Cybersicherheit von Netz- und Informationssystemen

ZUSAMMENFASSUNG DES DOKUMENTS:

Richtlinie (EU) 2016/1148 – Cybersicherheit von Netz- und Informationssystemen

WAS IST DER ZWECK DER RICHTLINIE?

Sie schlägt ein umfassendes Maßnahmenpaket vor, um das Sicherheitsniveau von Netz- und Informationssystemen (Cybersicherheit*) zu stärken und so Dienstleistungen abzusichern, die für die Wirtschaft und die Gesellschaft der EU unerlässlich sind. Ihr Ziel ist die Sicherstellung, dass EU-Länder gut gegen Cyberangriffe gerüstet sind und mithilfe folgender Maßnahmen diese bewältigen bzw. auf diese reagieren können:

Benennung der zuständigen Behörden;
Einrichtung von Computer-Notfallteams (CSIRTs); und
Annahme von Strategien zur Cybersicherheit auf nationaler Ebene.

Sie richtet außerdem eine Kooperationsgruppe auf EU-Ebene für strategische und technische Zusammenarbeit ein.

Schließlich führt sie die Verpflichtung für Betreiber wesentlicher Dienste und für Anbieter digitaler Dienste ein, die erforderlichen Sicherheitsmaßnahmen zu ergreifen und die entsprechenden nationalen Behörden über schwerwiegende Sicherheitsvorfälle zu informieren.

WICHTIGE ECKPUNKTE

Verbesserung der Möglichkeiten zur Cybersicherheit auf nationaler Ebene

Die EU-Länder müssen

eine oder mehrere zuständige nationale Behörden und CSIRTs benennen und eine zentrale Anlaufstelle bestimmen (falls es mehrere zuständige Behörden gibt);
Betreiber wesentlicher Dienste in kritischen Sektoren, wie z. B. Energie, Verkehr, Banken, Finanzen, Gesundheit, Wasser und digitale Infrastruktur, bestimmen, bei denen ein Cyber-Angriff wesentliche Dienstleistungen beeinträchtigen könnte.

Die EU-Länder müssen außerdem eine nationale Strategie zur Cybersicherheit von Netz- und Informationssystemen* einführen, die die folgenden Aspekte berücksichtigt:

Gewappnetsein gegen Cyberangriffe, um diese bewältigen bzw. auf diese reagieren zu können;
Aufgaben, Zuständigkeiten und Kooperationen der Regierung und anderer Parteien;
Ausbildungs-, Aufklärungs- und Schulungsprogramme;
Forschungs- und Entwicklungsplanung;
Planung für die Bestimmung von Risiken.

Die zuständigen nationalen Behörden überwachen die Anwendung der Richtlinie durch

die Bewertung der Maßnahmen von Betreibern wesentlicher Dienste zur Cybersicherheit und Sicherheit im Allgemeinen;
die Beaufsichtigung von Anbietern digitaler Dienste;
die Mitarbeit in der Kooperationsgruppe (bestehend aus den zuständigen Behörden für Netz- und Informationssicherheit eines jeden EU-Landes, der Europäischen Kommission und der Agentur der Europäischen Union für Netz- und Informationssicherheit (ENISA));
die Unterrichtung der Öffentlichkeit, sofern dies für die Verhütung von Sicherheitsvorfällen oder zur Bewältigung aktueller Sicherheitsvorfälle erforderlich ist, bei gleichzeitiger Wahrung der Vertraulichkeit;
die Erteilung verbindlicher Anweisungen zur Abhilfe festgestellter Mängel bei der Cybersicherheit.

Die CSIRTs sind zuständig für

die Überwachung und Reaktion auf Cybersicherheitsvorfälle;
die Analyse von Risiken und Vorfällen und die Lagebeurteilung;
die Beteiligung am CSIRTs-Netzwerk;
die Kooperation mit dem privaten Sektor;
die Förderung der Anwendung standardisierter Verfahren zur Bewältigung von Sicherheitsvorfällen und Risiken und die Klassifizierung von Informationen.

Sicherheitsanforderungen und Meldung von Sicherheitsvorfällen

Die Richtlinie zielt darauf ab, eine Kultur des Risikomanagements zu fördern. Unternehmen, die in Schlüsselsektoren tätig sind, müssen die Risiken, die sie eingehen, bewerten und Maßnahmen zur Sicherstellung der Cybersicherheit ergreifen. Diese Unternehmen müssen die zuständigen Behörden oder CSIRTs über jegliche entsprechende Vorfälle unterrichten, wie beispielsweise das Hacken oder den Diebstahl von Daten, die die Cybersicherheit ernsthaft gefährden und eine erhebliche Störung bei der kontinuierlichen Bereitstellung wesentlicher Dienste und Güter bedeuten.

