cepMonitor: Netz- und Informationssicherheit (Richtlinie)

Richtlinie über Maßnahmen zur Gewährleistung einer hohen gemeinsamen Netz und Informationssicherheit in der Union

Zuletzt aktualisiert: 06. Juli 2016

ERLASSEN:

Richtlinie 2016/1148/EU

 

Inkrafttreten:

08.08.2016

07.02.2013
Richtlinienvorschlag COM(2013) 48
13.03.2014
EP: 1. Lesung
01.09.2014
Rat: Entwurf eines Verhandlungsmandats
07.12.2015
Kommission, EP und Rat: Trilogergebnis
Geltungsbereich

Die Richtlinie gilt für (Art. 1)

  • Marktteilnehmer und
  • öffentliche Verwaltungen.

Marktteilnehmer sind (Art. 3 Ziff. 8 lit. a und b)

  • Anbieter von „Diensten der Informationsgesellschaft“ und
  • Betreiber „kritischer“ Infrastrukturen.

Anbieter von „Diensten der Informationsgesellschaft“ sind (Anhang II)

  • Plattformen des elektronischen Geschäftsverkehrs,
  • Internet-Zahlungs-Gateways,
  • Soziale Netzwerke,
  • Suchmaschinen,
  • Cloud-Computing-Dienste und
  • Application Stores.

Betreiber „kritischer“ Infrastrukturen sind Betreiber (Art. 3 Ziff. 8 i.V.m. Ziff. 2a),

  • die für die Aufrechterhaltung zentraler wirtschaftlicher und gesellschaftlicher Tätigkeiten unerlässlich sind.

Dazu zählen u.a. (Anhang II)

  • Strom- und Gasversorger,
  • Betreiber von Erdöl- und Erdgas-Produktionsanlagen,
  • Luftfahrtunternehmen,
  • Beförderungsunternehmen des Seeverkehrs,
  • Eisenbahnen,
  • Flughäfen,
  • Häfen,
  • Banken und Finanzmarktinfrastrukturen (z.B. Börsen) sowie
  • Einrichtungen der medizinischen Versorgung (z.B. Krankenhäuser).

Die Richtlinie gilt für (Art. 1)

  • Marktteilnehmer.

Marktteilnehmer sind (Art. 3 Ziff. 8 lit. a und b)

  • Betreiber von Infrastrukturen.

Vom EP gestrichen.

Betreiber von Infrastrukturen sind Betreiber (Art. 3 Ziff. 8 i.V.m. Ziff. 2a),

  • die für die Aufrechterhaltung zentraler wirtschaftlicher und gesellschaftlicher Tätigkeiten unerlässlich sind und
  • deren Ausfall oder Zerstörung in einem Mitgliedstaat erhebliche Folgen hätte.

Dazu zählen u.a. (Anhang II)

  • Strom- und Gasversorger,
  • Betreiber von Erdöl- und Erdgas-Produktionsanlagen,
  • Luftfahrtunternehmen,
  • Beförderungsunternehmen des Seeverkehrs,
  • Eisenbahnen,
  • Flughäfen,
  • Häfen,
  • Banken und Finanzmarktinfrastrukturen (z.B. Börsen),
  • Einrichtungen der medizinischen Versorgung (z.B. Krankenhäuser),
  • Wassergewinnung und -versorgung,
  • Lebensmittelversorgungskette und
  • Internetknoten.

Wie Kommission.

Marktteilnehmer sind (Art. 3 Ziff. 8 i.V.m. Ziff. 2a)

  • Betreiber „wesentlicher“ Dienstleistungen.

Wie Kommission. Jedoch zählen Anbieter von Diensten der Informationsgesellschaft zu den Betreibern wesentlicher Einrichtungen.

Betreiber „wesentlicher“ Dienstleistungen sind private oder öffentliche Einrichtungen (Art. 3 Ziff. 8 i.V.m. Ziff. 2a),

  • die für das Funktionieren des Binnenmarkts „wesentliche“ wirtschaftliche und gesellschaftliche Dienstleistungen erbringen,
  • die von Netz- und Informationstechnik abhängig sind und
  • bei denen der Ausfall dieser Technik schwerwiegende Folgen für gesellschaftliche und ökonomische Aktivitäten oder für die öffentliche Sicherheit hätte.

