cepMonitor: Netz- und Informationssicherheit (Richtlinie)
Richtlinie über Maßnahmen zur Gewährleistung einer hohen gemeinsamen Netz und Informationssicherheit in der Union
Zuletzt aktualisiert: 06. Juli 2016
ERLASSEN:
Inkrafttreten: 08.08.2016 |
07.02.2013 Richtlinienvorschlag COM(2013) 48 |
13.03.2014 EP: 1. Lesung |
01.09.2014 Rat: Entwurf eines Verhandlungsmandats |
07.12.2015 Kommission, EP und Rat: Trilogergebnis |
---|---|---|---|---|
Geltungsbereich | Die Richtlinie gilt für (Art. 1)
Marktteilnehmer sind (Art. 3 Ziff. 8 lit. a und b)
Anbieter von „Diensten der Informationsgesellschaft“ sind (Anhang II)
Betreiber „kritischer“ Infrastrukturen sind Betreiber (Art. 3 Ziff. 8 i.V.m. Ziff. 2a),
Dazu zählen u.a. (Anhang II)
|
Die Richtlinie gilt für (Art. 1)
Marktteilnehmer sind (Art. 3 Ziff. 8 lit. a und b)
Vom EP gestrichen. Betreiber von Infrastrukturen sind Betreiber (Art. 3 Ziff. 8 i.V.m. Ziff. 2a),
Dazu zählen u.a. (Anhang II)
|
Wie Kommission. Marktteilnehmer sind (Art. 3 Ziff. 8 i.V.m. Ziff. 2a)
Wie Kommission. Jedoch zählen Anbieter von Diensten der Informationsgesellschaft zu den Betreibern wesentlicher Einrichtungen. Betreiber „wesentlicher“ Dienstleistungen sind private oder öffentliche Einrichtungen (Art. 3 Ziff. 8 i.V.m. Ziff. 2a),
Dazu zählen u.a. (Anhang II)
|
Wie Kommission. Marktteilnehmer sind (Art. 3 Ziff. 8, 11d und 11da)
Anbieter digitaler Dienstleistungen sind (Anhang III)
Betreiber „wesentlicher“ Dienstleistungen sind private oder öffentliche Einrichtungen (Art. 3 Ziff. 8 i.V.m. Art. 3a Abs. 1a),
Dazu zählen u.a. (Anhang II)
|
Sicherheitsmaßnahmen und Meldepflichten | Marktteilnehmer und öffentlichen Verwaltungen müssen Maßnahmen ergreifen, die „technisch und organisatorisch geeignet“ sind, um Risiken für ihre Netze und Informationssysteme zu “managen“. Die Maßnahmen müssen nach dem „Stand der Technik“ ein „Maß an Sicherheit“ gewährleisten, das dem Risiko „angemessen“ ist. Dabei sollte die „Kontinuität“ der jeweiligen Dienste „gewährleistet“ sein. (Art. 14 Abs. 1). Marktteilnehmer und öffentlichen Verwaltungen müssen Sicherheitsvorfälle, die „erhebliche“ Auswirkungen auf die Sicherheit ihrer Kerndienste haben, den zuständigen Behörden melden (Art. 14 Abs. 2). – „Kleinstunternehmen“ sind von den Sicherheitsanforderungen und Meldepflichten befreit (Art. 14 Abs. 8). – – – – – – Die zuständige Behörde kann einen Sicherheitsvorfall öffentlich machen oder Marktteilnehmer oder öffentliche Verwaltungen zur Veröffentlichung verpflichten, wenn (Art. 14 Abs. 4)
Die Kommission legt in delegierten Rechtsakten fest, „unter welchen Umständen“ die Meldepflicht für Marktteilnehmer und öffentliche Verwaltungen greift (Art. 14 Abs. 5). Die zuständigen Behörden können dazu noch präzisierende Leitlinien festlegen (Art. 14 Abs. 6). Die zuständigen Behörden können Verstöße gegen die Sicherheitsanforderungen und Meldepflichten untersuchen (Art. 15 Abs. 1). Die zuständigen Behörden können (Art. 15 Abs. 2)
Die zuständigen Behörden können den Marktteilnehmern und öffentlichen Verwaltungen verbindliche Anweisungen erteilen (Art. 15 Abs. 3). – |
