Europäische IT-Sicherheit trotz „Brexit“: Zur Umsetzung der EU NIS-Richtlinie im Vereinigten Königreich

von Prof. Dr. Dennis-Kenji Kipker, veröffentlicht am 30.10.2017

Rechtsgebiete: WirtschaftsrechtComplianceIT-RechtIT-Sicherheitsrecht|6286 Aufrufe

Die Netz- und Informationssicherheitsrichtlinie (NIS-RL) der Europäischen Union hat für die Realisierung flächendeckender IT-Sicherheit durchaus einen richtungsweisenden Charakter: So wird auch im Vereinigten Königreich gegenwärtig über die Umsetzung des EU-Gesetzgebungsaktes diskutiert. Die Regierung Großbritanniens hat hierzu vor Kurzem einen eigenen Umsetzungsvorschlag veröffentlicht, der als Bestandteil der britischen Cybersicherheitsstrategie auch nach dem Austritt aus der EU in die nationale Gesetzgebung einfließen soll.

Gesamteuropäische IT-Sicherheit als wirtschaftlicher Anknüpfungspunkt

Ein wesentlicher Grundgedanke hinter der Implementierung der europarechtlichen Vorgaben in das britische Recht liegt in der steigenden wirtschaftlichen Bedeutung von Cybersicherheit, denn nur wer hier gleichlaufende Vorgaben realisiert, wird langfristig am transnationalen europäischen Datenverkehr teilhaben können. Darüber hinaus weist die britische Cybersicherheitsstrategie ähnliche Ziele wie die NIS-RL der EU auf: Ende 2016 beschlossen, hat man sich im Vereinigten Königreich beim Umgang mit IT-Sicherheit auf die Trias „Defend“, „Deter“ und „Develop“ geeinigt, die bis zum Jahr 2021 umgesetzt sein wird. Hierzu sollen Netzwerke, Daten und zentrale IT-Systeme gesichert werden, wobei vorrangig die Zivilgesellschaft und die Unternehmen zum Selbstschutz gegenüber IT-Sicherheitsbedrohungen aufgefordert sind. Darüber hinaus sollen die staatlichen Kompetenzen im Bereich der IT-Sicherheit eine Erweiterung erfahren, indem die Behörden in die Lage versetzt werden, aktive Maßnahmen gegen Cybersicherheitsbedrohungen zu ergreifen und ermittelte Angreifer im Cyberraum strafrechtlich zu verfolgen. Ein solches Tätigwerden staatlicher Einrichtungen im Sinne des Zieles „Defend“ der nationalen Cybersicherheitsstrategie erfordert aufgrund der grenzüberschreitenden Sachverhalte in besonderem Maße eine internationale Zusammenarbeit, welcher sich die britische Regierung durch die Anpassung des nationalen Rechts an die entsprechenden europäischen Vorgaben in diesem Bereich annehmen will.

Wesentliche (kritische) Dienste in UK: Schwellenwerte und Anforderungen

In Art. 5 verpflichtet die EU NIS-Richtlinie alle Mitgliedsstaaten zur Identifikation der Betreiber von Wesentlichen Diensten – diese entsprechen inhaltlich im weitesten Sinne den Kritischen Infrastrukturen, die durch das deutsche IT-Sicherheitsgesetz bestimmt werden. In ihrem Vorschlag zur Umsetzung der NIS-Richtlinie schlägt die britische Regierung für verschiedene Sektoren unterschiedliche Kriterien zur Ermittlung der Wesentlichen Dienste vor. Im Bereich der Stromübertragung, -verteilung und Endversorgung beispielsweise wird als Grenze die Versorgung von mindestens 250.000 Verbrauchern als Schwellenwert vorgeschlagen, wobei diese Grenzwertbestimmung nicht für Nordirland gilt. Auch im Bereich der Trinkwasserversorgung, dem Gesundheits- und dem Transportwesen, worunter der Schienenverkehr, Schiffsverkehrsdienste und der Flugbetrieb zu fassen sind, werden neue Kriterien zur Bestimmung der in den jeweiligen Bereichen einschlägigen Wesentlichen Dienste vorgeschlagen. Den jeweils zuständigen nationalen Behörden wird vom Entwurf ausgehend zudem ein Ermessensspielraum eingeräumt, mittels dessen weitere Betreiber, die nicht unter die vorgenannten generalisierenden Kriterien fallen, aufgrund ihrer spezifischen Relevanz für den Einzelfall als Wesentliche Dienste bestimmt werden können.