Dazu zählen u.a. (Anhang II)

  • Strom- und Gasversorger,
  • Betreiber von Erdöl- und Erdgas-Produktionsanlagen,
  • Luftfahrtunternehmen,
  • Beförderungsunternehmen des Seeverkehrs,
  • Eisenbahnen,
  • Flughäfen,
  • Häfen,
  • Banken und Finanzmarktinfrastrukturen (z.B. Börsen),
  • Einrichtungen der medizinischen Versorgung (z.B. Krankenhäuser) und
  • Wasserversorgung.

 

Wie Kommission.

Marktteilnehmer sind (Art. 3 Ziff. 8, 11d und 11da)

  • Anbieter digitaler Dienstleistungen und
  • Betreiber „wesentlicher“ Dienstleistungen.

Anbieter digitaler Dienstleistungen sind (Anhang III)

  • Plattformen des elektronischen Geschäftsverkehrs / Online-Marktplätze,
  • Suchmaschinen und
  • Cloud-Computing-Dienste.
  • Application Stores.

Betreiber „wesentlicher“ Dienstleistungen sind private oder öffentliche Einrichtungen (Art. 3 Ziff. 8 i.V.m. Art. 3a Abs. 1a),

  • die für die Aufrechterhaltung kritischer wirtschaftlicher und gesellschaftlicher Tätigkeiten unerlässlich sind,
  • die von Netz- und Informationstechnik abhängig sind und
  • bei denen der Ausfall dieser Technik schwerwiegende Folgen für ihre Bereitstellung hätte.

Dazu zählen u.a. (Anhang II)

  • Strom- und Gasversorger,
  • Betreiber von Erdöl- und Erdgas-Produktionsanlagen,
  • Luftfahrtunternehmen,
  • Beförderungsunternehmen des Seeverkehrs,
  • Eisenbahnen,
  • Flughäfen,
  • Häfen,
  • Banken und Finanzmarktinfrastrukturen (z.B. Börsen),
  • Einrichtungen der medizinischen Versorgung (z.B. Krankenhäuser) und
  • Wassergewinnung und -versorgung,
  • Internetknoten,
  • Domain name system service providers und
  • Top Level Domain name registries.
Sicherheitsmaßnahmen und Meldepflichten

Marktteilnehmer und öffentlichen Verwaltungen müssen Maßnahmen ergreifen, die „technisch und organisatorisch geeignet“ sind, um Risiken für ihre Netze und Informationssysteme zu “managen“. Die Maßnahmen müssen nach dem „Stand der Technik“ ein „Maß an Sicherheit“ gewährleisten, das dem Risiko „angemessen“ ist. Dabei sollte die „Kontinuität“ der jeweiligen Dienste „gewährleistet“ sein. (Art. 14 Abs. 1).

Marktteilnehmer und öffentlichen Verwaltungen müssen Sicherheitsvorfälle, die „erhebliche“ Auswirkungen auf die Sicherheit ihrer Kerndienste haben, den zuständigen Behörden melden (Art. 14 Abs. 2).

„Kleinstunternehmen“ sind von den Sicherheitsanforderungen und Meldepflichten befreit (Art. 14 Abs. 8).

Die zuständige Behörde kann einen Sicherheitsvorfall öffentlich machen oder Marktteilnehmer oder öffentliche Verwaltungen zur Veröffentlichung verpflichten, wenn (Art. 14 Abs. 4)

  • der Vorfall das öffentliche Interesse berührt.

Die Kommission legt in delegierten Rechtsakten fest, „unter welchen Umständen“ die Meldepflicht für Marktteilnehmer und öffentliche Verwaltungen greift (Art. 14 Abs. 5).

Die zuständigen Behörden können dazu noch präzisierende Leitlinien festlegen (Art. 14 Abs. 6).

Die zuständigen Behörden können Verstöße gegen die Sicherheitsanforderungen und Meldepflichten untersuchen (Art. 15 Abs. 1).

Die zuständigen Behörden können (Art. 15 Abs. 2)

  • von Marktteilnehmern und öffentlichen Verwaltungen Informationen über ihre Netz- und Informationssysteme verlangen und
  • bei Marktteilnehmern und öffentlichen Verwaltungen Sicherheitsüberprüfungen vornehmen.