Marktteilnehmer müssen Maßnahmen ergreifen, die „technisch und organisatorisch geeignet“ sind, um Risiken für ihre Netze und Informationssysteme zu „erkennen und konkret zu bewältigen“. Die Maßnahmen müssen nach dem „Stand der Technik“ ein „Maß an Sicherheit“ gewährleisten, das dem Risiko „angemessen“ ist. Dabei sollte die „Kontinuität“ der jeweiligen Dienste „sichergestellt“ sein. (Art. 14 Abs. 1). Marktteilnehmer müssen Sicherheitsvorfälle, die „erhebliche“ Auswirkungen auf die Kontinuität ihrer Kerndienste haben, der zuständigen Behörde oder einer zentralen Anlaufstelle „unverzüglich“ melden (Art. 14 Abs. 2). – „Kleinstunternehmen“ sind von den Sicherheitsanforderungen und Meldepflichten befreit, sofern sie nicht Tochter eines meldepflichtigen Marktteilnehmers sind (Art. 14 Abs. 8). Marktteilnehmer außerhalb des Geltungsbereichs der Richtlinie können Sicherheitsvorfälle freiwillig melden (neuer Art. 14 Abs. 2c). Die Meldung darf das Haftungsrisiko des meldenden Unternehmen nicht erhöhen (Art. 14 Abs. 2). Die Mitgliedstaaten legen fest, wann Sicherheitsvorfälle „erheblich“ sind. Dabei berücksichtigen sie (Art. 14 Abs. 2)
– Die zentrale Anlaufstelle eines Mitgliedstaats muss Anlaufstellen anderer Mitgliedstaaten über solche gemeldeten Sicherheitsvorfälle informieren, bei denen die Kerndienste des Marktteilnehmers auch in diesen Mitgliedstaaten betroffen sind (neuer Art. 14 Abs. 2a). Die zentrale Anlaufstelle muss den Sicherheitsvorfall meldenden Marktteilnehmer hierüber in Kenntnis setzen (neuer Art. 14 Abs. 2a). Die zentrale Anlaufstelle kann nach Rücksprache mit der zuständigen Behörde und betroffenen Marktteilnehmern einen Sicherheitsvorfall öffentlich machen, wenn (Art. 14 Abs. 4)
Vom EP gestrichen. Die zuständigen Behörden oder die zentralen Anlaufstellen können Leitlinien zur Meldepflicht festlegen (Art. 14 Abs. 6). Die zuständigen Behörden und die zentralen Anlaufstellen können Verstöße gegen die Sicherheitsanforderungen und Meldepflichten untersuchen (Art. 15 Abs. 1). Die zuständigen Behörden und die zentralen Anlaufstellen können (Art. 15 Abs. 2)
Die zuständigen Behörden und die zentralen Anlaufstellen können den Marktteilnehmern verbindliche Anweisungen erteilen (Art. 15 Abs. 3). Die Mitgliedstaaten können festlegen, dass die zuständigen Behörden oder die zentrale Anlaufstelle für Marktteilnehmer mit „besonders hohem Kritikalitätsniveau“ strengere Informationen über Verfahren zu Sicherheitsprüfungen einholen können (neuer Art. 15 Abs. 3a). |
Betreiber „wesentlicher“ Dienstleistungen müssen Maßnahmen ergreifen, die „technisch und organisatorisch geeignet“ sind, um Risiken für ihre Netze und Informationssysteme zu “managen“. Die Maßnahmen müssen nach dem „Stand der Technik“ ein „Maß an Sicherheit“ aufrechterhalten, das dem Risiko „angemessen“ ist. Dabei sollte die „Sicherheit“ der jeweiligen Dienste „gewährleistet“ sein. (Art. 14 Abs. 1 und 1a). Betreiber müssen Sicherheitsvorfälle, die „erhebliche“ Auswirkungen auf die Sicherheit ihrer wesentlichen Dienste haben, der zuständigen Behörde „unverzüglich“ melden (Art. 14 Abs. 2). – Vom Rat gestrichen. – – Wie EP (Art. 14 Abs. 2a). – Im Wesentlichen wie EP (Art. 14 Abs. 2b). Im Wesentlichen wie EP (Art. 14 Abs. 2b). Die zentrale Anlaufstelle kann nach Rücksprache mit der zuständigen Behörde und betroffenen Betreibern einen Sicherheitsvorfall öffentlich machen oder Betreiber zur Veröffentlichung verpflichten, wenn (Art. 14 Abs. 4)
