Header graphic for print
Datenschutz News & Trends
Rubrik: Compliance, Datenschutz Allgemein, Datenschutz im Internet, Datenschutz International, Datensicherheit

Umsetzung der NIS-Richtlinie: Neue Pflichten für Anbieter digitaler Dienste

Cyberangriffe stellen eine zunehmende Bedrohung für eine Vielzahl von Unternehmen und die Allgemeinheit dar, wie zuletzt das BSI wieder festgestellt hat. Nun hat die Bundesregierung am 25. Januar 2017 einen ersten Gesetzesentwurf zur Umsetzung der NIS-Richtlinie auf den Weg gebracht, der insbesondere Anbietern von Online Markplätzen, Online-Suchmaschinen und Cloud-Computing-Services neue – bußgeldbewährte – Pflichten zur Wahrung der Sicherheit ihrer IT-Systeme auferlegt. Bundesweit sollen zwischen 500 und 1500 Unternehmen betroffen sein. Wir geben einen ersten Überblick über den Entwurf.

Hintergrund

Mit Erlass der sog. „NIS-Richtlinie“ (Richtlinie (EU) 2016/1148) über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union) hat sich die EU im Zuge ihrer Europäischen Cybersicherheitsstrategie zum Ziel gesetzt, in der EU ein höheres Niveau an Sicherheit für Netz- und Informationssysteme zu schaffen und so Unternehmen und Nutzer vor den stetig steigenden Risiken durch Cyberattacken, Computerspionagen und anderer Cyberkriminalität zu schützen. Die Mitgliedsstaaten müssen die am 8. August 2016 in Kraft getretene NIS-Richtlinie bis zum 10. Mai 2018 in nationales Recht umsetzen.

Diese Umsetzung ist in Deutschland schon teilweise erfolgt: Durch das am 25. Juli 2015 in Kraft getretene sog. IT-Sicherheitsgesetz (wir berichteten) hat der deutsche Gesetzgeber durch Änderung mehrerer Gesetze wie des BSIG (Gesetz über das Bundesamt für Sicherheit in der Informationstechnik) oder des TMG (Telemediengesetz) bereits wesentliche Regelungsgegenstände der NIS-Richtlinie in nationales Recht gegossen:

  • Betreibern von sog. „kritischen Infrastrukturen“ (dies betrifft insbes. Unternehmen aus den Brachen Energie- und Wasserversorgung, IT- und Telekommunikation, Transport- und Verkehr, Pharma und Gesundheitswesen, Ernährung und Finanzen) wurden durch die Gesetzesänderungen u.a. Pflichten zur Implementierung von Vorkehrungen zur Vermeidung von Störungen ihrer IT-Systeme sowie zur Meldung von Störungen der IT-Systeme an das Bundesamt für Sicherheit in der Informationstechnik (BSI) auferlegt.
  • Zudem wurden Betreiber von geschäftsmäßig angebotenen Telemedien (z.B. Webseiten, Online-Shops) verpflichtet, durch geeignete Vorkehrungen sicherzustellen, dass die von ihnen genutzten IT-Systeme gegen Datenschutzverletzungen sowie gegen Störungen (z.B. Cyberangriffe von außen) und unerlaubte Zugriffe geschützt sind (siehe ausführlich zum IT-Sicherheitsgesetz hier).

Allerdings erfüllen die Gesetzesänderungen durch das IT-Sicherheitsgesetz die Vorgaben der NIS-Richtlinie nicht vollständig. Insbesondere die von der Richtlinie erfassten „digitalen Dienste“ wurden mit dem IT-Sicherheitsgesetz noch nicht gesondert adressiert. Die Schließung dieser Regelungslücken soll nun mit dem im Kabinettsentwurf vorliegenden Umsetzungsgesetz erfolgen, der nun noch das weitere Gesetzgebungsverfahren durchlaufen muss.

