bereit hält, die dann zum Einsatz kommen, so der Bundesminister laut Pressemitteilung des BMI dazu:

„Wir schaffen mit dem Gesetz eine Rechtsgrundlage für den Einsatz so genannter Mobiler Incident Response Teams („MIRTs“). Das Bundesamt für Sicherheit in der Informationstechnik wird zukünftig die Verwaltung und Betreiber kritischer Infrastrukturen auf deren Ersuchen hin bei herausgehobenen Sicherheitsvorfällen unterstützen können. Der Schutz von Staat, Wirtschaft und der Bevölkerung vor erheblichen Cyber-Sicherheits-Vorfällen wird damit weiter verbessert.“

Fazit: Erhebliche Pflichten


Zusammenfassende Informationen

Status:

Mit diesem Gesetz wurden die verbliebenen Lücken nach dem IT-Sicherheitgesetz, die zur Umsetzung der NIS-Richtlinie noch fehlten, geschlossen.

IT-Sicherheitsgesetz: Abstimmungsverlauf

Mit den Stimmen der Koalitionsfraktionen hat der Bundestag das Gesetz am 27.04.2017 beschlossen.

Links

Kurze Inhaltsangabe gemäß Dokumentationsystem des Bundestages

Erweiterung der Befugnisse des Bundesamtes für Sicherheit in der Informationstechnik (BSI) zur Überprüfung der Einhaltung technischer und organisatorischer Sicherheitsanforderungen der Betreiber Kritischer Infrastrukturen um Vorgaben für das Verfahren bei grenzüberschreitenden Vorfällen, Einrichtung von Mobile Incident Response Teams (MIRTs) durch das BSI zur Unterstützung anderer Stellen bei Wiederherstellung von Sicherheit oder Funktionsfähigkeit der IT-Systeme; Definition digitaler Dienste und Einführung spezieller Regelungen zu Sicherheitsanforderungen, Meldepflichten und Aufsicht im Hinblick auf Anbieter digitaler Dienste, Berichtspflichten gegenüber der EU-Kommission, Anpassung der Bußgeldvorschriften; Anpassung bestimmter für einzelne Branchen mit kritischer Infrastruktur vorrangiger Spezialgesetze;
Einfügung §§ 5a, 8c und 15 sowie Änderung versch. §§ BSI-Gesetz, Änderung § 44b Atomgesetz, §§ 11 und 95 Energiewirtschaftsgesetz, §§ 291b und 307 SGB V sowie § 109 Telekommunikationsgesetz; Verordnungsermächtigung

Aus dem Entwurf zum IT-Sicherheitsgesetz zu „Problem und Ziel“

Am 8. August 2016 trat die Richtlinie (EU) 2016/1148 des Europäischen Parlaments und des Rates vom 6. Juli 2016 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union (ABl. L 194 vom 19. Juli 2016, S. 1; im Folgenden: NIS-Richtlinie) in Kraft. Mit der Richtlinie wurden ein einheitlicher europäischer Rechtsrahmen für den EU-weiten Aufbau nationaler Kapazitäten für die Cyber-Sicherheit, eine stärkere Zusammenar- beit der Mitgliedstaaten der Europäischen Union sowie Mindestsicherheitsanforde- rungen an und Meldepflichten für bestimmte Dienste geschaffen. Ziel ist es, einheitli- che Maßnahmen festzulegen, mit denen ein hohes Sicherheitsniveau von Netz- und Informationssystemen in der Europäischen Union erreicht werden soll (Artikel 1 Ab- satz 1 der NIS-Richtlinie). Die NIS-Richtlinie ist gemäß ihrem Artikel 25 Absatz 1 bis zum 9. Mai 2018 in nationales Recht umzusetzen. Gemäß Artikel 5 Absatz 1 der NIS- Richtlinie ermitteln die Mitgliedstaaten bis zum 9. November 2018 für jeden in An- hang II der Richtlinie genannten Sektor und Teilsektor die Betreiber wesentlicher Dienste mit einer Niederlassung in ihrem Hoheitsgebiet.

Avatar of Rechtsanwalt Jens Ferner

Von Rechtsanwalt Jens Ferner

Rechtsanwalt Jens Ferner ist Strafverteidiger und Fachanwalt für IT-Recht in der Anwaltskanzlei Ferner Alsdorf. Unsere Rechtsanwälte sind täglich verfügbar und spezialisiert auf Strafrecht und IT-Recht. Zusätzlich sind wir tätig im Verkehrsrecht, Arbeitsrecht sowie im digitalen gewerblichen Rechtsschutz. Wir bieten einen Telegram Kanal sowie ein LinkedIN-Profil.

Dringend Rechtsanwalt gesucht? Anwalt-Direktruf bei Unfall, Anklage, Hausdurchsuchung oder Beschuldigtenvernehmung unter 02404 9599872