Die zuständigen Behörden können den Marktteilnehmern und öffentlichen Verwaltungen verbindliche Anweisungen erteilen (Art. 15 Abs. 3).

Marktteilnehmer müssen Maßnahmen ergreifen, die „technisch und organisatorisch geeignet“ sind, um Risiken für ihre Netze und Informationssysteme zu „erkennen und konkret zu bewältigen“. Die Maßnahmen müssen nach dem „Stand der Technik“ ein „Maß an Sicherheit“ gewährleisten, das dem Risiko „angemessen“ ist. Dabei sollte die „Kontinuität“ der jeweiligen Dienste „sichergestellt“ sein. (Art. 14 Abs. 1).

Marktteilnehmer müssen Sicherheitsvorfälle, die „erhebliche“ Auswirkungen auf die Kontinuität ihrer Kerndienste haben, der zuständigen Behörde oder einer zentralen Anlaufstelle „unverzüglich“ melden (Art. 14 Abs. 2).

„Kleinstunternehmen“ sind von den Sicherheitsanforderungen und Meldepflichten befreit, sofern sie nicht Tochter eines meldepflichtigen Marktteilnehmers sind (Art. 14 Abs. 8).

Marktteilnehmer außerhalb des Geltungsbereichs der Richtlinie können Sicherheitsvorfälle freiwillig melden (neuer Art. 14 Abs. 2c).

Die Meldung darf das Haftungsrisiko des meldenden Unternehmen nicht erhöhen (Art. 14 Abs. 2).

Die Mitgliedstaaten legen fest, wann Sicherheitsvorfälle „erheblich“ sind. Dabei berücksichtigen sie (Art. 14 Abs. 2)

  • die Anzahl der betroffenen Nutzer,
  • die Dauer des Sicherheitsvorfalls und
  • die geografische Dimension des Vorfalls.

Die zentrale Anlaufstelle eines Mitgliedstaats muss Anlaufstellen anderer Mitgliedstaaten über solche gemeldeten Sicherheitsvorfälle informieren, bei denen die Kerndienste des Marktteilnehmers auch in diesen Mitgliedstaaten betroffen sind (neuer Art. 14 Abs. 2a).

Die zentrale Anlaufstelle muss den Sicherheitsvorfall meldenden Marktteilnehmer hierüber in Kenntnis setzen (neuer Art. 14 Abs. 2a).

Die zentrale Anlaufstelle kann nach Rücksprache mit der zuständigen Behörde und betroffenen Marktteilnehmern einen Sicherheitsvorfall öffentlich machen, wenn (Art. 14 Abs. 4)

  • damit weiteren Sicherheitsvorfällen vorgebeugt werden kann,
  • damit andauernde Sicherheitsvorfälle angegangen werden können, oder
  • die betroffenen Marktteilnehmer nicht „unverzüglich“ auf den Sicherheitsvorfall reagieren.

Vom EP gestrichen.

Die zuständigen Behörden oder die zentralen Anlaufstellen können Leitlinien zur Meldepflicht festlegen (Art. 14 Abs. 6).

Die zuständigen Behörden und die zentralen Anlaufstellen können Verstöße gegen die Sicherheitsanforderungen und Meldepflichten untersuchen (Art. 15 Abs. 1).

Die zuständigen Behörden und die zentralen Anlaufstellen können (Art. 15 Abs. 2)

  • von Marktteilnehmern Informationen über ihre Netz- und Informationssysteme verlangen und
  • Belege über die Umsetzung der Sicherheitsmaßnahmen verlangen.

Die zuständigen Behörden und die zentralen Anlaufstellen können den Marktteilnehmern verbindliche Anweisungen erteilen (Art. 15 Abs. 3).

Die Mitgliedstaaten können festlegen, dass die zuständigen Behörden oder die zentrale Anlaufstelle für Marktteilnehmer mit „besonders hohem Kritikalitätsniveau“ strengere Informationen über Verfahren zu Sicherheitsprüfungen einholen können (neuer Art. 15 Abs. 3a).