Regelungen für Anbieter digitaler Dienste

Der Entwurf vom 25. Januar 2017 sieht dabei nicht nur Änderungen vor, die Betreiber kritischer Infrastrukturen betreffen. Vielmehr soll mit dem Entwurf Anbietern sog. „digitaler Dienste“ neue Pflichten auferlegt werden. Im Einklang mit der NIS-Richtlinie sind dadurch die Anbieter der folgenden Dienste adressiert:

  • Betroffen sind zunächst Online-Markplätze, die definiert werden als Dienste, die es Verbrauchern oder Unternehmen ermöglichen, Kaufverträge oder Dienstleistungsverträge mit Unternehmern entweder auf der Website dieser Dienste oder auf der Website eines Unternehmers, die von diesen Diensten bereitgestellte Rechendienste verwendet, abzuschließen (§ 2 Abs. 11 Nr. 1 BSIG-E).
  • Daneben sind Betreiber von Online-Suchmaschinen betroffen. Online Suchmaschinen umfasse nach dem Entwurf solche Dienste, die es Nutzern ermöglichen, Suchen auf allen Websites anhand einer Abfrage zu einem beliebigen Thema in Form eines Stichworts, einer Wortgruppe oder einer anderen Eingabe vorzunehmen, die daraufhin Links anzeigen, über die der Abfrage entsprechende Inhalte abgerufen werden können (§ 2 Abs. 11 Nr. 2 BSIG-E).
  • Schließlich sind Anbieter von Cloud-Computing-Diensten erfasst, die alle Dienste umfassen soll, die Zugang zu einem skalierbaren und elastischen Pool gemeinsam nutzbarer Rechenressourcen ermöglichen (§ 2 Abs. 11 Nr. 3 BSIG-E).

Wichtig ist, dass international tätige Unternehmen, die ihren digitalen Dienst in mehreren EU-Mitgliedstaaten bereitstellen, den Anforderungen des BSIG nur unterliegen, wenn sie ihren Hauptsitz in Deutschland haben oder dort Netz- und Informationssysteme betreiben, die sie im Rahmen der Bereitstellung der digitalen Dienste innerhalb der Europäischen Union nutzen.

Das Bundesministerium des Innern („BMI“) schätzt gegenwärtig, dass von den Regelungen für digitale Dienste in Deutschland zwischen 500 und 1.500 Unternehmen betroffen sein werden.

Neue Pflichten und Sanktionen

Pflicht zur Vornahme geeigneter Sicherheitsmaßnahmen: Die Anbieter Digitalen Dienste werden zunächst verpflichtet, unter Berücksichtigung des Stands der Technik geeignete technische und organisatorische Maßnahmen zu treffen, um die Risiken der Netz- und Informationssysteme zu bewältigen die Auswirkungen von Sicherheitsvorfällen so gering wie möglich zu halten (§ 8c Abs. 1, 2 BSIG-E).

  • Meldepflichten: Ebenfalls besteht eine Pflicht, dem BSI jeden Sicherheitsvorfall zu melden, der erhebliche Auswirkungen auf die Bereitstellung des erbrachten digitalen Dienstes hat (§ 8c Abs. 3 BSI-G).
  • Konkretisierung durch EUKommission und BMI: Die konkret zu treffenden Sicherheitsmaßnahmen sowie die konkreten Inhalte einer Meldung eines Sicherheitsvorfalls sollen noch durch Durchführungsrechtsakte der Kommission vorgegeben werden (§ 8c Abs. 2 und 3 aE BSI-G). Weitere Konkretisierungen kann das BMI durch Rechtsverordnung regeln (§ 10 Abs. 4 BSIG-E).

