NIS-Richtlinie

Am 08.08.2016 ist die Richtlinie 2016/1148[1] über Maßnahmen zur Gewährleistung zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union (im Folgenden: NIS-RL) in Kraft getreten. Sie soll als wesentlicher Bestandteil der Cybersicherheitsstrategie der Europäischen Union zur Schaffung eines sicheren und vertrauenswürdigen digitalen Umfelds in der gesamten EU beitragen. Hintergrund für das gesetzgeberische Tätigwerden der Union ist, dass Netz- und Informationssysteme bei der Erleichterung des europäischen Waren-, Dienstleistungs- und Personenverkehrs eine tragende Rolle spielen und daher unerlässlich für das reibungslose Funktionieren des Binnenmarkts der Europäischen Union sind.[2]

Durch die NIS-RL werden dafür gemeinsame Mindestanforderungen für Kapazitätsaufbau- u. Planung, Informationsaustausch, Zusammenarbeit sowie gemeinsame Sicherheitsanforderungen für „Betreiber wesentlicher Dienste“ (entspricht weitestgehend „kritischen Infrastrukturen“ im IT-Sicherheitsgesetz) und „Anbieter digitaler Dienste“ (entspricht weitestgehend „Telemediendiensten“ im TMG) unionsweit festgelegt.

Die Richtlinie differenziert in ihrem Harmonisierungsgrad zwischen den Betreibern „digitaler Dienste“ und den Anbietern „wesentlicher Dienste“. Für Betreiber wesentlicher Dienste gilt nach Art. 3 NIS-RL der Grundsatz der Mindestharmonisierung, was bedeutet, dass die Mitgliedsstaaten in diesem Bereich auch über die Mindestvorgaben der Richtlinie hinausgehende, strengere Vorschriften schaffen dürfen. Mit Blick auf die ausführlichen Regelungen im IT-Sicherheitsgesetz zu kritischen Infrastrukturen ergibt sich in diesem Bereich demnach nur ein geringer Anpassungsbedarf.[3] Anders stellt sich dies für die Betreiber digitaler Dienste dar: in diesem Bereich sind die geltenden Vorschriften nach Art. 16 Abs. 10 NIS-RL vollharmonisierend, weshalb die Mitgliedsstaaten kein „Mehr“ an Sicherheitspflichten für Anbieter digitaler Dienste normieren dürfen.

Der Bundesgesetzgeber hat darauf bereits reagiert, und ein Gesetz zur Umsetzung der Vorgaben der NIS-Richtlinie[4] am 27.04.2017 beschlossen, und am darauf folgenden Tag in Kraft getreten ist (Art. 6 NIS-RL-Umsetzungsgesetz).

Es handelt sich hierbei um ein Artikelgesetz. Das bedeutet, dass bereits existierende Bestimmungen des BSI-Gesetzes, Atom- und Energiewirtschaftsgesetzes sowie des TMG und TKG stellenweise an die Bestimmungen der NIS-Richtlinie angepasst wurden.

Im Folgenden sollen die wesentlichen Inhalte und Änderungen durch die NIS-Richtlinie bzw. das nationale Umsetzungsgesetz dargestellt werden.

I. Betreiber wesentlicher Dienste

1. Adressaten nach Art. 4 Nr. 3, Art. 5 Abs. 2 NIS-RL

Unter den „wesentlichen Diensten“ sind nach Art. 4 Nr. 4 NIS-RL öffentliche oder private Einrichtungen in den einzelnen Sektoren Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheitswesen, Trinkwasserversorgung sowie digitale Infrastruktur zu verstehen, sofern sie nach Art. 5 Abs. 2 NIS-RL einen Dienst bereitstellen:

  • Der für die Aufrechterhaltung kritischer gesellschaftlicher und/oder wirtschaftlicher Tätigkeiten unerlässlich ist;
  • die Bereitstellung dieses Dienstes abhängig von Netz- und Informationssystemen ist; und
  • ein Sicherheitsvorfall eine erhebliche Störung bei der Bereitstellung dieses Dienstes bewirken würde.