Betreiber „wesentlicher“ Dienstleistungen müssen Maßnahmen ergreifen, die „technisch und organisatorisch geeignet“ sind, um Risiken für ihre Netze und Informationssysteme zu “managen“. Die Maßnahmen müssen nach dem „Stand der Technik“ ein „Maß an Sicherheit“ aufrechterhalten, das dem Risiko „angemessen“ ist. Dabei sollte die „Sicherheit“ der jeweiligen Dienste „gewährleistet“ sein. (Art. 14 Abs. 1 und 1a).

Betreiber müssen Sicherheitsvorfälle, die „erhebliche“ Auswirkungen auf die Sicherheit ihrer wesentlichen Dienste haben, der zuständigen Behörde „unverzüglich“ melden (Art. 14 Abs. 2).

Vom Rat gestrichen.

Wie EP (Art. 14 Abs. 2a).

Im Wesentlichen wie EP (Art. 14 Abs. 2b).

Im Wesentlichen wie EP (Art. 14 Abs. 2b).

Die zentrale Anlaufstelle kann nach Rücksprache mit der zuständigen Behörde und betroffenen Betreibern einen Sicherheitsvorfall öffentlich machen oder Betreiber zur Veröffentlichung verpflichten, wenn (Art. 14 Abs. 4)

  • öffentliche Aufmerksamkeit zur Verhinderung eines Sicherheitsvorfalls notwendig ist oder
  • damit andauernde Sicherheitsvorfälle angegangen werden können.

 

 

Wie EP.

Wie Kommission.

Im Wesentlichen wie Kommission.

Die zuständigen Behörden und die zentralen Anlaufstellen können (Art. 15 Abs. 2)

  • von Betreibern Informationen über ihre Netz- und Informationssysteme verlangen und
  • bei Betreibern Sicherheitsüberprüfungen vornehmen.

Wie Kommission.

Betreiber „wesentlicher“ Dienstleistungen und Anbieter digitaler Dienstleistungen müssen Maßnahmen ergreifen, die „technisch und organisatorisch geeignet“ sind, um Risiken für ihre Netze und Informationssysteme zu “managen“. Die Maßnahmen müssen nach dem „Stand der Technik“ ein „Maß an Sicherheit“ aufrechterhalten, das dem Risiko „angemessen“ ist. Dabei sollte die „Kontinuität“ der jeweiligen Dienste „angestrebt“ werden. (Art. 14 Abs. 1 und 1a, Art. 15a Abs. 1 und 1a).

Betreiber „wesentlicher“ Dienstleistungen und Anbieter digitaler Dienstleistungen müssen Sicherheitsvorfälle, die „erhebliche“ Auswirkungen auf die Kontinuität ihrer wesentlichen Dienste haben, der zuständigen Behörde oder dem IT-Notfallteam (CSIRT) „unverzüglich“ melden (Art. 14 Abs. 2).

Die Mitgliedstaaten dürfen Anbietern digitaler Dienstleistungen keine zusätzlichen Sicherheitsanforderungen und Meldepflichten auferlegen (Art. 15 Abs. 1b)

„Kleinstunternehmen“ sind, sofern sie Anbieter digitaler Dienstleistungen sind, von den Sicherheitsanforderungen und Meldepflichten befreit (Art. 15 Abs. 5).

Wie EP (Art. 1b).

Zusätzlich: Pflichtmeldungen sollten gegenüber freiwilligen Meldungen prioritär behandelt werden. Freiwillige Meldungen sollen nur verarbeitet werden, wenn die Verarbeitung keinen unverhältnismäßigen Aufwand für den Mitgliedstaat impliziert. (Art. 1b).

Wie EP (Art. 14 Abs. 2, Art. 15a Abs. 2).

Wie EP ((Art. 14 Abs. 2a, Art. 15a Abs. 2a).

Bei digitalen Dienstleistungen ist zudem das Ausmaß der Störung der Dienstleistung und die wirtschaftlichen und gesellschaftlichen Auswirkungen zu berücksichtigen (Art. 15a Abs. 2a).

Die zuständige Behörde oder das IT-Notfallteam eines Mitgliedstaats muss andere Mitgliedstaaten über solche gemeldeten Sicherheitsvorfälle informieren, die auch „erhebliche“ Auswirkungen auf die Kontinuität der Kerndienste des Betreibers in diesen Mitgliedstaaten haben. (neuer Art. 14 Abs. 2ac)

Die zuständige Behörde oder das IT-Notfallteam kann, sofern es die Umstände erlauben, den Sicherheitsvorfall meldenden Betreiber relevante Informationen zur Behandlung des Vorfalls bereitstellen (neuer Art. 14 Abs. 2ac).

