Richtlinie über Maßnahmen zur Gewährleistung einer hohen gemeinsamen Netz- und Informationssicherheit in der Union (Cybersicherheits-Richtlinie)
Am 6.7.2016 hat die EU-Kommission eine Informationsübersicht veröffentlicht.
Hinweis: Materialien zu diesem Gesetzgebungsvorhaben können am Ende dieser Seite abgerufen werden.
Am 6.7.2016 hat die EU-Kommission eine Informationsübersicht zur NIS-Richtlinie veröffentlicht.
Autorin: Dipl.-Psych. Alica Mohnert, LL.M. (CUPL)
___________
Text der Vorversion(en):Am 18.12.2015 haben die EU-Mitgliedsstaaten der zuvor zwischen Parlament und Rat erzielte Einigung zur Netzwerk- und Informationssicherheit zugestimmt. Sobald der Text technisch ausgearbeitet ist, muss der Entwurf zunächst vom EU-Rat und dann vom Parlament angenommen werden, was voraussichtlich bis Frühling 2016 geschieht. Nach Inkrafttreten der Richtlinie haben die Mitgliedsstaaten 21 Monate Zeit, die Richtlinie in nationale Gesetzgebung umzusetzen. Im Anschluß bleiben ihnen 6 Monate, um die zuständigen nationalen Behörden zu schaffen oder festzulegen, die sich um die Belange der Cybersicherheitsrichtlinie kümmern.
Autorin: Dipl.-Psych. Alica Mohnert, LL.M. (CUPL)
___________
Am 7. und 8.12.2015 haben das EU-Parlament bzw. der EU-Rat Pressemitteilungen herausgegeben, wonach zwischen den beiden Institutionen eine informelle Eingung über die EU-Richtline zur Netz- und Informationssicherheit erzielt werden konnte. Zusätzlich gab der Rat einen Abriss der bisherigen Zwischenschritte bis zum aktuellen Stand der Erstellung der Richtlinie heraus.
Die neuen Vorschriften werden zwischen Grundversorgern (Energie, Transport, Finanzsektor und Gesundheit) und Digitaldienstleistern unterscheiden. Die Mitgliedsstaaten sollen die Grundversorger gemäß der Kriterien der Richtlinie identifieren und in Folge deutlich höhere Maßstäbe an ihre informationstechnologie Sicherheit stellen als an sonstige Dienstleister mit digitalem Bezug. Diese Unterscheidung reflektiert das gesellschaftliche und wirtschaftliche Risiko, das mit einem Ausfall der Grundversogung einherginge.
Digitaldiensterleiter wie E-Commerce-Plattformen, Suchmaschinen und Cloudservices seien typischerweise in vielen Mitgliedsstaaten aktiv und sollen daher dank der neuen Regeln überall in der EU ähnlich behandelt werden. Ausgenommen sind kleine Firmen.
Jeder Mitgliedsstaat müsse eine oder mehrere nationale Behörden bestimmen, die sich mit den Angelegenheiten der Cybersicherheit beschäftigt. Auch die zwischenstaatliche Kooperation in Sachen Cybersicherheit wird erhöht werden müssen. Eine Kooperationsgruppe auf EU-Ebene soll erstellt werden, die strategische Kooperation unterstützt und bewährte Verfahrensweisen austauscht, ebenso wie ein Netzwerk nationaler Teams, die schnell auf Computersicherheitsvorfälle reagieren ("computer security incident response teams", kurz: CSIRTs). Beide Gruppierungen sollen das Vertrauen und die Verläßlichkeit zwischen den Mitgliedsstaaten stärken.
Autorin: Dipl.-Psych. Alica Mohnert, LL.M. (CUPL)
___________
Im EU-Parlament war man sich einig, dass es eine Meldepflicht für IT-Angriffe geben sollte. Die von der Kommission vorgeschlagene Richtung, wurde jedoch in vielerlei Hinsicht abgeschwächt.
Ganz im Sinne des Deutschen Bundesrates, sollen öffentliche Verwaltungen nicht zu den Betroffenen zählen. Sie sollten nur "gebührende Sorgfalt beim Betrieb und Schutz ihrer Netze und Informationssysteme walten lassen". Auch "Software-Entwickler und Hardwarehersteller" sollen außen vor bleiben, da diese bereits "geltenden Produkthaftungsvorschriften" unterlägen.
Online-Anbieter von Zahlungs- und Geschäftsverkehr, soziale Netzwerke, Suchmaschinen, Cloud-Dienste oder App-Stores können mit den zentralen Anlaufstellen kooperieren, müssen aber nicht. Das EU- Parlament sieht für diese Anbieter eine Kooperation mit den zentralen Anlaufstellen "auf freiwilliger Grundlage" vor.