All diese Kriterien müssen kumulativ („und“), d.h. gleichzeitig erfüllt sein, um einen Dienst als „wesentlich“ i.S.d. Richtlinie zu qualifizieren. Für § 2 Abs. 10 BSI-Gwar zwar keine deckungsgleiche Formulierung gewählt worden, da diese aber wohl im Wesentlichen inhaltsgleich ist, bestand hier kein Anpassungsbedarf.[5] Basierend auf diesen Kriterien (bzw. § 2 Abs. 10 BSI-G) können sodann die „wesentlichen Dienste“ durch die Mitgliedstaaten ermittelt werden; diese Aufgabe wird durch das BSI über die KRITIS-Verordnungen wahrgenommen.[6]

Ein wesentlicher Unterschied zu den bisherigen nationalen Vorgaben ist hingegen darin zu sehen, dass die NIS-RL ausdrücklich auch „öffentliche Einrichtungen“ erfasst, sofern sie einen wesentlichen Dienst betreiben.[7] Damit werden künftig gerade auf Landesebene besondere Vorschriften zur IT-Sicherheit erforderlich; zu denken ist dabei etwa insbesondere an die öffentlich-rechtlich organisierten Sparkassen oder Krankenhäuser. Aber gerade auch etwa IT-Infrastrukturen der Bundesverwaltung können vom Anwendungsbereich der NIS-Richtlinie betroffen sein, soweit sie einen wesentlichen Dienst bzw. eine kritische Infrastruktur darstellen.[8]

2. Pflichten nach Art. 14, 15 NIS-RL

Im Vergleich zum IT-Gesetz in der Fassung vor dem Umsetzungsgesetz der NIS-RL, enthält die NIS-RL für kritische Infrastrukturen im Ergebnis nur wenige relevante Änderungen mit Blick auf die nach dem IT-Sicherheitsgesetz ohnehin schon geltenden Anforderungen.

Im Vergleich zum IT-Sicherheitsgesetz in der Fassung vor dem Umsetzungsgesetz der NIS-RL, enthält die NIS-Richtlinie für kritische Infrastrukturen (bzw. „wesentliche Dienste“) im Ergebnis nur wenige relevante Änderungen mit Blick auf die nach dem IT-Sicherheitsgesetz ohnehin schon geltenden Anforderungen.[9] Die NIS-RL enthält besondere Anforderungen insbesondere für die Dokumentation und Überprüfung von IT-Sicherheitsmaßnahmen durch die Betreiber kritischer Infrastrukturen (vgl. Art. 14, 15 NIS-RL) sowie zur Reaktion auf IT-Sichervorfälle und zu den Meldepflichten der Betreiber wesentlicher Dienste bzw. kritischer Infrastrukturen.[10] Mit Neuregelung durch das deutsche Umsetzungsgesetz sind umfassenden Meldepflichten nun auch im BSI-G geregelt.

So gilt seit Inkrafttreten des Umsetzungsgesetzes (30.06.2017) die spezielle Meldepflicht für die Betreiber kritischer Infrastruktur. Demnach hat eine Meldung an das BSI zu erfolgen, wenn entweder eine erhebliche Störung der IT vorliegt, welche zu einer erheblichen Beeinträchtigung der Funktionsfähigkeit der kritischen Infrastruktur führen kann oder wenn eine Störung der IT zu einer erheblichen Beeinträchtigung der Funktionsfähigkeit der kritischen Infrastruktur geführt hat. Darüber hinaus wurde etwa auch die Meldepflicht von Betreibern von Energieversorgungsnetzen und Energieanlagen neu geregelt, vgl. § 11 Abs. 1c EnWG.

II. Vorgaben für Anbieter digitaler Dienste

1. Adressaten nach Art. 4 Nr. 5, Anhang III NIS-RL

Weitaus umfangreichere Änderungen bringt die NIS-RL für den zweiten großen Adressatenkreis der sog. „Anbieter digitaler Dienste“ mit sich.[11] Dieser Begriff ist neu und tauchte in dieser Art auch bisher nicht im IT-Sicherheitsgesetz auf. Die Definition in Art. 4 Nr. 5 verweist hierfür auf Art. 1 Abs. 1 lit. b der RL (EU) 2015/1535 (Info-RL), wonach ein sog. digitaler Dienst eine Dienstleistung der Informationsgesellschaft ist, d.h. jede in der Regel gegen Entgelt elektronisch im Fernabsatz und auf individuellen Abruf eines Empfängers erbrachte Dienstleistung. Eingeschränkt wird diese grundsätzlich sehr weite Begriffsbestimmung zusätzlich gem. Art. 4 Br. 5 NIS-RL durch einen Verweis auf den Anhang III der NIS-RL, der eine abschließende Aufzählung der erfassten Unterarten solcher Dienste enthält. Digitale Dienste im Sinne der Richtlinie sind daher (nur):