Bei der Bestimmung von Vorfällen, die von Betreibern wesentlicher Dienste* gemeldet werden müssen, sollten die EU-Länder die Dauer und die geografische Ausbreitung des Vorfalls sowie andere Faktoren, wie z. B. die Zahl der Nutzer, die von diesem Dienst abhängig sind, berücksichtigen.

Wichtige Anbieter digitaler Dienste (Suchmaschinen, Cloud-Computing-Dienste und Online-Marktplätze) müssen den Sicherheitsanforderungen und Meldepflichten ebenso entsprechen.

Verbesserung der Kooperation auf EU-Ebene

Die Richtlinie richtet die Kooperationsgruppe ein, die folgende Aufgaben hat:

Bereitstellung von Leitlinien zum CSIRTs-Netzwerk;
Austausch bewährter Verfahren zur Ermittlung von Anbietern wesentlicher Dienste;
Unterstützung der EU-Länder bei der Verbesserung ihrer Fähigkeiten in Fragen der Cybersicherheit;
Austausch von Informationen und bewährten Verfahren zu Sensibilisierung und Schulung sowie Forschung und Entwicklung;
Austausch von Informationen und Sammlung bewährter Verfahren bei Risiken und Sicherheitsvorfällen;
Erörterung der Modalitäten für die Meldung von Sicherheitsvorfällen.

Sie richtet außerdem das CSIRT-Netzwerk ein, das sich aus Vertretern der CSIRTs der EU-Länder und dem IT-Notfallteam für die Organe, Einrichtungen und sonstigen Stellen der EU (CERT-EU) zusammensetzt. Die Aufgaben des Netzwerks umfassen

den Informationsaustausch zu CSIRT-Diensten;
den Informationsaustausch zu Cybersicherheitsvorfällen;
die Unterstützung der EU-Länder bei der Reaktion auf grenzüberschreitende Sicherheitsvorfälle;
die Erörterung und Ausarbeitung einer koordinierten Reaktion auf einen Sicherheitsvorfall, der im Gebiet eines EU-Landes festgestellt wurde;
die Erörterung, Sondierung und Bestimmung weiterer Formen der operativen Zusammenarbeit, unter anderem im Zusammenhang mit
- Kategorien von Risiken und Sicherheitsvorfällen,
- Frühwarnungen,
- gegenseitiger Unterstützung,
- der Koordinierung bei der Reaktion der EU-Länder auf Risiken und Vorfälle, die mehr als nur ein EU-Land betreffen;
die Unterrichtung der Kooperationsgruppe über seine Tätigkeiten und das Ersuchen um Leitlinien dafür;
die Erörterung der aus den Übungen zur Sicherheit von Netz- und Informationssystemen gezogenen Lehren;
auf dessen Antrag die Erörterung der Fähigkeiten eines einzelnen CSIRT;
die Erstellung von Leitlinien zur operativen Zusammenarbeit.

Sanktionen

Die EU-Länder müssen wirksame, angemessene und abschreckende Sanktionen anwenden, um die Anwendung der Regelungen dieser Richtlinie sicherzustellen.

WANN TRITT DIESE RICHTLINIE IN KRAFT?

Sie ist am 8. August 2016 in Kraft getreten. Die EU-Länder müssen sie bis zum 9. Mai 2018 in nationales Recht umsetzen und die Anbieter wesentlicher Dienste bis zum 9. November 2018 bestimmen.

HINTERGRUND

Cybersicherheit (Europäische Kommission),
Cybersicherheit: Die Kommission verbessert ihre Reaktionsfähigkeit auf Cyberangriffe – Pressemitteilung (Europäische Kommission),
Richtlinie zur Sicherheit von Netz- und Informationssystemen – Pressemitteilung (Europäische Kommission),
Abwehrfähigkeit, Abschreckung und Abwehr: die Cybersicherheit in der EU wirksam erhöhen – Informationsblatt (Europäische Kommission).

SCHLÜSSELBEGRIFFE

Cybersicherheit: die Fähigkeit von Netz- und Informationssystemen, Angriffe abzuwehren, die die Verfügbarkeit, Authentizität, Integrität oder die Vertraulichkeit digitaler Daten oder der von diesen Systemen angebotenen Dienste beeinträchtigen.