Den EU-Ländern wird ein gewisser Handlungsspielraum im Bereich der Netzwerksicherheit zugestanden. Es sollen jedoch Behörden oder zentrale Anlaufstellen für die Meldungen über Sicherheitsvorfälle eingerichtet werden. Diese Institutionen müssen "zivile Stellen sein, die der vollständigen demokratischen Kontrolle unterliegen". Sie sollten weder Aufgaben in den Bereichen Geheimdienst, Strafverfolgung oder Verteidigung wahrnehmen, noch organisatorisch in irgendeiner Form mit in diesen Bereichen tätigen Stellen verbunden sein.
Der EU-Rat muss dem Vorhaben noch zustimmen. Die neuen Bestimmungen könnten dann 2016 in Kraft treten.
Autor: Sylvia F. Jakob, LL.M (Edinburgh), Institut für Rechtsinformatik, Hannover
__________
Am 19.9.2013 wurde die Stellungnahme des Europäischen Wirtschafts-und Sozialausschusses zum Vorschlag der Kommission im Amtsblatt der Europäischen Union bekannt gegeben.
In seiner Stellungnahme begrüßt der Europäische Wirtschafts- und Sozialausschuss den Vorschlag der Kommission für eine Richtlinie zur Gewährleistung einer hohen gemeinsamen Netz- und Informationssicherheit. Harmonisierung und Management von NIS auf europäischer Ebene seien eine wesentliche Voraussetzung für die Vollendung und das reibungslose Funktionieren des digitalen Binnenmarktes. Allerdings erfülle die vorgeschlagene Richtlinie nicht die Erwartungen, die der Ausschuss an starke Rechtsvorschriften in diesem kritischen Bereich stelle. Wie in früheren Stellungnahmen betont der Ausschuss erneut, dass zögerliche, freiwillige Maßnahmen seines Erachtens nicht zum Erfolg führten und stattdessen strenge rechtliche Verpflichtungen der Mitgliedstaaten erforderlich seien, um Governance und Durchsetzung einer harmonisierten europäischen NIS zu ermöglichen. Ungeachtet der Absicht der Kommission mittels delegierter Rechtsakte einheitliche Voraussetzungen für die Umsetzung von Teilen dieser Richtlinie zu gewährleisten, mangele es dem Richtlinienvorschlag an Normen, klaren Definitionen und kategorischen Verpflichtungen, so dass den Mitgliedstaaten zu viel Spielraum bei der Auslegung und Umsetzung kritischer Elemente bliebe.
Da der Richtlinienvorschlag der Kommission nicht mit den notwendigen klaren Vorschriften aufwarte, sei eine Verordnung mit klar definierten zwingenden Auflagen für die Mitgliedstaaten besser geeignet als eine Richtlinie.
Zudem plädiert der Ausschuss für folgende weitere Elemente:
- Die Schaffung einer NIS Behörde auf EU - Ebene nach dem Vorbild der Europäischen Agentur für Flugsicherheit (EASA), um für die Durchsetzung einer robusten NIS-Politik zu sorgen.
- Zusätzliche Sicherheitsanforderungen und Auflagen im Zusammenhang mit der Bereitstellung und Nutzung von Cloud-Diensten
- Haftung von Software- und Hardware Anbieter für Mängel ihrer Produkte oder Dienste, die unmittelbar zu NIS-Vorfällen beitragen.
Autor: Sylvia F. Jakob, LL.M (Edinburgh), Institut für Rechtsinformatik, Hannover
__________
Am 1.8.2013 hat die Kommission zum Beschluss des Bundesrates (BR-Drs. 92/13) Stellung genommen.
In ihrer Stellungnahme betont die Kommission insbesondere, dass Art. 4 des Vorschlags den Mitgliedstaaten genügend Flexibilität lasse, um die Befugnisse und die Struktur der Behörden zu bestimmen. Anders als Datenschutzbehörden, müssten die für NIS zuständigen Behörden nicht unabhängig sein. Es sei jedoch für eine effektive Koordinierung der verschiedenen Tätigkeiten der NIS-Behörden innerhalb eines Mitgliedstaates sowie der Zusammenarbeit im Rahmen des NIS-Kooperationsnetzwerkes unerlässlich, an einer einzigen Anlaufstelle festzuhalten.
Zum zweiten Kritikpunkt des Bundesrates vertritt die Kommission die Auffassung, dass die Anforderungen an die gesamte öffentliche Verwaltung, Sicherheitsvorkehrungen zu treffen und Sicherheitsvorfälle zu melden, durchaus mit Art. 114 Absatz 1 des Vertrages vereinbar seien. Der öffentlichen Verwaltung komme eine zentrale Aufgabe bei der Umsetzung der Digitalen Agenda zu. Sie müsse sich daher auf eine belastbare IKT-Infrastruktur verlassen können, damit sie ihre Online Dienste erbringen und gleichzeitig das Vertrauen der Bürger in die elektronische Verwaltung stärken könne. Selbst die Störung eines Netzes und Informationssystems einer kleinen regionalen Behörde könne sich unmittelbar auf den grenzüberschreitenden Verkehr von Waren, Dienstleistungen oder Personen auswirken.