  • Online-Marktplätze: d.h. Dienste, die es ermöglichen, Online-Kauf-, oder Dienstleistungsverträge mit Unternehmern entweder auf der Website des Online-Marktplatzes oder auf der Website eines Unternehmers, die von dem Online-Marktplatz bereitgestellte Rechendienste verwendet, abzuschließen (Art. 4 Nr. 17 NIS-RL).
  • Online-Suchmaschinen: d.h. Dienste, die es Nutzern ermöglichen, Suchen grundsätzlich auf allen Websites oder auf Websites in einer bestimmten Sprache anhand einer Abfrage zu einem beliebigen Thema in Form eines Stichworts, einer Wortgruppe oder einer anderen Eingabe vorzunehmen, und der daraufhin Links anzeigt, über die Informationen im Zusammenhang mit dem angeforderten Inhalt gefunden werden können (Art. 4 Nr. 18 NIS-RL).
  • Cloud-Dienste[12]: d.h. Dienste, die den Zugang zu einem skalierbaren und elastischen Pool gemeinsam nutzbarer Rechenressourcen ermöglicht (Art. 4 Nr. 19 NIS-RL). Dabei handelt es sich um eine ausgesprochen weite Definition,[13] sie wird vermutlich im Vergleich zu den beiden anderen Dienstarten am meistens Konkretisierungsbedarf erfordern.

Der neu geschaffene § 8c BSI-G, übernimmt die Pflichten der NIS-Richtlinie für Anbieter digitaler Dienste sowie auch einen Ausschluss für kleine Unternehmen sowie Kleinstunternehmen (§ 8d Abs. 4 BSI-G). Unklar verbleibt jedoch das Verhältnis des § 8c BSI-G-E zu § 13 Abs. 7 TMG.[14] Der Adressatenkreis des § 13 Abs. 7 TMG, demnach Telemedien ebenfalls bestimmte IT-Sicherheitspflichten ist allerdings weiter gefasst als der der Richtlinie, denn es ist nur die „Geschäftsmäßigkeit“, nicht die „Entgeltlichkeit“ des Dienstes erforderlich. Darüber hinaus sind kleinere Unternehmen und Kleinstunternehmen nach Art. 16 Abs. 11 NIS-RL vom Anwendungsbereich der Richtlinie ausgenommen, nicht aber nach Art. 13 Abs. 7 TMG. Kleinstunternehmen sind dabei solche mit weniger als 10 Mitarbeitern und einem Jahresumsatz von unter 2 Mio. EUR; Kleinunternehmen solche mit weniger als 50 Mitarbeitern und ein Jahresumsatz bzw. eine Jahresbilanz von unter 10 Mio. EUR.[15] Damit werden die meisten kleineren und mittelständischen Unternehmen nicht wohl nicht von den inhaltlichen Vorgaben der Richtlinie betroffen sein.

Damit stellt sich die bedeutsame (Folge-)Frage, ob entsprechend kleine digitale Dienste trotzdem weiterhin von § 13 Abs. 7 TMG erfasst sein werden.[16] Denn jedenfalls für Anbieter der oben genannten Dienstarten (Online-Marktplätze, Online-Suchmaschinen sowie Cloud-Computing-Diensten) gebietet der Grundsatz der Vollharmonisierung nach Art. 16 Abs. 10 NIS-RL[17] für Anbieter digitaler Dienste, dass diesen durch die Mitgliedstaaten keine strengeren Verpflichtungen auferlegt werden dürfen. Somit schein es möglich, dass § 13 Abs. 7 TMG in Zukunft dahingehend richtlinienkonform ausgelegt werden muss, dass er jedenfalls für Anbieter der drei Dienstkategorien dann nicht mehr gelten darf, sofern es sich dabei um Kleine bzw. Kleinstunternehmen im Sinne der Richtlinie handelt.

Das Verhältnis zwischen § 13 Abs. 7 TMG und § 8c BSI-G bedarf aus diesen Gründen jedenfalls weiterer gesetzlicher Klarstellungen.[18] Dies ist zudem äußerst praxisrelevant, da von dieser Abgrenzung vermutlich sehr viele kleine und mittelständische Unternehmen betroffen sein werden. Jedenfalls für Telemediendienste, die nicht unter eine der oben genannten Kategorien fallen, gilt § 13 Abs. 7 TMG aber weiterhin uneingeschränkt. Für andere digitale Dienste ist dies nach den oben genannten Gründen bisweilen noch unklar.

