EU-Richtlinie zur IT-Sicherheit: eco präsentiert Positionspapier
Anlässlich des bevorstehenden Endes der Trilog-Verhandlungen zur „EU-Richtlinie über Maßnahmen zur Gewährleistung einer hohen gemeinsamen Netz- und Informationssicherheit in der Union“ hat der Verband der Internetwirtschaft eco ein Positionspapier veröffentlicht, in dem er die aus seiner Sicht ungelösten Probleme und seine Hauptforderungen ausführt. Der Verband warnt insbesondere davor, sämtliche Dienste der Informationsgesellschaft, vom kleinen Webshop bis hin zum großen Social-Media-Dienst, in den Anwendungsbereich miteinzubeziehen. Eine solche Pauschalisierung sei nicht sinnvoll, da es sich nicht bei jedem Dienst um eine kritische Infrastruktur handelt und vor allem kleine Unternehmen unnötig belastet würden.
IT-Vorfälle an die EU melden
Die Europäische Kommission verfolgt mit der sogenannten NIS-Richtlinie das Ziel, die IT-Sicherheitsvorschriften für wichtige private Unternehmen, Dienstleister und öffentliche Verwaltungen in den europäischen Mitgliedsstaaten zu harmonisieren. Es ist u.a. vorgesehen, dass die Länder eigene NIS-Strategien festlegen und NIS-Behörden benennen, um eine Infrastruktur für IT-Vorfälle zu entwickeln. Die Mitgliedsstaaten sollen die Vorfälle außerdem an die entsprechende europäische Stelle melden, damit ein Frühwarnsystem aufgebaut und Gegenmaßnahmen für IT-Vorfälle entwickelt werden können. Bestimmte Unternehmen und Dienstleister der digitalen Wirtschaft sollen dazu verpflichtet werden, Risikomanagementmaßnahmen zu ergreifen und gravierende IT-Vorfälle an die zuständigen nationalen Behörden zu melden. Nach den Plänen der EU-Kommission werden neben Betreibern kritischer Infrastrukturen in Bereichen wie Finanzdienstleistungen, Verkehr, Energie und Gesundheitswesen auch IT-Dienstleister wie App-Stores, E-Commerce-Plattformen, Internet-Zahlungsplattformen, Cloud-Computing-Dienste, Suchmaschinen und soziale Netze von den Regelungen der NIS-Richtlinie betroffen sein. In der jüngsten Verhandlungsrunde am 29. Juni 2015 hatte der Ratsvorsitz mit dem Europäischen Parlament vereinbart, dass für digitale Diensteplattformen gesonderte Regelungen gelten sollen.
Der eco weist in seinem Positionspapier zum einen auf die offene Frage hin, wie viel Spielraum die Mitgliedsstaaten bei der Bestimmung kritischer Infrastrukturen erhalten. Das Ziel der europäischen Harmonisierung könne unterlaufen werden, wenn in den Mitgliedsstaaten unterschiedliche Kriterien bei der Identifikation der kritischen Infrastrukturen angewendet würden. Auch das Europäische Parlament würde die Befürchtung hinsichtlich der Fragmentierung teilen, heißt es in dem Positionspapier. Zum anderen sei die Frage ungeklärt, welche Unternehmen überhaupt als „kritische Infrastrukturen“, bzw. „wesentliche Dienste“, wie der Rat der EU sie nennt, gelten sollen. Insbesondere sei offen, inwieweit „internet enabler“ in den Anwendungsbereich und in die damit verbundenen regulatorischen Verpflichtungen der Richtlinie einbezogen werden sollten. Bereits bei einem eco polITalk zum deutschen IT-Sicherheitsgesetz im März dieses Jahres hatten anwesende Unternehmer die Befürchtung geäußert, dass sie sich nach Inkrafttreten der deutschen Gesetzgebung sehr schnell wieder auf andere Vorgaben von europäischer Ebene einstellen müssten. Der IT-Beauftragte des Bundesinnenministeriums, Martin Schallbruch, hatte aber versichert, das IT-Sicherheitsgesetz passe in diesem Punkt zu jedem NIS-Entwurf, den er kenne.
Hohes Ausfallrisiko, hohe Auflagen
Der eco fordert in seinem Positionspapier, den Anwendungsbereich der Richtlinie auf „tatsächlich kritische Infrastrukturen“ zu konzentrieren. Darüber hinaus plädiert der Internetwirtschaftsverband dafür, dass Dienste der Informationswirtschaft nicht generell von Sonderregelungen profitieren sollten, sondern entsprechend ihrem Ausfallrisiko Auflagen bekommen sollten. So begrüßt der eco den Vorschlag der lettischen Ratspräsidentschaft, die „ähnlich wie im deutschen IT-Sicherheitsgesetz“ einen differenzierten Ansatz gewählt habe.
Die Europäische Kommission hatte einen Entwurf der NIS-Richtlinie am 7. Februar 2013 veröffentlicht und das Europäische Parlament seine Position gut ein Jahr später in erster Lesung am 13. März 2014 festgelegt. Der Rat der EU (Ministerrat) konnte sich bisher noch nicht auf eine einheitliche Position verständigen. Der Trilog zwischen den drei Institutionen hat unter diesen schwierigen Voraussetzungen dennoch im Oktober des vergangenen Jahres begonnen und zog sich lange Zeit ohne nennenswerte Fortschritte hin. Der lettischen Ratspräsidentschaft ist es nun in der vierten Trilog-Sitzung im Juni gelungen, ein Einvernehmen mit dem Europäischen Parlament über die Hauptprinzipien zu erzielen, die in die NIS-Richtlinie aufgenommen werden sollen. Diese Prinzipien sollen jetzt in Rechtsvorschriften umgesetzt werden, damit zu einem späteren Zeitpunkt – dann unter luxemburgischer Ratspräsidentschaft – eine endgültige Einigung erzielt werden kann.
Der vorstehende Artikel erscheint im Rahmen einer Kooperation mit dem Tagesspiegel Politikmonitoring auf UdL Digital. Nadine Brockmann ist als Analystin für das Themenfeld Netzpolitik verantwortlich.