Die zuständige Behörde oder das IT-Notfallteam kann nach Rücksprache mit betroffenen Betreibern wesentlicher Dienstleistungen einen Sicherheitsvorfall öffentlich machen, wenn (Art. 14 Abs. 4)

  • öffentliche Aufmerksamkeit zur Verhinderung eines Sicherheitsvorfalls notwendig ist oder
  • damit andauernde Sicherheitsvorfälle angegangen werden können.

Wie EP.

Die Mitgliedstaaten können, in enger Abstimmung mit dem Kooperationsnetz, Leitlinien zur Meldepflicht festlegen (Art. 14 Abs. 6).

Im Wesentlichen wie Kommission.

Die zuständigen Behörden können (Art. 15 Abs. 2, Art. 15b/c Abs. 2)

  • von Betreibern „wesentlicher“ Dienstleistungen und Anbietern digitaler Dienstleistungen Informationen über ihre Netz- und Informationssysteme verlangen und
  • Belege über die Umsetzung der Sicherheitsmaßnahmen verlangen.

Die zuständigen Behörden können den Betreibern „wesentlicher“ Dienstleistungen verbindliche Anweisungen zur Einstellung ihrer Tätigkeiten erteilen (Art. 15 Abs. 3).

Zuständige Behörde und zentrale Anlaufstelle

Jeder Mitgliedstaat muss eine Behörde benennen, die die Anwendung dieser Richtlinie auf nationaler Ebene überwacht (Art. 6 Abs. 1 und Abs. 2).

Jeder Mitgliedstaat muss eine oder mehrere zivile Behörden benennen, die die Anwendung dieser Richtlinie auf nationaler Ebene überwacht (Art. 6 Abs. 1 und Abs. 2).

Jeder Mitgliedstaat muss eine zentrale Anlaufstelle benennen. Hat ein Mitgliedstaat nur eine zuständige Behörde benannt, ist diese die zentrale Anlaufstelle. (Art. 6 Abs. 2a)

Jeder Mitgliedstaat muss eine oder mehrere Behörden benennen (Art. 6 Abs. 1).

Jeder Mitgliedstaat muss eine zentrale Anlaufstelle benennen (Art. 6).

Wie Rat.

Wie EP.

Nationale Netz- und Informationssicherheits-Strategie (NIS-Strategie)

Jeder Mitgliedstaat muss eine nationale NIS-Strategie ausarbeiten und beschließen (Art. 5 Abs. 1).

Diese Strategie muss u.a. umfassen (Art. 5 Abs. 2):

  • die Definition von Zielen und Prioritäten auf Basis einer aktuellen Analyse der Sicherheitsrisiken und -vorfälle,
  • einen „Steuerungsrahmen“ zur Erreichung der Ziele,
  • allgemeine Maßnahmen zur „Abwehrbereitschaft, Reaktion und Wiederherstellung“ und
  • einen nationalen Kooperationsplan, der u.a. Kommunikationsabläufe zur Gewährleistung der „Prävention, Erkennung, Reaktion, Reparatur und Wiederherstellung“ festlegt.

Die nationale NIS-Strategie und der Kooperationsplan müssen der Kommission innerhalb eines Monats nach ihrer Annahme mitgeteilt werden (Art. 5 Abs. 3).

Wie Kommission.

Im Wesentlichen wie Kommission.

Die nationale NIS-Strategie und der Kooperationsplan müssen der Kommission innerhalb von drei Monaten nach ihrer Annahme mitgeteilt werden (Art. 5 Abs. 3).

Wie Kommission.

Diese Strategie muss u.a. umfassen (Art. 5 Abs. 2):

  • die Ziele und Prioritäten der Strategie,
  • einen „Steuerungsrahmen“ zur Erreichung der Ziele und
  • allgemeine Maßnahmen zur „Abwehrbereitschaft, Reaktion und Wiederherstellung“.

Die nationale NIS-Strategie muss der Kommission mitgeteilt werden (Art. 5 Abs. 3).

Wie Kommission.