Wie EP. Wie Kommission. Im Wesentlichen wie Kommission. Die zuständigen Behörden und die zentralen Anlaufstellen können (Art. 15 Abs. 2)
Wie Kommission. – |
Betreiber „wesentlicher“ Dienstleistungen und Anbieter digitaler Dienstleistungen müssen Maßnahmen ergreifen, die „technisch und organisatorisch geeignet“ sind, um Risiken für ihre Netze und Informationssysteme zu “managen“. Die Maßnahmen müssen nach dem „Stand der Technik“ ein „Maß an Sicherheit“ aufrechterhalten, das dem Risiko „angemessen“ ist. Dabei sollte die „Kontinuität“ der jeweiligen Dienste „angestrebt“ werden. (Art. 14 Abs. 1 und 1a, Art. 15a Abs. 1 und 1a). Betreiber „wesentlicher“ Dienstleistungen und Anbieter digitaler Dienstleistungen müssen Sicherheitsvorfälle, die „erhebliche“ Auswirkungen auf die Kontinuität ihrer wesentlichen Dienste haben, der zuständigen Behörde oder dem IT-Notfallteam (CSIRT) „unverzüglich“ melden (Art. 14 Abs. 2). Die Mitgliedstaaten dürfen Anbietern digitaler Dienstleistungen keine zusätzlichen Sicherheitsanforderungen und Meldepflichten auferlegen (Art. 15 Abs. 1b) „Kleinstunternehmen“ sind, sofern sie Anbieter digitaler Dienstleistungen sind, von den Sicherheitsanforderungen und Meldepflichten befreit (Art. 15 Abs. 5). Wie EP (Art. 1b). Zusätzlich: Pflichtmeldungen sollten gegenüber freiwilligen Meldungen prioritär behandelt werden. Freiwillige Meldungen sollen nur verarbeitet werden, wenn die Verarbeitung keinen unverhältnismäßigen Aufwand für den Mitgliedstaat impliziert. (Art. 1b). Wie EP (Art. 14 Abs. 2, Art. 15a Abs. 2). Wie EP ((Art. 14 Abs. 2a, Art. 15a Abs. 2a). Bei digitalen Dienstleistungen ist zudem das Ausmaß der Störung der Dienstleistung und die wirtschaftlichen und gesellschaftlichen Auswirkungen zu berücksichtigen (Art. 15a Abs. 2a). Die zuständige Behörde oder das IT-Notfallteam eines Mitgliedstaats muss andere Mitgliedstaaten über solche gemeldeten Sicherheitsvorfälle informieren, die auch „erhebliche“ Auswirkungen auf die Kontinuität der Kerndienste des Betreibers in diesen Mitgliedstaaten haben. (neuer Art. 14 Abs. 2ac) Die zuständige Behörde oder das IT-Notfallteam kann, sofern es die Umstände erlauben, den Sicherheitsvorfall meldenden Betreiber relevante Informationen zur Behandlung des Vorfalls bereitstellen (neuer Art. 14 Abs. 2ac). Die zuständige Behörde oder das IT-Notfallteam kann nach Rücksprache mit betroffenen Betreibern wesentlicher Dienstleistungen einen Sicherheitsvorfall öffentlich machen, wenn (Art. 14 Abs. 4)
Wie EP. Die Mitgliedstaaten können, in enger Abstimmung mit dem Kooperationsnetz, Leitlinien zur Meldepflicht festlegen (Art. 14 Abs. 6). Im Wesentlichen wie Kommission. Die zuständigen Behörden können (Art. 15 Abs. 2, Art. 15b/c Abs. 2)
Die zuständigen Behörden können den Betreibern „wesentlicher“ Dienstleistungen verbindliche Anweisungen zur Einstellung ihrer Tätigkeiten erteilen (Art. 15 Abs. 3). – |
Zuständige Behörde und zentrale Anlaufstelle | Jeder Mitgliedstaat muss eine Behörde benennen, die die Anwendung dieser Richtlinie auf nationaler Ebene überwacht (Art. 6 Abs. 1 und Abs. 2). – |
Jeder Mitgliedstaat muss eine oder mehrere zivile Behörden benennen, die die Anwendung dieser Richtlinie auf nationaler Ebene überwacht (Art. 6 Abs. 1 und Abs. 2). Jeder Mitgliedstaat muss eine zentrale Anlaufstelle benennen. Hat ein Mitgliedstaat nur eine zuständige Behörde benannt, ist diese die zentrale Anlaufstelle. (Art. 6 Abs. 2a) |
