Neue europäische Vorgaben zur Cybersicherheit: Der Bundestag beschließt das Umsetzungsgesetz zur NIS-RL der EU

von Prof. Dr. Dennis-Kenji Kipker, veröffentlicht am 10.05.2017

Am 27. April 2017 hat der Deutsche Bundestag das Gesetz zur Umsetzung der EU-Richtlinie 2016/1148 „über Maßnahmen zur Gewährleistung einer hohen gemeinsamen Netz- und Informationssicherheit in der Union“ (kurz: NIS-RL) beschlossen. Die EU-Richtlinie schreibt als zentraler Bestandteil der europäischen Cyber-Sicherheitsstrategie bis spätestens zum 9. Mai 2018 die Umsetzung der in ihr enthaltenen Vorgaben in nationale Rechts- und Verwaltungsvorschriften vor. Durch das deutsche Umsetzungsgesetz zur NIS-RL, dessen Referentenentwurf durch das Bundesministerium des Innern (BMI) am 7. Dezember 2016 vorgelegt wurde, erfahren deshalb verschiedene Rechtsvorgaben des IT-Sicherheitsgesetzes (IT-SiG) von Sommer 2015 eine Anpassung an das aktuelle EU-Recht. Wesentliche Dokumente des Gesetzgebungsverfahrens sind der auf dem Referentenentwurf basierende Gesetzentwurf der Bundesregierung (BT-Drs. 18/11242), die Stellungnahme des Bundesrates mit einer im Wesentlichen ablehnenden Gegenäußerung der Bundesregierung (BT-Drs. 18/11620) und die Beschlussempfehlung des Innenausschusses (BT-Drs. 18/11808) sowie der durch den Bundesrat abgedruckte Gesetzesbeschluss des Deutschen Bundestages (BR-Drs. 335/17).

Erweiterte Zusammenarbeit zwischen BSI und Nachrichtendienstbehörden

Gegenüber dem ursprünglichen Referentenentwurf des Umsetzungsgesetzes zur NIS-RL der EU haben sich insgesamt nur geringe Änderungen ergeben. Neben einer neuen Definition des Anbieters digitaler Dienste wurden vor allem auch neue Aufgabenfestlegungen für das Bundesamt für Sicherheit in der Informationstechnik (BSI) bestimmt. So wird dieses in Zukunft nicht nur die Verfassungsschutzbehörden, sondern ebenso den Militärischen Abschirmdienst (MAD) unterstützen, soweit es um Cyberbedrohungen mit einem terroristischen oder nachrichtendienstlichen Hintergrund geht. Damit verbunden werden auch erweiterte Befugnisse für die Übermittlung personenbezogener Daten geschaffen: Bei sicherheitsgefährdenden Tätigkeiten im Geschäftsbereich des Bundesministeriums der Verteidigung kann auch eine Übermittlung an den MAD stattfinden. Eine Weitergabe von Informationen an den Bundesnachrichtendienst (BND) ist möglich, soweit der in Rede stehende IT-Sicherheitsvorfall einen internationalen kriminellen, terroristischen oder staatlichen Hintergrund hat.

Einführung der BSI-MIRTs

Die EU NIS-RL schreibt inhaltlich den Einsatz von Mobile Incident Response Teams (MIRTs) vor. Hierbei handelt es sich um flexible Spezialistenteams, die in Notfällen die Funktionsfähigkeit einer IT-Infrastruktur möglichst schnell wieder herstellen sollen. Das BSI wird als zentrale Behörde der IT-Sicherheit in Deutschland zukünftig solche MIRTs einsetzen, soweit die Sicherheit oder Funktionsfähigkeit informationstechnischer Systeme einer Stelle des Bundes oder eines Betreibers einer Kritischen Infrastruktur in herausgehobenen Fällen beeinträchtigt ist.

Neue Verpflichtungen für die Anbieter von digitalen Diensten

Das beschlossene Umsetzungsgesetz realisiert zudem die Vorgaben der NIS-RL für die Anbieter von digitalen Diensten, die durch den europäischen Rechtsakt ebenfalls als besonders wichtig für die Funktionsfähigkeit des EU-Binnenmarktes definiert wurden und denen deshalb ein KRITIS-ähnlicher Status eingeräumt wird. Das EU-Recht benennt hier im Speziellen Online-Marktplätze, Online-Suchmaschinen und Cloud-Computing-Dienste. Neben technischen und organisatorischen Maßnahmen, die denen der Betreiber von Kritischen Infrastrukturen ähneln dürften, ist daneben auch eine Meldepflicht vorgesehen.