Wie Rat.

 

 

 

 

 

 

 

 

Die nationale NIS-Strategie müssen der Kommission innerhalb von drei Monaten nach ihrer Annahme mitgeteilt werden. Aspekte, die die nationale Sicherheit berühren, können weggelassen werden. (Art. 5 Abs. 3)

IT-Notfallteam

Jeder Mitgliedstaat muss ein IT-Notfallteam („Computer Emergency Response Team“, CERT) einrichten, dass für die Bewältigung von Sicherheitsvorfällen zuständig ist (Art. 7 Abs. 1).

Ein CERT steht unter der Aufsicht der zuständigen Behörde und kann bei dieser angesiedelt sein (Art. 7 Abs. 5).

Jeder Mitgliedstaat muss ein oder mehrere IT-Notfallteams („Computer Emergency Response Teams“, „CERTs“) einrichten, die für die Bewältigung von Sicherheitsvorfällen zuständig sind (Art. 7 Abs. 1).

Ein CERT steht unter der Aufsicht der zuständigen Behörde oder der zentralen Anlaufstelle und kann bei der zuständigen Behörde angesiedelt sein (Art. 7 Abs. 5).

CERTs sollten mit CERTs aus anderen Mitgliedstaaten, aus Drittstaaten sowie mit CERTs von multinationalen und internationalen Institutionen, wie NATO und Vereinte Nationen, gemeinsame Übungen initiieren und sich daran beteiligen können (neuer Art. 7 Abs. 5b).

Wie EP.

Vom Rat gestrichen.

CERTs sollten über die zuständigen Behörden Zugang zu den Daten über gemeldete Sicherheitsvorfälle haben, sofern sie getrennt voneinander etabliert werden (neuer Art. 7 Abs. 1a).

Jeder Mitgliedstaat muss ein oder mehrere IT-Notfallteams („Computer Security Incident Response Teams“, „CSIRTs“) einrichten, die für die Bewältigung von Sicherheitsvorfällen zuständig sind (Art. 7 Abs. 1).

Wie Rat.

Wie Rat.

Verfahren zur Kooperation

Die nationalen Behörden und die Kommission arbeiten über ein „Kooperationsnetz“ zusammen. Die ENISA kann das Kooperationsnetz auf Anfrage unterstützen. (Art. 8 Abs. 1 und 2).

Innerhalb des Kooperationsnetzes geben die nationalen Behörden und die Kommission Frühwarnungen zu Sicherheitsrisiken und -vorfällen heraus, sofern diese (Art. 8 Abs. 3 lit. a i.V.m. Art. 10 )

  • sich rasch ausbreiten (könnten),
  • die nationale Reaktionskapazität übersteigen (könnten) und
  • mehrere Mitgliedstaaten betreffen (könnten).

Die zentralen Anlaufstellen, die Kommission und die ENISA arbeiten über ein „Kooperationsnetz“ zusammen (Art. 8 Abs. 1).

Innerhalb des Kooperationsnetzes geben die zentralen Anlaufstellen und die Kommission Frühwarnungen zu Sicherheitsrisiken und -vorfällen heraus, sofern diese (Art. 8 Abs. 3 lit. a i.V.m. Art. 10 )

  • nach Auffassung der zentralen Anlaufstelle die nationalen Reaktionskapazitäten übersteigen könnten und
  • nach Auffassung der zentralen Anlaufstelle mehrere Mitgliedstaaten betreffen.

Mitglieder des Kooperationsnetzwerkes dürfen Frühwarnungen über Sicherheitsrisiken und -vorfälle nur veröffentlichen, wenn die zentrale Anlaufstelle (neuer Art. 10 Abs. 4a)

  • die Veröffentlichung genehmigt hat und
  • die betroffenen Marktteilnehmer vorab informiert hat.

Bei Sicherheitsrisiken oder -vorfällen mit „mutmaßlich schwerwiegenden länderübergreifenden technischen“ Hintergründen muss die zentrale Anlaufstelle oder die Kommission die ENISA informieren (neuer Art. 10 Abs. 4b).

Vertreter der Mitgliedstaaten, die Kommission und die ENISA arbeiten über ein „Kooperationsnetz“ zusammen. Ggfs. dürfen zusätzlich Vertreter der nationalen Behörden und der Betreiber an Diskussionen teilnehmen. (Art. 8 Abs. 1 und 2)

Vom Rat gestrichen.