Jeder Mitgliedstaat muss eine oder mehrere Behörden benennen (Art. 6 Abs. 1). Jeder Mitgliedstaat muss eine zentrale Anlaufstelle benennen (Art. 6). |
Wie Rat. Wie EP. |
Nationale Netz- und Informationssicherheits-Strategie (NIS-Strategie) | Jeder Mitgliedstaat muss eine nationale NIS-Strategie ausarbeiten und beschließen (Art. 5 Abs. 1). Diese Strategie muss u.a. umfassen (Art. 5 Abs. 2):
Die nationale NIS-Strategie und der Kooperationsplan müssen der Kommission innerhalb eines Monats nach ihrer Annahme mitgeteilt werden (Art. 5 Abs. 3). |
Wie Kommission. Im Wesentlichen wie Kommission. Die nationale NIS-Strategie und der Kooperationsplan müssen der Kommission innerhalb von drei Monaten nach ihrer Annahme mitgeteilt werden (Art. 5 Abs. 3). |
Wie Kommission. Diese Strategie muss u.a. umfassen (Art. 5 Abs. 2):
Die nationale NIS-Strategie muss der Kommission mitgeteilt werden (Art. 5 Abs. 3). |
Wie Kommission. Wie Rat.
Die nationale NIS-Strategie müssen der Kommission innerhalb von drei Monaten nach ihrer Annahme mitgeteilt werden. Aspekte, die die nationale Sicherheit berühren, können weggelassen werden. (Art. 5 Abs. 3) |
IT-Notfallteam | Jeder Mitgliedstaat muss ein IT-Notfallteam („Computer Emergency Response Team“, CERT) einrichten, dass für die Bewältigung von Sicherheitsvorfällen zuständig ist (Art. 7 Abs. 1). Ein CERT steht unter der Aufsicht der zuständigen Behörde und kann bei dieser angesiedelt sein (Art. 7 Abs. 5). – – |
Jeder Mitgliedstaat muss ein oder mehrere IT-Notfallteams („Computer Emergency Response Teams“, „CERTs“) einrichten, die für die Bewältigung von Sicherheitsvorfällen zuständig sind (Art. 7 Abs. 1). Ein CERT steht unter der Aufsicht der zuständigen Behörde oder der zentralen Anlaufstelle und kann bei der zuständigen Behörde angesiedelt sein (Art. 7 Abs. 5). – CERTs sollten mit CERTs aus anderen Mitgliedstaaten, aus Drittstaaten sowie mit CERTs von multinationalen und internationalen Institutionen, wie NATO und Vereinte Nationen, gemeinsame Übungen initiieren und sich daran beteiligen können (neuer Art. 7 Abs. 5b). |
Wie EP. Vom Rat gestrichen. CERTs sollten über die zuständigen Behörden Zugang zu den Daten über gemeldete Sicherheitsvorfälle haben, sofern sie getrennt voneinander etabliert werden (neuer Art. 7 Abs. 1a). – |
Jeder Mitgliedstaat muss ein oder mehrere IT-Notfallteams („Computer Security Incident Response Teams“, „CSIRTs“) einrichten, die für die Bewältigung von Sicherheitsvorfällen zuständig sind (Art. 7 Abs. 1). Wie Rat. Wie Rat. – |
Verfahren zur Kooperation | Die nationalen Behörden und die Kommission arbeiten über ein „Kooperationsnetz“ zusammen. Die ENISA kann das Kooperationsnetz auf Anfrage unterstützen. (Art. 8 Abs. 1 und 2). Innerhalb des Kooperationsnetzes geben die nationalen Behörden und die Kommission Frühwarnungen zu Sicherheitsrisiken und -vorfällen heraus, sofern diese (Art. 8 Abs. 3 lit. a i.V.m. Art. 10 )
– – – |
Die zentralen Anlaufstellen, die Kommission und die ENISA arbeiten über ein „Kooperationsnetz“ zusammen (Art. 8 Abs. 1). Innerhalb des Kooperationsnetzes geben die zentralen Anlaufstellen und die Kommission Frühwarnungen zu Sicherheitsrisiken und -vorfällen heraus, sofern diese (Art. 8 Abs. 3 lit. a i.V.m. Art. 10 )
