Zur Navigation springen Zum Inhalt springen Zum Footer springen

NIS-Richtlinie: Sachstand der Umsetzung?

(2)

Am 6. Juli 2016 hat das europäische Parlament in Brüssel die NIS-Richtlinie verabschiedet. Eine Richtlinie mit dem Ziel der Sicherstellung eines EU-weiten hohen Sicherheitsniveaus von Netz-und Informationssystemen.

Inhalt der NIS-Richtlinie sind Vorgaben für alle EU-Mitgliedsstaaten zur Verbesserung ihrer IT-Sicherheit. Die Richtlinie ist am 8. August 2016 Kraft getreten, aber nicht sofort und unmittelbar anzuwenden, sondern die EU-Mitgliedsstaaten haben bis zum 10. Mai 2018 Zeit, die Vorgaben in nationales Recht umzusetzen. Dieses Datum ist daher für Unternehmen und Behörden entscheidend, da zu diesem Zeitpunkt, die sich aus der Richtlinie ergebenden neuen Verpflichtungen und Prozesse implementiert und gelebt werden müssen.

Eine für Unternehmen wichtige Herausforderung ergibt sich aus den neuen Meldepflichten und den zu erfüllenden IT-Sicherheitsanforderungen. Betroffen sind Unternehmen, die wesentliche und digitale Dienste anbieten. Unter wesentlichen Diensten sind Anbieter kritischer Infrastrukturen gemeint, die analog zum IT-Sicherheitsgesetz die Einhaltung von IT-Sicherheitsanforderungen und die Meldung von Sicherheitsvorfällen zur Aufgabe haben.

Die NIS-Richtlinie weitet die aus dem IT-Sicherheitsgesetz bekannten Anforderungen auch auf Anbieter digitaler Dienste aus. Digitale Dienste im Sinne der NIS-Richtlinie sind Online-Marktplätze Online-Suchmaschinen und die Anbieter von Cloud-Computing-Dienstleistungen.

Die erhöhten Anforderungen an und Aufwendungen für Unternehmen, die digitale Dienste anbieten, sind – je nach Größe – nicht zu unterschätzen.

So kann bei der Planung des Prozesses für Meldepflichten vorab eine Aufstellung hilfreich sein, aus welchen operativen Prozessen sich an welche Behörde, Betroffenen, oder auch interne Einheit eine Meldepflicht ergibt und welche Meldekette einzuhalten ist. Reichen die internen Ressourcen hierfür aus, sind möglicherweise die Sozialpartner in den Abstimmungsprozess frühzeitig zu integrieren?

Genügen – soweit schon vorhanden – die Business-Continuity-Pläne den Anforderungen der Richtlinie? Erfülle ich die vertraglich bestehenden oder im Zuge der Erfüllung der Richtlinie treffenden Vorgaben?

Es ist ratsam, frühzeitig die Aufgaben, Anforderungen und Pflichten erkannt zu haben, um am 10.Mai 2018 nicht für Versäumnisse im Vorfeld haften und zahlen zu müssen.


Rechtstipp vom 22.11.2016
aus dem Rechtsgebiet IT-Recht

Sie haben Fragen? Gleich Kontakt aufnehmen!

Rechtstipps zum Thema

Rechtstipps des Autors

Alle Rechtstipps von Rechtsanwalt Thomas Feil (Feil Rechtsanwaltsgesellschaft mbH)

Damit Sie wissen, wann Sie im Recht sind

Neue Urteile, hilfreiche Tipps und Kurioses im wöchentlichen anwalt.de-Newsletter.