ComputerWeekly.com/de

https://www.computerweekly.com/de/ratgeber/DSGVO-ist-nicht-alles-Die-Meldepflichten-der-NIS-Richtlinie

DSGVO ist nicht alles: Die Meldepflichten der NIS-Richtlinie

von Oliver Schonschek

„Mit der NIS-Richtlinie hat die EU einen einheitlichen Rechtsrahmen zur Stärkung der IT-Sicherheit bei Betreibern kritischer Infrastrukturen und Anbietern digitaler Dienste geschaffen“, so Arne Schönbohm, Präsident des Bundesamtes für Sicherheit in der Informationstechnik (BSI).

Durch das schon 2015 in Kraft getretene IT-Sicherheitsgesetz nimmt Deutschland eine Vorreiterrolle beim Schutz kritischer Infrastrukturen ein. Als nationale Cybersicherheitsbehörde wendet das BSI diese Regelungen bereits erfolgreich an und wird auch in Zukunft in guter und vertrauensvoller Zusammenarbeit mit unseren Partnern in Staat und Wirtschaft dafür sorgen, dass das IT-Sicherheitsniveau bei kritischen Infrastrukturen und digitalen Diensten in Deutschland weiter steigt“, erklärte der BSI-Präsident anlässlich der abgeschlossenen Umsetzung der NIS-Richtlinie.

Bei dieser Richtlinie handelt es sich um die EU-Richtlinie zur Netzwerk- und Informationssicherheit, die nicht nur für Betreiber Kritischer Infrastrukturen (KRITIS), sondern auch für Anbieter digitaler Dienste gilt, wie es auch im nationalen IT-Sicherheitsgesetz bereits der Fall gewesen ist.

Bei den meisten KRITIS-Betreibern kann man von einer entsprechenden Sensibilisierung zur NIS-Richtlinie ausgehen. Viele Anbieter digitaler Dienste haben sich jedoch in den letzten Monaten stark auf die Datenschutz-Grundverordnung (DSGVO/GDPR) konzentriert und werden dies weiterhin tun. Trotzdem sollten entsprechende Unternehmen nicht vergessen, dass auch die NIS-Richtlinie Pflichten für sie enthält.

Insbesondere gilt: Anbieter von Suchmaschinen, Cloud-Computing-Diensten und Online-Marktplätzen mit Sitz in Deutschland müssen seit 10. Mai 2018 IT-Sicherheitsvorfälle mit erheblichen Auswirkungen auf den betriebenen Dienst an das Bundesamt für Sicherheit in der Informationstechnik (BSI) melden. Mögliche Meldepflichten von Datenschutzverletzungen nach DSGVO an die zuständige Datenschutzaufsicht sind also nicht alles, an was man denken muss, wenn es zu einem IT-Vorfall kommt.

Wann nach der NIS-Richtlinie gemeldet werden muss

Die Frage, wann Meldepflichten eintreten, beantwortet die DSGVO und die NIS-Richtlinie naturgemäß anders, denn bei der DSGVO dreht sich alles um personenbezogene Daten, während die NIS-Richtlinie die Netzwerk- und Informationssicherheit im Fokus hat.

Maßgeblich ist hier insbesondere die sogenannte „Durchführungsverordnung (EU) 2018/151 der Kommission vom 30. Januar 2018 über Vorschriften für die Anwendung der Richtlinie (EU) 2016/1148 des Europäischen Parlaments und des Rates hinsichtlich der weiteren Festlegung der von Anbietern digitaler Dienste beim Risikomanagement in Bezug auf die Sicherheit von Netz- und Informationssystemen zu berücksichtigenden Elemente und der Parameter für die Feststellung erheblicher Auswirkungen eines Sicherheitsvorfalls“.