Das Kooperationsnetz dient u.a. dem Austausch von bewährten Praktiken bei der Meldung von Sicherheitsvorfällen und der Schaffung der nationalen NIS-Strategien (Art. 10 Abs. 3). Die Kommission erlässt Durchführungsstandards zu den notwendigen prozeduralen Verfahren innerhalb des Kooperationsnetzes (Art. 10 Abs. 5).

Vertreter der Mitgliedstaaten, die Kommission und die ENISA arbeiten über ein „Kooperationsnetz“ zusammen. Ggfs. dürfen zusätzlich der Betreiber an Diskussionen teilnehmen. (Art. 8 Abs. 1 und 2)

Wie Rat.

 

 

 

 

 

 

Wie Rat.

CERTs/CSIRTs-Netzwerk

Es wird ein Netzwerk aus den nationalen CERTs gebildet („CERTs-Netzwerk“). Dieses besteht aus Vertretern der nationalen CERTs, der ENISA und dem CERT-EU. Die Kommission hat einen Beobachterstatus. (neuer Art. 8b)

Das CERTs-Netzwerk hat folgende Aufgaben (Art. 8b Abs. 3)

  • Austausch über die Dienste, Operationen und Kooperationen der CERTs,
  • auf Anfrage eines Mitgliedstaats Austausch von „nicht-kommerziellen“ sensiblen Informationen zu aktuellen Sicherheitsvorfällen,
  • Austausch anonymisierter Informationen zu vergangenen Sicherheitsvorfällen,
  • auf Anfrage eines Mitgliedstaats Austausch über eine koordinierte Reaktion auf einen Sicherheitsvorfall in diesem Mitgliedstaat und
  • auf freiwilliger Basis gegenseitige Hilfestellung bei grenzüberschreitenden Sicherheitsvorfällen.

Im Wesentlichen wie Rat.

Im Wesentlichen wie Rat.

Sanktionen bzw. Geldstrafen

Die Mitgliedstaaten müssen „wirksame, angemessene und abschreckende“ Sanktionen für Verstöße gegen die Richtlinie festlegen (Art. 17 Abs. 1).

Wie Kommission.

Die Sanktionen sollten nur greifen, wenn Marktteilnehmer „vorsätzlich oder grob fahrlässig“ handeln (neuer Art. 17 Abs. 1a).

Wie Kommission.

Die Mitgliedstaaten müssen „wirksame, angemessene und abschreckende“ Geldstrafen für Verstöße gegen die Richtlinie festlegen (Art. 17 Abs. 1).

Umsetzung

Die Mitgliedstaaten müssen die Richtlinie bis spätestens 18 Monate nach ihrer Annahme umsetzen (Art. 21 Abs. 1).

Die Regeln gelten 18 Monate nach Annahme der Richtlinie (Art. 21 Abs. 1).

Wie Kommission.

Wie Kommission.

Die Mitgliedstaaten müssen die Richtlinie bis spätestens 24 Monate nach ihrem Inkrafttreten umsetzen (Art. 21 Abs. 1).

Die Regeln gelten 30 Monate nach Inkrafttreten der Richtlinie (Art. 21 Abs. 2).

Die Mitgliedstaaten müssen die Richtlinie bis spätestens 21 Monate nach ihrem Inkrafttreten umsetzen (Art. 21 Abs. 1).

Die Regeln gelten 21 Monate nach Inkrafttreten der Richtlinie (Art. 21 Abs. 2).

Die Mitgliedstaaten müssen bis spätestens 27 Monate nach Inkrafttreten der Richtlinie die Betreiber „wesentlicher“ Einrichtungen identifizieren (neuer Art. 3 Abs. 1).

Nächste Schritte im EU-Gesetzgebungsverfahren:

Für dieses Politikvorhaben gilt das ordentliche Gesetzgebungsverfahren (Art. 294 AEUV), so dass Rat und EP zustimmen müssen. Nachdem sich Kommission, EP und Rat nun in Trilogverhandlungen auf einen Kompromiss geeinigt haben, müssen das EP und der Rat dem Kompromiss nun noch formell in 1. Lesung zustimmen.