Europa einigt sich auf Cybersecurity-Richtlinie: Wirt­schaft­li­cher Schaden bisher - 340 000 000 000 Euro

2/2: Mehr Austausch durch zentrale Stellen

Ein weiterer Eckpfeiler der NIS-Richtlinie ist die angestrebte Kooperation zwischen den Mitgliedstaaten. Um ein einheitliches Niveau an Sicherheit zu gewährleisten, muss jeder Mitgliedstaat eine eigene IT-Sicherheitsstrategie entwickeln und eine zentrale staatliche Stelle als über die Landesgrenzen hinausgehenden Ansprechpartner benennen. Über ein europäisches Netzwerk sollen sich die Mitgliedstaaten gegenseitig vor entdeckten Cyberrisiken warnen und erprobte Praktiken austauschen. Bevor die Warnung in das Netzwerk geht, muss das Unternehmen den Vorfall national melden.
In jedem Staat sind außerdem spezielle Notfallteams einzurichten, die bei konkreten IT-Sicherheitsvorfällen tätig werden, um die Risiken zu bewältigen und qualifizierte Hinweise über das Netzwerk auszusenden. Für all diese Maßnahmen verbleibt den Mitgliedstaaten ein Umsetzungszeitraum von 21 Monaten.

Die Bundesrepublik Deutschland hat mit dem bereits geltenden IT-Sicherheitsgesetz die wesentlichen Inhalte der NIS-Richtlinie schon umgesetzt. Zu erwarten sind lediglich Erweiterungen geringen Umfangs, die die betroffenen Unternehmen nicht stärker belasten, als derzeit vorgesehen. Der Bundestag hatte das intensiv diskutierte IT-Sicherheitsgesetz im Sommer verabschiedet, nachdem im Dezember 2014 von Bundesinnenminister Thomas de Maizière ein Regierungsentwurf vorgestellt worden war. Das IT-Sicherheitsgesetz griff den Ergebnissen auf europäischer Ebene – unter Kritik seitens der Unternehmen – bewusst voraus, orientierte sich jedoch maßgeblich an dem Kommissionsentwurf für eine NIS-Richtlinie aus dem Jahr 2013. Die Bundesregierung wollte im Umfeld der hohen Bedrohungslage keine Zeit verstreichen lassen.

Dementsprechend finden sich die Kernelemente der NIS-Richtlinie bereits im geltenden nationalen Recht wieder: Das sind die Pflicht zur Einhaltung von dem Stand der Technik entsprechenden Mindestanforderungen in § 8a Abs. 1 Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz) und die Meldepflicht in § 8b BSI-Gesetz bereits die. Im Gegensatz zum Regierungsentwurf sind in der beschlossenen Fassung nunmehr Verstöße gegen diese Pflichten mit Bußgeldern einer Höhe von bis zu 100.000 Euro belegt.

Adressaten der Kernpflichten noch unklar

Bis zum jetzigen Zeitpunkt unklar ist jedoch, welche Unternehmen diesen Pflichten überhaupt unterliegen werden. Die Betreiber möglicher Kritischer Infrastrukturen im Sinne des § 2 Abs. 10 BSIG werden erst nach der Erarbeitung einer Rechtsverordnung ermitteln können, ob sie erfasst sind. Die Gesetzesbegründung gibt als Richtwert eine Anzahl von 2.000 Unternehmen vor. Beabsichtigt ist, diese Rechtsverordnung im Jahr 2016 in zwei Körben zu erlassen.

Das IT-Sicherheitsgesetz vereinheitlicht zudem die Sicherheitsanforderungen, die Webseitenbetreiber, Telekommunikationsdiensteanbieter, Energieunternehmen sowie Betreiber von Atomanlagen einhalten müssen. Mit dem in Bonn ansässigen Bundesamt für Sicherheit in der Informationstechnik (BSI) existiert in Deutschland bereits eine übergeordnete IT-Sicherheitsbehörde. Hier werden in den kommenden Jahren voraussichtlich mehr als 200 neue Stellen entstehen.

Die Verabschiedung einer NIS-Richtlinie bedeutet einen Schritt in die richtige Richtung. Nur durch effektive Kooperationsmechanismen auf europäischer Ebene werden die wirtschaftlichen Schäden gebannt und das Vertrauen der Bevölkerung in digitale Dienste erhalten werden können. Es ist daher unerlässlich, dass sich die Mitgliedstaaten austauschen.

Was jedoch bereits für das Verhältnis zwischen Staat und Wirtschaft auf nationaler Ebene gilt, gilt auch für die Zusammenarbeit zwischen den Mitgliedstaaten: Gegenseitiges Vertrauen in den sensiblen Umgang mit gemeldeten Sicherheitsvorfällen muss erst aufgebaut werden und wachsen. Lediglich dann können die angestrebten Ziele erreicht werden. Zudem kann es sich bei der NIS-Richtlinie nur um einen ersten von vielen kleinen Schritte handeln, um die Gesellschaft vor den mannigfaltigen Cyberrisiken zu schützen. Die Erarbeitung von Mindestanforderungen an die Sicherheit der Produkte von Hard- und Softwareherstellern muss ebenso forciert werden wie die Schaffung eines generellen Bewusstseins für IT-Sicherheit in der Bevölkerung.

Der Autor Dr. Philipp Roos ist Rechtsreferendar am LG Münster und derzeit bei der Deutschen Botschaft Prag stationiert. Während seiner Zeit als Wissenschaftlicher Mitarbeiter am ITM der WWU Münster hat er ein vom BMBF gefördertes, interdisziplinäres Forschungsprojekt betreut, in dem es um die Entwicklung rechtskonformer technischer Verfahren zur Erhöhung der IT-Sicherheit ging.