2. Pflichten für Anbieter digitaler Dienste, Art. 16 – 18 NIS-RL

Nach Art. 16 Abs. 1 NIS-RL haben die Anbieter digitaler Dienste geeignete und verhältnismäßige technische und organisatorische Maßnahmen ergreifen, um die Risiken für die Sicherheit der Netz- und Informationssysteme zu bewältigen und dadurch unter Berücksichtigung des Stands der Technik ein Sicherheitsniveau der Netz- und Informationssysteme gewährleisten, das dem bestehenden Risiko angemessen ist. Unter einem Risiko sind nach Art. 4 Nr. 9 alle mit vernünftigem Aufwand feststellbaren Umstände oder Ereignisse zu verstehen, die potenziell nachteilige Auswirkungen auf die Sicherheit von Netz- und Informationssystemen haben. In Art. 16 Abs. 3 NIS-RL sind zudem umfassende Meldepflichten für Anbieter digitaler Dienste vorgesehen, sofern es sich um Sicherheitsvorfälle mit „erheblichen Auswirkungen“ handelt. Um dies festzustellen, gibt Art. 16 Abs. 4 NIS-RL verschiedene Parameter an, die es den Unternehmen ermöglichen, die Erheblichkeit eines Vorfalls zu bestimmen. Die in Art. 16 Abs. 1 und Art. 16 Abs. 4 NIS-RL bestimmten Maßnahmen und Parameter werden gemäß Art. 16 Abs. 8 NIS-RL durch die Kommission künftig in sog. Durchführungsakten konkretisiert. Zur Erfüllung dieser Pflichten muss nach Art. 17 NIS-RL auf nationaler Ebene sichergestellt werden, dass die zuständige Behörde (also das BSI) entsprechende Auskunfts- und Überwachungsmaßnahmen hinsichtlich der Anforderungen des Art. 16 NIS-RL ergreifen kann.

Gemäß § 8c BSI-G, zur Umsetzung dieser Vorgaben der NIS-RL verpflichtet Anbieter digitaler Dienste geeignete und verhältnismäßige Sicherheitsmaßnahmen gemäß dem Stand der Technik umzusetzen.[19] Demnach ist den Aspekten der

  1. Sicherheit der Systeme und Anlagen
  2. Erkennung, Analyse und Eindämmung von Sicherheitsvorfällen,
  3. Dem Betriebskontinuitätsmanagement
  4. Der Überwachung, Überprüfung und Erprobung,
  5. Sowie Einhaltung internationaler Normen

Rechnung zu tragen. Darüber hinaus haben Anbieter digitaler Dienste bei Sicherheitsvorfällen, welche erhebliche Auswirkungen auf die Bereitstellung der Dienste haben, diese zu melden. Gemäß § 8 Abs. 3 S. 2 BSI-G ist in die Einschätzung, ob von einem erheblichen Vorfall auszugehen ist nach den folgenden Anhaltspunkten zu bestimmen:

  1. Die Zahl der vom dem Sicherheitsvorfall betroffener Nutzer, insbesondere der Nutzer, die den Dienst für die Bereitstellung ihrer eigenen Dienste benötigen,
  2. Die Dauer des Sicherheitsvorfalls
  3. Das von dem Sicherheitsvorfall betroffenen geographische Gebiet
  4. Das Ausmaß der Unterbrechung der Bereitstellung des Dienstes
  5. Das Ausmaß der Auswirkungen auf wirtschaftliche und gesellschaftliche Tätigkeiten.

III. Nationaler Ordnungsrahmen, Art. 7 – 10 NIS-RL

Basierend auf einer Gesamtschau von Kapitel II der Richtlinie (vgl. Art. 7 Abs. 1 lit. c NIS-RL) haben die Mitgliedsstaaten weiter bestimmte Maßnahmen zur Abwehrbereitschaft, Reaktion und Wiederherstellung bei IT-Sicherheitsvorfällen zu ergreifen. Zur Umsetzung dessen durch das NIS-RL-Umsetzungsgesetz neu eingeführt, wurden daher z.B. auch sog. Mobile Incident Response Teams (MIRT). Diese sollen für den Fall, dass die Sicherheit oder Funktionsfähigkeit informationstechnischer Systeme von Betreibern kritischer Infrastruktur in herausgehobenen Fällen beeinträchtigt ist schnell die Wiederherstellung der Sicherheit und Funktionsfähigkeit der Systeme herbeiführen. Hierbei handelt es allerdings nur um eine „Kann“-Vorschrift, die durch das „Ersuchen“ der betroffenen Stelle ausgelöst wird.[20]Eine Pflicht des BSI zum Tätigwerden oder gar ein Anspruch der betroffenen Stelle wird darin jedoch nicht begründet.[21]

IV. Zusammenarbeit auf europäischer Ebene, Art. 11 – 13 NIS-RL

Für die Umsetzung der europäischen Cybersicherheitsstrategie wird gem. Art. 11 Abs. 1 NIS-RL eine Kooperationsgruppe zur Unterstützung und Erleichterung der strategischen Zusammenarbeit sowie des Informationsaustauschs zwischen den Mitgliedstaaten zum Aufbau von Vertrauen und zur Erreichung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union geschaffen.[22] Sie setzt sich aus den Vertretern der Mitgliedstaaten, der Kommission und der ENISA zusammen. Ihre wesentliche Aufgabe liegt wohl im Austausch von für die Verwirklichung der Richtlinie relevanten Informationen zu sehen sein. Nach Art. 12 NIS-RL wird zudem ein Netzwerk der nationalen CSIRTs errichtet, welches dem Aufbau von Vertrauen und einer raschen und wirksamen operativen Zusammenarbeit zwischen den Mitgliedstaaten dienen soll.