Dort wird festgelegt, dass ein Sicherheitsvorfall als mit erheblichen Auswirkungen verbunden gilt, wenn mindestens einer der folgenden Fälle eingetreten ist:

• Der von einem Anbieter digitaler Dienste bereitgestellte Dienst war mehr als 5 Millionen Nutzerstunden lang nicht verfügbar, wobei sich der Begriff Nutzerstunde auf die Zahl der Nutzer in der Union bezieht, die während einer Dauer von sechzig Minuten betroffen waren.
• Der Sicherheitsvorfall hat zu einem Verlust der Integrität, Authentizität oder Vertraulichkeit gespeicherter oder übermittelter oder verarbeiteter Daten oder der entsprechenden Dienste, die über ein Netz- und Informationssystem des Anbieters digitaler Dienste angeboten werden beziehungsweise zugänglich sind, geführt, von dem mehr als 100.000 Nutzer in der Union betroffen sind.
• Durch den Sicherheitsvorfall ist eine öffentliche Gefahr oder ein Risiko für die öffentliche Sicherheit entstanden oder es sind Menschen ums Leben gekommen.
• Der Sicherheitsvorfall hat für mindestens einen Nutzer in der Union zu einem Sachschaden in Höhe von mehr als 1 Million EUR geführt.

Um festzustellen, ob eine dieser Voraussetzungen für die Meldepflicht vorliegt, müssen Unternehmen bestimmte Fähigkeiten haben, insbesondere:

Der Anbieter digitaler Dienste muss in der Lage sein, eine Schätzung einer der folgenden Zahlen vorzunehmen:

• Zahl der betroffenen natürlichen und juristischen Personen, mit denen ein Vertrag über die Bereitstellung des Dienstes abgeschlossen wurde, oder
• Zahl der betroffenen Nutzer, die den Dienst genutzt haben, wobei insbesondere frühere Verkehrsdaten zugrunde gelegt werden.

Der Anbieter digitaler Dienste muss in der Lage sein, zu ermitteln, ob der Sicherheitsvorfall die Bereitstellung seiner Dienste in bestimmten Mitgliedstaaten beeinträchtigt.

Der Anbieter digitaler Dienste muss in der Lage sein, auf der Grundlage von Angaben wie der Art der vertraglichen Beziehungen mit dem Kunden oder gegebenenfalls der potenziellen Zahl der Nutzer festzustellen, ob der Sicherheitsvorfall zu erheblichen materiellen oder immateriellen Verlusten für die Nutzer geführt hat, beispielsweise in Bezug auf die Gesundheit, die Sicherheit oder die Beschädigung von Sachen.

Wichtig: Anbieter digitaler Dienste sind jedoch nicht verpflichtet, dafür zusätzliche Informationen einzuholen, die ihnen nicht zugänglich sind.

Welche Sicherheitsmaßnahmen Online-Anbieter ergreifen müssen

Die NIS-Richtlinie soll nicht nur dazu führen, dass entsprechende IT-Sicherheitsvorfälle gemeldet werden, die Vorfälle sollen am besten erst gar nicht eintreten. Deshalb sollen Anbieter digitaler Dienste eine Reihe von IT-Sicherheitselementen umsetzen, auch zur Bewältigung möglicher IT-Sicherheitsvorfälle. Es ist höchste Zeit, die eigenen IT-Sicherheitsmaßnahmen mit den Anforderungen aus der NIS-Richtlinie abzugleichen, darunter:

• das systematische Management von Netz- und Informationssystemen, das heißt eine Erfassung und Abbildung der Informationssysteme und die Einführung einer Reihe von geeigneten Maßnahmen für das Management der Informationssicherheit, einschließlich Risikoanalyse, Humanressourcen, Betriebssicherheit, Sicherheitsarchitektur, Lebenszyklus-Management gesicherter Daten und Systeme sowie gegebenenfalls Verschlüsselung und Verschlüsselungs-Management,
• die physische Sicherheit und die Sicherheit der Umgebung, das heißt das Vorhandensein einer Reihe von Vorkehrungen zum Schutz der Sicherheit der Netz- und Informationssysteme von Anbietern digitaler Dienste vor Schäden anhand eines risikobasierten Allgefahrenansatzes, der beispielsweise Systemversagen, menschliche Fehler, böswillige Handlungen oder Naturereignisse berücksichtigt,
• die Versorgungssicherheit, das heißt die Einführung und Aufrechterhaltung geeigneter Maßnahmen zur Gewährleistung der Zugänglichkeit und gegebenenfalls der Rückverfolgbarkeit unentbehrlicher Güter oder Vorleistungen, die für die Bereitstellung der Dienste genutzt werden,
• die Kontrolle des Zugangs zu Netz- und Informationssystemen, das heißt das Vorhandensein einer Reihe von Vorkehrungen, die gewährleisten, dass der physische und logische Zugang zu Netz- und Informationssystemen, einschließlich der administrativen Sicherheit der Netz- und Informationssysteme, auf der Grundlage von Geschäfts- und Sicherheitsanforderungen genehmigt beziehungsweise eingeschränkt wird,
• Aufrechterhaltung und Erprobung von Erkennungsprozessen und -verfahren zur Gewährleistung einer rechtzeitigen und angemessenen Lageerfassung bei ungewöhnlichen Ereignissen,
• Prozesse und Vorgaben für die Meldung von Vorfällen und die Feststellung von Schwachstellen und Anfälligkeiten in ihren Informationssystemen,
• Reaktion gemäß den festgelegten Verfahren und Berichterstattung über die Ergebnisse der ergriffenen Maßnahme,
• Bewertung der Schwere des Sicherheitsvorfalls mit einer Dokumentierung der Erkenntnisse aus der Vorfallanalyse und einer Sammlung relevanter Informationen, die als Nachweis dienen können und einen kontinuierlichen Verbesserungsprozess fördern,
• die Erstellung und Anwendung von Notfallplänen auf der Grundlage einer Analyse der betrieblichen Auswirkungen zur Gewährleistung der Kontinuität der vom Anbieter digitaler Dienste erbrachten Leistungen, die regelmäßig bewertet und erprobt werden, zum Beispiel anhand von Übungen,
• Wiederherstellungskapazitäten, die regelmäßig bewertet und erprobt werden, zum Beispiel anhand von Übungen,
• Durchführung einer planmäßigen Abfolge von Kontrollen oder Messungen, um zu beurteilen, ob die Netz- und Informationssysteme bestimmungsgemäß funktionieren,
• Kontrolle und Überprüfung, um zu ermitteln, ob eine Norm oder ein Leitlinienkatalog befolgt wird, Aufzeichnungen korrekt sind und die Effizienz- und Wirksamkeitsvorgaben erfüllt werden,
• Prozess zur Feststellung von Mängeln in den Sicherheitsmechanismen eines Netz- und Informationssystems, die Daten schützen und Funktionen aufrechterhalten sollen, für die technischen Verfahren und das Personal, die in den Betriebsablauf eingebunden sind.

Wichtig: Die Anbieter digitaler Dienste müssen sicherstellen, dass sie über eine angemessene Dokumentation verfügen, anhand derer die zuständige Behörde die Einhaltung der geforderten Sicherheitselemente überprüfen kann.

Empfehlung: Synergien aus NIS-Richtlinie und DSGVO nutzen

Offensichtlich sind die Umsetzung und Einhaltung der NIS-Richtlinie ebenfalls mit einigem Aufwand verbunden. Da viele Unternehmen noch Schwierigkeiten haben, verschiedene Anforderungen der DSGVO umzusetzen, darunter die Meldepflichten, kann nur empfohlen werden, dass Anbieter digitaler Dienste versuchen, die Synergien zwischen der NIS-Richtlinie und der DSGVO zu nutzen. So können bestimmte Prozess-Schritte für beide Compliance-Vorgaben genutzt werden, insbesondere die vorzuhaltende IT-Sicherheit kann in vielen Fällen beiden Vorgaben dienen, der NIS-Richtlinie und der DSGVO.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!