Netz- und Informationssystem: ein elektronisches Kommunikationsnetz oder eine Vorrichtung oder eine Gruppe miteinander verbundener Vorrichtungen, die digitale Daten verarbeiten, sowie die gespeicherten, bearbeiteten, abgerufenen oder übertragenen digitalen Daten.

Wesentliche Dienste: Privatunternehmen oder öffentliche Körperschaften, die für die Gesellschaft und die Wirtschaft eine wichtige Funktion einnehmen, z. B. bei der Wasserversorgung, als Elektrizitätsversorger usw.

HAUPTDOKUMENT

Richtlinie (EU) 2016/1148 des Europäischen Parlaments und des Rates vom 6. Juli 2016 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union (ABl. L 194 vom 19.7.2016, S. 1-30)

Die im Nachhinein vorgenommen Änderungen und Berichtigungen der Richtlinie (EU) 2016/1148 wurden in den Grundlagentext eingefügt. Diese konsolidierte Fassung hat ausschließlich dokumentarischen Charakter.

VERBUNDENE DOKUMENTE

Durchführungsverordnung (EU) 2018/151 der Kommission vom 30. Januar 2018 über Vorschriften für die Anwendung der Richtlinie (EU) 2016/1148 des Europäischen Parlaments und des Rates hinsichtlich der weiteren Festlegung der von Anbietern digitaler Dienste beim Risikomanagement in Bezug auf die Sicherheit von Netz- und Informationssystemen zu berücksichtigenden Elemente und der Parameter für die Feststellung erheblicher Auswirkungen eines Sicherheitsvorfalls (ABl. L 26 vom 31.1.2018, S. 48-51)

Durchführungsbeschluss (EU) 2017/179 der Kommission vom 1. Februar 2017 zur Festlegung von Verfahrensmodalitäten für die Arbeitsweise der Kooperationsgruppe nach Artikel 11 Absatz 5 der Richtlinie (EU) 2016/1148 des Europäischen Parlaments und des Rates über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netzen und Informationssystemen in der Union (ABl. L 28 vom 2.2.2017, S. 73-77)

Mitteilung der Kommission an das Europäische Parlament und den Rat: Bestmögliche Netz- und Informationssicherheit – hin zu einer wirksamen Umsetzung der Richtlinie (EU) 2016/1148 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union (COM(2017) 476 final 2 vom 4.10.2017)

Empfehlung (EU) 2017/1584 der Kommission vom 13. September 2017 für eine koordinierte Reaktion auf große Cybersicherheitsvorfälle und -krisen (ABl. L 239 vom 19.9.2017, S. 36-58)

Gemeinsame Mitteilung an das Europäische Parlament und den Rat – Abwehrfähigkeit, Abschreckung und Abwehr: die Cybersicherheit in der EU wirksam erhöhen (JOIN(2017) 450 final vom 13.9.2017)

Arbeitsunterlage der Kommissionsdienststellen – Bewertung der EU-Strategie zur Cybersicherheit 2013 (SWD(2017) 295 final vom 13.9.2017)

Verordnung (EU) Nr. 910/2014 des Europäischen Parlaments und des Rates vom 23. Juli 2014 über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt und zur Aufhebung der Richtlinie 1999/93/EG (ABl. L 257 vom 28.8.2014, S. 73-114)

Siehe konsolidierte Fassung.

Beschluss 2013/488/EU des Rates vom 23. September 2013 über die Sicherheitsvorschriften für den Schutz von EU-Verschlusssachen (ABl. L 274 vom 15.10.2013, S. 1-50).

Siehe konsolidierte Fassung.

Richtlinie 2013/40/EU des Europäischen Parlaments und des Rates vom 12. August 2013 über Angriffe auf Informationssysteme und zur Ersetzung des Rahmenbeschlusses 2005/222/JI des Rates (ABl. L 218 vom 14.8.2013, S. 8-14)

Verordnung (EU) Nr. 526/2013 des Europäischen Parlaments und des Rates vom 21. Mai 2013 über die Agentur der Europäischen Union für Netz- und Informationssicherheit (ENISA) und zur Aufhebung der Verordnung (EG) Nr. 460/2004 (ABl. L 165 vom 18.6.2013, S. 41-58)

Gemeinsame Mitteilung an das Europäische Parlament, den Rat, den Europäischen Wirtschafts- und Sozialausschuss und den Ausschuss der Regionen – Cybersicherheitsstrategie der Europäischen Union – ein offener, sicherer und geschützter Cyberraum (JOIN(2013) 1 final vom 7.2.2013)

Letzte Aktualisierung: 01.03.2018