Zudem seien öffentliche Netze miteinander verflochten, so dass eine Störung gleich mehrere Stellen in Mitleidenschaft ziehen könne; d.h. dass eine Behörde, die nicht unmittelbar mit Binnenmarktfragen befasst sei, könne auf einen Dienst übergreifen, dessen ordnungsgemäßes Funktionieren binnenmarktrelevant sei.
Wegen der generellen Gefährdung der Netze und Informationssysteme und ihrer Interdependenz, müsse die ganze öffentliche Verwaltung einbezogen werden, ungeachtet der genauen Tätigkeit und spezifischen Ausrichtung.
Autor: Sylvia F. Jakob, LL.M (Edinburgh), Institut für Rechtsinformatik, Hannover
__________
Am 11.3.2013 hat der Bundesrat zu dem Richtlinienvorschlag der Kommission Stellung genommen.
Der Bundesrat kritisierte vor allem Art. 6 und 7 des Richtlinienvorschlags, die die Bennenung einer nationalen Behörde vorsehen. Dem Bundesrat zufolge sei dies eine Einmischung in die mitgliedstaatliche Zuständigkeitsverteilung. Besser wäre es, wenn man es den Mitgliedstaaten überließe die NIS im Einklang mit den jeweiligen mitgliedstaatlichen Verwaltungsstrukturen zu verwirklichen, zum Beispiel durch die Bennenung mehrerer Behörden.
Des weiteren kritisierte der Bundesrat Art. 14 des Richtlinienvorschlags, der auch die öffentliche Verwaltung unter die Betreiber kritischer Infrastrukuren zählt und damit Pflichten zur Ergreifung von Sicherheitsmaßnahmen, sowie Meldepflichten bei IT-Sicherheitsvorfällen hat. Dem Bundesrat zufolge müßte eine solche Ausweitung der allgemeinen Binnenmarktskompetenz aus Art 114 Absatz 1 AEUV begründet werden, was der Richtlinienvorschlag jedoch nur unzureichend bzw. überhaupt nicht täte.
Autor: Sylvia F. Jakob, LL.M (Edinburgh), Institut für Rechtsinformatik, Hannover
__________
Am 7.2.2013 hat die Kommission einen Vorschlag für eine Cybersicherheits-Richtlinie bekannt gegeben.
In ihrem Vorschlag plädiert die Kommission für eine umfassende Mindestharmonisierung zur Gewährleistung eines hohen Maßes an Netz- und Informationssicherheit (NIS).
Die Kommission befürchtet, dass grenzüberschreitende Dienste aufgrund von Sicherheitsverletzungen nicht mehr verfügbar oder gestört werden könnten. In solchen Fällen sei schnelles Handeln zur Lösung sowie der Informationsaustausch über wichtige Sicherheitsvorfälle von großer Bedeutung.
Aufgrund bereits eingetretener Vorfälle hätten die Mitgliedstaaten begonnen, eigene Vorschriften einzuführen. Unkoordinierte Regelungsmaßnahmen könnten jedoch zur Fragmentierung und zu Schranken im Binnenmarkt führen und die Befolgungskosten für Unternehmen erhöhen, die in mehr als einem Mitgliedstaat tätig seien.
Ziel der Richtlinie sei es, die Mitgliedsstaaten dazu zu veranlassen eine nationale NIS Strategie zu entwickeln und eine für Netz- und Informationssicherheit zuständige nationale Behörde zu benennen.
Da das Sicherheitsproblem die Gesellschaft und die Wirtschaft, d.h. Behörden, Unternehmen und Verbraucher, als Ganzes betreffe, sollten kritische Infrastrukturbetreiber umfassende Verpflichtungen für die Gewährleistung von Cybersicherheit und zur Meldung von Vorfällen bei der zuständige Behörde auferlegt werden.
Die zuständigen Behörden und die Kommission würden bei grenzüberschreitenden Vorfällen gemeinsam die Bewältigung von Sicherheitsrisiken und -vorfällen in Angriff nehmen.
Autor: Sylvia F. Jakob, LL.M (Edinburgh), Institut für Rechtsinformatik, Hannover
__________
 |
Entwurf der EU-Richtlinie zur Netzwerk- und Informationssicherheit v. 18.12.2015 |
|
COM(2013) 48 final -19.September 2013 - Stellungnahme des Europäischen Wirtschafts-und Sozialausschusses |
|
COM (2013) 5058 final - 1. August 2013 - Stellungnahme der Kommission zum Beschluss des Bundesrates BR-Drs. 92/13 |
|
Vorschlag für eine Richtlinie des Europäischen Parlaments und des Rates über Maßnahmen zur Gewährleistung einer hohen gemeinsamen Netz- und Informationssicherheit in der Union COM (2013) 48 final |
Login Datenbank
Zum Login
Infos und Kunde werden
Hinweis: Sie gelangen nach dem Einloggen zur juris Webseite.
Unsere Kooperationspartner
