Neue Pflichten für Anbieter digitaler Dienste – NIS

271

Im Zuge der Umsetzung der EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS-Richtlinie) müssen Anbieter von Suchmaschinen, Cloud-Computing-Diensten und Online-Marktplätzen mit Sitz in Deutschland ab 10. Mai 2018 IT-Sicherheitsvorfälle mit erheblichen Auswirkungen auf den betriebenen Dienst an das Bundesamt für Sicherheit in der Informationstechnik (BSI) melden. Gleichzeitig gelten dann europaweit einheitliche Mindestanforderungen an die IT-Sicherheit digitaler Dienste [http://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32018R0151], die von den Anbietern umzusetzen und gegenüber den zuständigen nationalen Behörden nachzuweisen sind. In Deutschland ist dies das BSI als die nationale Cyber-Sicherheitsbehörde. Damit werden die notwendigen Befugnisse des BSI zur Erhöhung der IT-Sicherheit bei Anbietern digitaler Dienste im Rahmen der NIS-Richtlinie komplettiert.

Dazu erklärt Arne Schönbohm, BSI-Präsident: „Mit der NIS-Richtlinie hat die EU einen einheitlichen Rechtsrahmen zur Stärkung der IT-Sicherheit bei Betreibern Kritischer Infrastrukturen und Anbietern digitaler Dienste geschaffen. Durch das schon 2015 in Kraft getretene IT-Sicherheitsgesetz nimmt Deutschland eine Vorreiterrolle beim Schutz Kritischer Infrastrukturen ein. Als nationale Cyber-Sicherheitsbehörde wendet das BSI diese Regelungen bereits erfolgreich an und wird auch in Zukunft in guter und vertrauensvoller Zusammenarbeit mit unseren Partnern in Staat und Wirtschaft dafür sorgen, dass das IT-Sicherheitsniveau bei Kritischen Infrastrukturen und digitalen Diensten in Deutschland weiter steigt.“

Die Frist zur Umsetzung der NIS-Richtlinie durch die EU-Mitgliedsstaaten endet am 10.Mai 2018. Bis dahin müssen die Mitgliedsstaaten Rechtsvorschriften zur Regulierung von Betreibern Kritischer Infrastrukturen und Anbietern digitaler Dienste einführen. Deutschland ist dieser Verpflichtung bereits im Juni 2017 mit einem entsprechenden Umsetzungsgesetz umfassend nachgekommen. Dabei wurde auch der Schutz Kritischer Infrastrukturen in Deutschlanddurch neue, ergänzend zum IT-Sicherheitsgesetz eingeführte Aufsichts- und Durchsetzungsbefugnisse des BSI gestärkt.