Cybercrime: NIS – Netz- und Informationssicherheit

In der sich rasant entwickelnden Cyberwelt ist Cyberkriminalität alltäglich geworden. Sie ist allerdings nicht so folgenlos wie die Entnahme der Sonntagszeitung ohne Entrichtung des Kaufpreises, sondern weit schwerwiegender.

Auch die Europäische Union hat nun auf die Gefahren der Cyberkriminalität reagiert. Sie setzt mit der NIS-RL die ersten Schritte für die Förderung von Cyber-Sicherheit.


NIS-RL: Was ist das?

Die Netz- und Informationssicherheit Richtlinie (NIS-RL) ist eine Maßnahme, die die Europäische Union zur Gewährleistung einer hohen gemeinsamen Netz- und Informationssicherheit zwischen den Mitgliedstaaten getroffen hat.

Da Richtlinien zuerst in nationale Gesetze umgesetzt werden müssen, damit sie den Einzelnen berechtigen oder verpflichten können, wird die NIS-RL erst nach Transformation in innerstaatliches Recht anwendbar sein, in Österreich voraussichtlich noch vor 2018 mit einem eigenen Cybersicherheitsgesetz.


Bin ich davon betroffen?

Die Pflicht, Sicherheitsmaßnahmen vorzunehmen oder auch Sicherheitsvorfälle zu melden, trifft laut Richtlinie „Betreiber wesentlicher Dienste“ und „Anbieter digitaler Dienste“:

Betreiber wesentlicher Dienste   Anbieter digitaler Dienste (auch außerhalb der EU)
  • Energie
    • Elektrizität
    • Erdöl
    • Erdgas
  • Verkehr
    • Luftverkehr
    • Schienenverkehr
    • Schiffahrt
    • Straßenverkehr
  • Bankwesen
  • Finanzmarktinfrastrukturen
  • Gesundheitswesen
  • Trinkwasserlieferung und
    -versorgung
  • Digitale Infrastruktur
    • IXPs
    • DNS-Dienstanbieter
    • TLD-Name-Registries
  
  • Online-Marktplatz
  • Online-Suchmaschine
  • Cloud-Computing-Dienst
  • Internet-Zahlungs-Gateways
  • Plattformen des elektronischen Geschäftsverkehrs
  • Application Stores
  • Soziale Netze


Was muss ich tun?

Die Richtlinie bezweckt eine bessere strategische und operationelle Zusammenarbeit innerhalb der Union. Um diese Ziele zu erreichen, sollen private und öffentliche Anbieter zu Sicherheitsmaßnahmen und zur Meldung von Sicherheitsvorfällen an die zuständigen Behörden verpflichtet werden.

Die Maßnahmen müssen geeignet sein, die Widerstandsfähigkeit gegen Cyberangriffe zu gewährleisten und Cyberangriffen vorzubeugen. Dabei sind international anerkannte Normen für die Sicherheit von Netz- und Informationssystemen anzuwenden.

Die Prüfung, ob von Betreibern wesentlicher Dienste geeignete Sicherheitsmaßnahmen getroffen wurden, kann von den zuständigen NIS-Behörden jederzeit vorgenommen werden. Zusätzlich zum Prüfungsrecht wird ihnen auch die Befugnis zugesprochen, den Betreibern wesentlicher Dienste bindende Anweisungen zu erteilen. Bei den Anbietern digitaler Dienste ist eine Prüfung nur dann vorgesehen, wenn ein konkreter Anlassfall vorliegt.


Welche Sanktionen sind vorgesehen?

Bei Verletzung der vorgeschriebenen Pflichten sieht die Richtlinie Sanktionen vor, deren Festsetzung im Hinblick auf die Höhe und der Art den einzelnen Mitgliedstaaten überlassen wird. Haftungsadressat ist der Anbieter digitaler Dienste und der Betreiber wesentlicher Dienste.