Einheitliche Regeln zur Cybersecurity – EU bringt die Richtlinie zur Netz- und Informationssicherheit (NIS) auf den Weg

10. Dezember 2015

Bereits seit Anfang 2013 arbeitet die EU an einheitlichen Vorschriften zur Gewährleistung der europaweiten Netzwerk- und Informationssicherheit. Der zu diesem Zweck verabschiedete Cybersecurity-Plan beinhaltete bereits einen ersten Entwurf der Network Information Security Directive.

Am 08. Dezember 2015 konnte zwischen Vertretern der EU-Kommission, des Europaparlaments und der Mitgliedstaaten eine Einigung über eine vorläufige Endfassung der Richtlinie erzielt werden.

Die Richtlinie begründet eine Verpflichtung der EU-Mitgliedsstaaten Betreiber und Anbieter „essentieller Dienstleistungen“, die für das soziale oder wirtschaftliche Leben in den Bereichen Energie, Transport, Finanzen, Gesundheit, Wasserversorgung und Digitale Infrastruktur wesentlich sind, zu benennen.

Diese Unternehmen sind zukünftig verpflichtet, angemessene Schutzmaßnahmen zur Gewährleistung der IT-Sicherheit zu treffen und schwerwiegende Vorfälle an die nationalen Behörden zu melden.

Für die Digitale Infrastruktur als wesentlich gelten nach der Richtlinie auch große Internet-Service-Provider, wie Online-Marktplätze, Suchmaschinen und Cloud-Anbieter. In diesem Zusammenhang werden Amazon, Google und Ebay ausdrücklich genannt.

Im Gegensatz zu dem ersten Entwurf der Richtlinie sind der öffentliche Sektor, kleine und mittlere Unternehmen sowie soziale Netzwerke nicht mehr von der vorläufigen Endfassung erfasst.

Die EU-Kommission begrüßt die Einigung in ihrer Pressemitteilung vom 08. Dezember 2015 und verweist auf die 21-monatige Umsetzungsfrist nach der formellen Verabschiedung der Richtlinie. Den Mitgliedsstaaten wird nach Ablauf der Umsetzungsfrist eine weitere Frist von 6 Monaten zur Benennung der relevanten Unternehmen eingeräumt.