Die Einhaltung der Pflichten soll durch das BSI überprüft und durchgesetzt werden:

  • Aufsicht durch das BSI: Die digitalen Dienste unterliegen der Aufsicht des BSI, indem dieses insbes. die Befugnis erhält, von den Anbietern Sicherheitskonzepte anzufordern, zu prüfen und die Beseitigung festgestellter Mängel zu verlangen (§ 8c Abs. 4 BSI-G). Das BSI hat den Entwurf in einer Pressemitteilung bereits begrüßt und angekündigt, seinen bisher kooperativen Ansatz gegenüber den betroffenen Unternehmen fortzusetzen.
  • Sanktionierbarkeit durch Bußgelder: Die bisher in § 14 BSIG geltenden Ordnungswidrigkeitstatbestände werden auf Anbieter digitaler Dienste erweitert. Danach können Verstöße gegen die Pflichten zur Vornahme von Sicherheitsvorkehrungen, Meldepflichten oder Anordnungen des BSI mit Bußgeldern bis 100.000 EUR geahndet werden (§ 14 Abs. 1, 2 BSIG-E).

Wichtig ist, dass die für die Anbieter digitaler Dienste geltenden Vorschriften (insbes. § 8c, § 10 Abs. 4 und § 14 BSI-G) wegen der erforderlichen Kommissionsrechtsakte erst ab dem 10. Mai 2018 anwendbar sind (entsprechend der Umsetzungsfrist der NIS-Richtlinie).

Änderungen für Betreiber kritischer Infrastrukturen

Neben den Änderungen für digitale Dienste enthält der Entwurf auch Anpassungen bei den Vorgaben für kritische Infrastrukturen: so ist etwa eine Erweiterung der Befugnisse des BSI zur Überprüfung der Einhaltung der technischen und organisatorischen Sicherheitsanforderungen vorgesehen, die insbesondere zur Durchführung von Vorort-Kontrollen durch entsprechende Betretungsrechte ermächtigt (§ 8a Abs. 4 BSIG). Auch werden die Melde- und Nachweispflichten der Betreiber kritischer Infrastrukturen erweitert (§ 8b BSIG-E).

Ergänzend sollen Regelungen zu Mobilen Incident Response Teams („MIRTs“) aufgenommen werden, mit denen das BSI insbesondere Betreiber kritischer Infrastrukturen bei der Wiederherstellung ihrer IT-Systeme unterstützen kann (§ 5a BSIG-E).

Praxistipps

Festhalten lässt sich, dass sich der Kabinettsentwurf für das Umsetzungsgesetz inhaltlich nah an den Regelungen der NIS-Richtlinie orientiert. Insgesamt wird auf diese Weise – trotz des frühen deutschen Vorstoßes mit dem IT-Sicherheitsgesetz – ein europaweit vereinheitlichtes Schutzniveau hergestellt.

Aufgrund der Nähe des Entwurfes zur Richtlinie sind im weiteren Gesetzgebungsverfahren jedenfalls keine grundlegenden Änderungen im Entwurf mehr zu erwarten. Betreiber von Online-Suchmaschinen und Online-Marktplätzen sowie von Cloud-Computing-Diensten sollten daher rechtzeitig eingehend prüfen, ob sie dem Anwendungsbereich der NIS-Richtlinie unterfallen. In diesem Fall sollten sie sich auf die Umsetzung der neuen Vorgaben vorbereiten, indem etwa die IT-Infrastruktur geprüft und Ressourcen für die Umsetzung der Sicherheits- und Meldepflichten eingeplant werden.

Anbieter von kritischen Infrastrukturen aus den Sektoren Energie, Informationstechnik und Telekommunikation sowie Wasser und Ernährung unterliegen bereits den gesteigerten Pflichten aus dem BSI-G, soweit dem der am 3. Mai 2016 in Kraft getretenen ersten Teils der BSI-Kritis-V unterfallen. Unternehmen, die in den Sektoren Finanzen, Transport und Verkehr sowie Gesundheit tätig sind, sollten sich rechtzeitig über den Inhalt des für Anfang diesen Jahres erwarteten zweiten Teils der BSI-Kritis-V informieren.

Wir halten Sie über den weiteren Verlauf der gesetzgeberischen Verfahren auf dem Laufenden.