Mitglieder des Kooperationsnetzwerkes dürfen Frühwarnungen über Sicherheitsrisiken und -vorfälle nur veröffentlichen, wenn die zentrale Anlaufstelle (neuer Art. 10 Abs. 4a)
Bei Sicherheitsrisiken oder -vorfällen mit „mutmaßlich schwerwiegenden länderübergreifenden technischen“ Hintergründen muss die zentrale Anlaufstelle oder die Kommission die ENISA informieren (neuer Art. 10 Abs. 4b). – |
Vertreter der Mitgliedstaaten, die Kommission und die ENISA arbeiten über ein „Kooperationsnetz“ zusammen. Ggfs. dürfen zusätzlich Vertreter der nationalen Behörden und der Betreiber an Diskussionen teilnehmen. (Art. 8 Abs. 1 und 2) Vom Rat gestrichen. – – Das Kooperationsnetz dient u.a. dem Austausch von bewährten Praktiken bei der Meldung von Sicherheitsvorfällen und der Schaffung der nationalen NIS-Strategien (Art. 10 Abs. 3). Die Kommission erlässt Durchführungsstandards zu den notwendigen prozeduralen Verfahren innerhalb des Kooperationsnetzes (Art. 10 Abs. 5). |
Vertreter der Mitgliedstaaten, die Kommission und die ENISA arbeiten über ein „Kooperationsnetz“ zusammen. Ggfs. dürfen zusätzlich der Betreiber an Diskussionen teilnehmen. (Art. 8 Abs. 1 und 2) Wie Rat.
– – Wie Rat. |
CERTs/CSIRTs-Netzwerk | – – |
– – |
Es wird ein Netzwerk aus den nationalen CERTs gebildet („CERTs-Netzwerk“). Dieses besteht aus Vertretern der nationalen CERTs, der ENISA und dem CERT-EU. Die Kommission hat einen Beobachterstatus. (neuer Art. 8b) Das CERTs-Netzwerk hat folgende Aufgaben (Art. 8b Abs. 3)
|
Im Wesentlichen wie Rat. Im Wesentlichen wie Rat. |
Sanktionen bzw. Geldstrafen | Die Mitgliedstaaten müssen „wirksame, angemessene und abschreckende“ Sanktionen für Verstöße gegen die Richtlinie festlegen (Art. 17 Abs. 1). – |
Wie Kommission. Die Sanktionen sollten nur greifen, wenn Marktteilnehmer „vorsätzlich oder grob fahrlässig“ handeln (neuer Art. 17 Abs. 1a). |
Wie Kommission. – |
Die Mitgliedstaaten müssen „wirksame, angemessene und abschreckende“ Geldstrafen für Verstöße gegen die Richtlinie festlegen (Art. 17 Abs. 1). – |
Umsetzung | Die Mitgliedstaaten müssen die Richtlinie bis spätestens 18 Monate nach ihrer Annahme umsetzen (Art. 21 Abs. 1). Die Regeln gelten 18 Monate nach Annahme der Richtlinie (Art. 21 Abs. 1). – |
Wie Kommission. Wie Kommission. – |
Die Mitgliedstaaten müssen die Richtlinie bis spätestens 24 Monate nach ihrem Inkrafttreten umsetzen (Art. 21 Abs. 1). Die Regeln gelten 30 Monate nach Inkrafttreten der Richtlinie (Art. 21 Abs. 2). – |
Die Mitgliedstaaten müssen die Richtlinie bis spätestens 21 Monate nach ihrem Inkrafttreten umsetzen (Art. 21 Abs. 1). Die Regeln gelten 21 Monate nach Inkrafttreten der Richtlinie (Art. 21 Abs. 2). Die Mitgliedstaaten müssen bis spätestens 27 Monate nach Inkrafttreten der Richtlinie die Betreiber „wesentlicher“ Einrichtungen identifizieren (neuer Art. 3 Abs. 1). |
Nächste Schritte im EU-Gesetzgebungsverfahren:
Für dieses Politikvorhaben gilt das ordentliche Gesetzgebungsverfahren (Art. 294 AEUV), so dass Rat und EP zustimmen müssen. Nachdem sich Kommission, EP und Rat nun in Trilogverhandlungen auf einen Kompromiss geeinigt haben, müssen das EP und der Rat dem Kompromiss nun noch formell in 1. Lesung zustimmen.