Darunter fällt insbesondere die Bereitstellung sog. „Computer-Notfallteams“ (CSIRTs – Computer Security Incident Response Teams) nach Art. 9 NIS-RL und Anhang I der NIS-RL. Die nationale Cyberabwehrinfrastruktur muss daher reibungslos funktionierende Notfallstellen bereitstellen, die über wirksame und kompatible Fähigkeiten zur Bewältigung von Vorfällen und Risiken verfügen und einer effiziente Zusammenarbeit auf Unionsebene ermöglichen.[23] Hierfür gab es bisher noch keine eindeutige Regelung im bisherigen BSI-G. Entsprechend sieht auch das Gesetz zur Umsetzung der NIS-Richtlinie die Aufnahme eines neuen § 5a BSI-G vor, der eine Rechtsgrundlage für die Unterstützung der Kritischen Infrastrukturen und Bundesbehörden durch die Einrichtung von sog. „Mobile Incident Response Teams“ (MIRTs) ermöglicht.


[1] Vgl. ABl. der Europäischen Union Nr. L 194/1 v. 19.07.2016, abrufbar unter: http://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32016L1148&from=DE

[2] Vgl. Erwägungsgrund Nr. 3 RL 2016/1148.

[3] So im Ergebnis auch Kipker, ZD-Aktuell 2016, 05261.

[4] https://www.bgbl.de/xaver/bgbl/start.xav?startbk=Bundesanzeiger_BGBl&jumpTo=bgbl117s1885.pdf#__bgbl__%2F%2F*%5B%40attr_id%3D%27bgbl117s1885.pdf%27%5D__1532077885049

[5] Vgl. auch die Begründung des Gesetzgebers zum Entwurf eines Gesetzes zur Umsetzung der NIS-RL (im Folgenden: NIS-RL AnpG-E) in BT-Drs. 18/11242, S. 1.

[6] Vgl. Kipker, ZD-Aktuell 2016, 05261.

[7] Vgl. Erwägungsgrund Nr. 45 RL 2016/1148.

[8] Mit diesbezüglicher Kritik zum IT-Sicherheitsgesetz bereits Hornung, NJW 2015, 3334, 3335.

[9] Dazu ausführlich Kipker, MMR 2017, 143, 144 ff.

[10] Kipker, MMR 2017, 143, 145; Kipker, ZD-Aktuell 2016, 05261; Voigt/Gehrmann, ZD 2016, 255, 257.

[11] Vgl. dazu ausführlich Gehrmann/Voigt, CR 2017, 93 ff.; Schallbruch, CR 2016, 663 ff.

[12] Dazu auch in Bezug auf die NIS-RL Hofmann, ZD-Aktuell 2017, 05488.

[13] So auch Kipker, MMR 2017, 143, 144.

[14] Mit ähnlicher Kritik auch bereits Gehrmann/Voigt, CR 2017, 93, 94.

[15] Empfehlung 2003/361/EG der Kommission vom 6. Mai 2003 betreffend die Definition der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen, ABl. Nr. L 124/36 vom 20.05.2003.

[16] So auch Gehrmann/Voigt, CR 2017, 93, 94; Spindler/Schmitz, TMG, 2. Auflage, § 13, Rn. 79 „Doppelregulierung“.

[17] Erwägungsgrund Nr. 57 RL 2016/1148.

[18] Gehrmann/Voigt, CR 2017, 93, 94.

[19] Schläger/Thode, Handbuch Datenschutz und IT-Sicherheit, S. 497.

[20] Kipker, MMR 2017, 143, 144.

[21] Vgl. auch Kipker, MMR 2017, 143, 144.

[22] Zu einer Übersicht der Aufgaben dieser Kooperationsgruppe vgl. Kipker, ZD-Aktuell 2016, 05261.

[23] Vgl. Erwägungsgrund Nr. 34 RL 2016/1148 sowie BT-Drs. 18/11242, S. 38 ff.

Ähnliche Einträge