Neuerungen für die Betreiber von Energieversorgungsnetzen und Energieanlagen

Eine Überarbeitung hat daneben die Meldepflicht für die Betreiber von Energieversorgungsnetzen und Energieanlagen erhalten. In der aktuell geltenden Fassung des EnWG besteht eine Meldepflicht im Falle von erheblichen Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der IT-Systeme, Komponenten und Prozesse, die zu einem Ausfall oder einer Beeinträchtigung der Funktionsfähigkeit des Energieversorgungsnetzes oder der betreffenden Energieanlage führen können oder bereits geführt haben. Nach der Neufassung besteht eine Meldepflicht für Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der IT-Systeme, Komponenten oder Prozesse, die tatsächlich zu einem Ausfall oder einer erheblichen Beeinträchtigung der Funktionsfähigkeit des Energieversorgungsnetzes oder der betreffenden Energieanlage geführt haben oder aber bei erheblichen Störungen des IT-Systems, seiner Komponenten oder Prozesse, die lediglich zu einem Ausfall oder einer erheblichen Beeinträchtigung der Funktionsfähigkeit führen können. Das Erheblichkeitskriterium wird folglich neuerdings auf den Grad der Beeinträchtigung der Funktionsfähigkeit der Kritischen Infrastruktur bezogen.

Neuerungen im Telekommunikationsrecht

Im Telekommunikationsgesetz wurden verschiedene Änderungen getroffen, welche vorrangig datenschutzrechtliche Aspekte und das Vorgehen im Falle von technischen Störungen betreffen, die von nutzereigenen Endgeräten ausgehen. So wird der § 100 Abs. 1 TKG, der schon 2015 mit dem IT-SiG als Einführung einer „kleinen Vorratsdatenspeicherung“ erheblicher öffentlicher Kritik ausgesetzt gewesen ist, erweitert, indem der Diensteanbieter nun auch die Steuerdaten des informationstechnischen Protokolls zur Datenübertragung erheben und für Zwecke der IT-Sicherheit verwenden darf. Kommunikationsinhalte selbst, also Inhaltsdaten, sollen aber gerade nicht Bestandteil der entsprechenden Steuerdaten sein. Um der Verarbeitung auch personenbezogener Daten in § 100 Abs. 1 TKG Rechnung zu tragen, finden mit dem Umsetzungsgesetz auch neue datenschutzrechtliche Regelungen speziell für diesen Bereich Eingang in das Telekommunikationsgesetz. Falls von den informationstechnischen Systemen der Nutzer Gefahren für das Telekommunikationsnetz ausgehen sollten, ist der Diensteanbieter durch die Gesetzesnovelle neuerdings auch befugt, die Nutzung des TK-Dienstes einzuschränken.

Ein Ende der Cyber-Sicherheitsgesetzgebung in Sicht?

Neben dem 2. Korb der BSI-KritisV, der aller Voraussicht nach Ende Mai dieses Jahres publiziert werden soll, stellt das Umsetzungsgesetz zur EU NIS-RL den vorläufigen Endpunkt der neuen Cybersicherheits-Gesetzgebung der vergangenen Jahre dar, die ihren Ursprung in den politischen Cyber-Sicherheitsstrategien der Bundesregierung aus den Jahren 2011 und 2016 sowie der Europäischen Kommission aus dem Jahre 2013 hat. In gesetzgeberischer Hinsicht wird wieder einmal mehr als deutlich, wie viel Deutschland im europäischen Vergleich im Bereich der IT-Sicherheit in den letzten Jahren geleistet hat – nicht zuletzt auch deshalb birgt das neue deutsche Umsetzungsgesetz zur EU NIS-RL keine allzu großen Überraschungen für die Betreiber der adressierten Dienste.

Nachdem in den vergangenen Jahren die Gesetzgebung im Mittelpunkt stand, wird es nun an die Umsetzung und Zertifizierung der neuen rechtlichen Vorgaben gehen. Die Praxisnähe der gesetzlichen IT-Security-Vorschriften ist dabei, ausgehend von verschiedenen betreiberseitigen Rückmeldungen, durchaus zu erwarten. Gleichwohl ist davon auszugehen, dass die zurzeit neuen Vorschriften allerspätestens in fünf Jahren eine erneute Novellierung erfahren werden – allein schon deshalb, weil sich die technische Bedrohungslage geändert haben wird. Man darf deshalb durchaus gespannt darauf sein, wohin der Weg führt.

Diesen Beitrag per E-Mail weiterempfehlenDruckversion

Hinweise zur bestehenden Moderationspraxis
Kommentar schreiben

Kommentare als Feed abonnieren

Kommentar hinzufügen