Das Verhältnis des IT-Sicherheitsgesetz zur NIS-RL

15:28 16 Juni in IT-Sicherheitsgesetz OnePage

Am 08.08.2016 ist die NIS-RL in Kraft getreten, nachdem diese bereits am 19.07.2016 im Amtsblatt der Europäischen Union veröffentlicht wurde. Die NIS-RL geht auf einen Vorschlag der EU-Kommission vom 07.02.2013 zurück. Der Europäische Rat hat schließlich am 07.12.2015 mit dem EU-Parlament im Wege des Trilogs eine informelle Einigung über den Entwurf der NIS-RL erzielt. Dem folgte am 17.5.2016 die Zustimmung des EU-Rates in 1. Lesung sowie die Zustimmung des EU-Parlamentes am 06.07.2016. Die EU-Mitgliedsstaaten müssen die NIS-RL bis zum 09.05.2016 in nationales Recht umsetzen, und innerhalb von weiteren 6 Monaten, d.h. bis zum 09.11.2018, die nationalen Betreiber von sog. „essential services (KRITIS bzw. die „Anbieter digitaler Dienste“) zu identifizieren.

Die NIS-RL verfolgt das Ziel ein hohes Level an Netzwerk- und Informationssicherheit zu erreichen, welches für die gesamte EU gilt. Dies soll zum einen durch die Stärkung der Zusammenarbeit zwischen den einzelnen Mitgliedsstaaten und zum anderen durch die Verpflichtung eines angemessenen IT-Risikomanagement mit einer Meldepflicht für erhebliche Störfälle erreicht werden. Die Stärkung der Zusammenarbeit zwischen den Mitgliedstaaten soll dabei durch strategische Koordination und operationelle Kooperation erfolgen. Letzteres u.a. durch die Beteiligung von Behörden, wie z.B. das BSI sowie spezielle „Computer Security Incident Response Teams“ (CSIRTs).

Hinsichtlich des persönlichen Anwendungsbereich der NIS-RL ist eine Abweichung zum IT-SicherheitsG festzustellen. Anders als im IT-SicherheitsG werden von der NIS-RL nicht nur die Betreiber von KRITIS, sondern auch die „Anbieter digitaler Dienste“ erfasst, wobei aber Hard- und Software-Hersteller nicht umfasst sind. Des Weiteren fällt auf, dass sich die NIS-RL sich nicht nur auf private Einrichtungen beschränkt, sondern gleichermaßen auch öffentlich Einrichtungen erfasst. Allerdings ist das IT-SicherheitsG bei der Bestimmung der Sektoren, welche unter das IT-SicherheitsG fallen, weiter als die NIS-RL gefasst, als die Sektoren Ernährung, Informationstechnik und Telekommunikation sowie Wasser zusätzlich aufgezählt werden.

Sofern die Pflichten für die Betreiber von sog. „essential services (KRITIS bzw. die „Anbieter digitaler Dienste“) in der NIS-RL thematisiert werden, ist auf Art. 14 Abs. 1 NIS-RL hinzuweisen, der ebenfalls, wie das IT-SicherheitsG in § 8a Abs. 1 BSIG, Maßnahmen verlangt, die „State of the art“ („Stand der Technik“) sind. Darüber hinaus sieht die NIS-RL in Art. 14 Abs. 2 i.V.m. Art. 3 Nr. 4 Meldepflichten vor. Anders als § 8b Abs. 4 Nr. 1 BSIG sind allerdings Meldepflichten für bloße hypothetischen Störungen, d.h. Störungen die hätten eintreten können, nicht erforderlich.

Aufgrund teilweiser Abweichungen zwischen IT-SicherheitsG und NIS-RL gilt es abzuwarten, ob der deutsche Gesetzgeber, zumindest in den Punkten, in denen die NIS-RL höhere Anforderungen stellt, Nachbesserungen am IT-Sicherheitsgesetz vornehmen wird.