EU-Kommission berei­tet Über­ar­bei­tung der NIS-Richtlinie vor

Mit der im Jahr 2016 in Kraft getre­te­nen Richt­li­ne “über Maß­nah­men zur Gewähr­leis­tung eines hohen gemein­sa­men Sicher­heits­ni­veaus von Netz- und Infor­ma­ti­ons­sys­te­men in der Uni­on” (kurz: NIS-Richtlinie) hat­te der euro­päi­sche Gesetz­ge­ber erst­mals den Ver­such unter­nom­men, ein ein­heit­li­ches IT-Sicherheitsniveau für kri­ti­sche Infra­struk­tur in Euro­pa zu schaf­fen. Hier­zu wur­den Min­dest­an­for­de­run­gen und Mel­de­pflich­ten bei Sicher­heits­vor­fäl­len für Betrei­ber wesent­li­cher Diens­te und Anbie­ter digi­ta­ler Diens­te erlas­sen. Dar­über hin­aus soll­ten euro­pa­weit Kapa­zi­tä­ten für Cyber-Sicherheit auf­ge­baut und die Mit­glieds­staa­ten zu einer stär­ke­ren Zusam­men­ar­beit in die­sem Bereich ani­miert wer­den. Betrof­fen von der Richt­li­nie waren unter ande­rem die Sek­to­ren Finan­zen und Ver­si­che­rung, Gesund­heit, Trans­port und Ver­kehr, Ener­gie, Was­ser und Nah­rungs­mit­tel, aber auch digi­ta­le Infra­struk­tur. Dar­über hin­aus auch wich­ti­ge Anbie­ter digi­ta­ler Diens­te, etwa Online-Marktplätze oder Suchmaschinen-Betreiber.

Jetzt, vier Jah­re nach dem Inkraft­tre­ten, sieht das aktu­el­le Arbeits­pro­gramm der EU-Kommission eine Über­prü­fung und Über­ar­bei­tung der Richt­li­nie vor. Teil des ange­sto­ße­nen Pro­zes­ses ist eine öffent­li­che Kon­sul­ta­ti­on zum beab­sich­tig­ten Fahr­plan der Kom­mis­si­on. Begon­nen hat die­se am 25. Juni 2020 und wird am 13. August 2020 been­det sein. Ziel­set­zung der Kon­sul­ta­ti­on ist zunächst die Klä­rung der Fra­ge, ob sich das IT-Sicherheitsniveau in Euro­pa tat­säch­lich ver­bes­sert hat. Dar­über hin­aus möch­te die Kom­mis­si­on aber auch aktu­el­le und zukünf­ti­ge Her­aus­for­de­run­gen im Bereich iden­ti­fi­zie­ren und letzt­lich auch eine Ein­schät­zung zu Kos­ten und Nut­zen einer Regu­lie­rung eva­lu­ie­ren. Neben die­ser ers­ten Pha­se der Kon­sul­ta­ti­on führt die Kom­mis­si­on auch eine fra­gen­ba­sier­te Eva­lua­ti­on der Richt­li­nie durch. Die­se hat am 7. Juli 2020 gestar­tet und wird am 2. Okto­ber 2020 enden.

Schon zu die­sem frü­hen Zeit­punkt ist abseh­bar, dass die Kom­mis­si­on mit hoher Wahr­schein­lich­keit Ände­run­gen an der NIS-Richtlinie durch­füh­ren wird und hier – ähn­lich wie beim IT-Sicherheitsgesetz 2.0 – mit Ver­schär­fun­gen für die Betrei­ber zu rech­nen ist. In die­sem Zusam­men­hang wird auch über die Rück­nah­me der Richt­li­nie zuguns­ten einer ein­heit­li­chen Rege­lung, mög­li­cher­wei­se sogar in Form einer Ver­ord­nung, dis­ku­tiert. Offen ist, inwie­weit die bereits erwähn­ten Bestre­bun­gen der Bun­des­re­gie­rung zum Erlass natio­na­ler Rege­lun­gen im Wege des über­ar­bei­te­ten IT-Sicherheitsgesetzes mit den euro­päi­schen Plä­nen in Ein­klang zu brin­gen sind. Am Ende erscheint es durch­aus mög­lich, dass die Bun­des­re­gie­rung – ähn­lich wie bei Ein­füh­rung der NIS-Richtlinie – wesent­li­che Aspek­te schon im Allein­gang umge­setzt haben könn­te. In die­ser Kon­stel­la­ti­on erschei­nen Span­nun­gen mit dem Euro­pa­recht wahrscheinlich.