Dezentralisierte und sektorspezifische IT-Sicherheitsbehörden

Anders als in Deutschland verfolgt der britische Ansatz zur Realisierung der Cybersecurity ein dezentralisiertes Modell: Wo hierzulande das Bundesamt für Sicherheit in der Informationstechnik (BSI) als zentrale Anlaufstelle für nahezu sämtliche Fragen der Informationssicherheit gilt, schlägt die britische Regierung zuvorderst sektorspezifische Behörden vor, die für die Betreuung der jeweiligen Infrastrukturdomänen zuständig sind – hierdurch soll Art. 8 der NIS-RL erfüllt werden, der die Benennung nationaler zuständiger Behörden für die IT-Sicherheit vorschreibt. Der Vorteil von sektorspezifischen Einrichtungen liegt erwartungsgemäß in der besonderen Expertise, welche die jeweiligen Behörden für ihren Fachbereich entwickeln können, ferner soll die Verteilung der IT-Sicherheitsangelegenheiten auf verschiedene Einzelbehörden zu einer Entlastung des Informationssicherheitsmanagements durch die öffentliche Hand beitragen. Eine völlige Dezentralisierung ist ausgehend vom EU-Recht gleichwohl nicht möglich: So schreibt Art. 8 der NIS-RL vor, dass ebenso eine nationale zentrale Anlaufstelle für die IT-Sicherheit zu benennen ist. In Großbritannien soll diese Funktion durch das National Cyber Security Centre (NCSC) ausgefüllt werden; dieses wird in Ausübung seiner Koordinierungsfunktion mit den einzelnen sektorspezifischen Behörden kooperieren. Das NCSC stellt geplantermaßen auch die Computer Security Incident Response Teams (CSIRTs), die ausgehend von Art. 9 der NIS-RL ebenso einzurichten sind, auf. Gleichwohl in UK ein entsprechender Vorstoß hin zur Dezentralisierung der IT-Sicherheitsbehörden gemacht wurde, ist dieses Konzept in den eigenen Reihen keineswegs unumstritten. So wurde im Rahmen der Anhörung für das neue Gesetz explizit auch ein Vergleich mit der behördlichen Situation in Deutschland angestrebt, wo das BSI als Zentralstelle die wesentlichen IT-Sicherheitsvorgänge aus einer Hand heraus koordiniert. Es bleibt abzuwarten, welches der Konzepte sich in Zukunft durchsetzen wird.

Technische und organisatorische IT-Sicherheit im Unternehmen: „high level security principles“ und „guidances“

Ausgehend von Art. 14 der EU NIS-RL sind die Betreiberunternehmen von Wesentlichen Diensten gefordert, IT-Sicherheitsrisiken durch geeignete und verhältnismäßige technische und organisatorische Maßnahmen (TOM) zu beherrschen. Zur Gewährleistung eines solchen Schutzes sollen durch die Regierung so genannte „high level security prinicples“ erlassen werden, also bestimmte Sicherheitsziele, die wiederum durch Orientierungshilfen, genannt „guidance“, zu konkretisieren sind. Die Umsetzung der unternehmensbezogenen IT-Sicherheitsvorgaben erfolgt in Kooperation mit den jeweils zuständigen Behörden, die bei Nichteinhaltung Umsetzungsverpflichtungen bestimmen können. Überdies sollen auch solche „principles“ und „guidances“ erlassen werden, die speziell für die Betreiber von Digitalen Diensten im Sinne von Art. 16 der EU NIS-RL gelten. Dabei sollen als Leitbild die Vorgaben der EU-Kommission sowie die Bestimmungen der EU Datenschutz-Grundverordnung (EU DS-GVO) dienen. Für die Betreiber der Digitalen Dienste, worunter Online-Suchmaschinen, Online-Marktplätze sowie Cloud-Computing-Dienste fallen, wird hierdurch die besondere Vernetzung nicht nur mit IT-Sicherheits-, sondern auch mit datenschutzbezogenen Aspekten deutlich. Die Festschreibung von Meldepflichten im britischen Recht erfolgt ebenfalls im Gleichlauf mit den Regelungen aus der EU NIS-RL, sodass diese für die Wesentlichen Dienste wie gleichermaßen auch für die Digitalen Dienste gelten. Die Möglichkeit zur freiwilligen und rein präventiven Meldung besteht ebenso, wobei fraglich ist, in welchem Umfang hiervon von Seiten der Unternehmen Gebrauch gemacht wird und ob – diese Frage stellt sich auch hierzulande – ausreichende personelle Kapazitäten in den mit der IT-Sicherheit betrauten Behörden verfügbar sind, um eine inhaltlich angemessene und zeitnahe Auswertung auch von freiwilligen Meldungen zu gewährleisten.

Fazit und Ausblick

Der umfassende Vorschlag der britischen Regierung zur nationalen Umsetzung der EU NIS-Richtlinie unterstreicht nicht nur die Bedeutung der IT-Sicherheit als wichtigen Faktor für die Funktionsfähigkeit von Computersystemen, sondern macht ebenso deutlich, dass IT- und Datensicherheit entscheidende Voraussetzungen sind, wenn es um die wirtschaftliche Wettbewerbsfähigkeit von Staaten geht. Dass Großbritannien bei der Realisierung der NIS-RL dabei teils auch eigene Wege geht, überrascht wenig, denn die bisherigen Behörden- und Regulierungsstrukturen in UK sind im direkten Vergleich beispielsweise zu Deutschland doch mit erheblichen Unterschieden behaftet. Der in Großbritannien verfolgte Ansatz, die zentrale Anlaufstelle für IT-Sicherheit um die Kompetenz der sektorspezifischen Behörden zu ergänzen, scheint vielversprechend, birgt aber ebenso neue Herausforderungen in der Realisierung, so zum Beispiel die Kommunikation des NCSC mit den Fachbehörden betreffend, die ihre Kenntnisse im Bereich der IT-Sicherheit teilweise erst noch konstituieren müssen. Gleichgültig, wie die Ausgestaltung der neuen Cybersecurity-Gesetzgebung in Großbritannien am Ende auch aussehen mag: In jedem Falle erfreulich dürfte es sein, dass das Land auch nach dem „Brexit“ zumindest in Teilen am europäischen Gedanken festhält – auch wenn dies vornehmlich nur auf wirtschaftlicher Basis sein dürfte.