EU-Kommission bereitet Überarbeitung der NIS-Richtlinie vor

Philipp Reusch

Mit der im Jahr 2016 in Kraft getretenen Richtline "über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union" (kurz: NIS-Richtlinie) hatte der europäische Gesetzgeber erstmals den Versuch unternommen, ein einheitliches IT-Sicherheitsniveau für kritische Infrastruktur in Europa zu schaffen. Hierzu wurden Mindestanforderungen und Meldepflichten bei Sicherheitsvorfällen für Betreiber wesentlicher Dienste und Anbieter digitaler Dienste erlassen. Darüber hinaus sollten europaweit Kapazitäten für Cyber-Sicherheit aufgebaut und die Mitgliedsstaaten zu einer stärkeren Zusammenarbeit in diesem Bereich animiert werden. Betroffen von der Richtlinie waren unter anderem die Sektoren Finanzen und Versicherung, Gesundheit, Transport und Verkehr, Energie, Wasser und Nahrungsmittel, aber auch digitale Infrastruktur. Darüber hinaus auch wichtige Anbieter digitaler Dienste, etwa Online-Marktplätze oder Suchmaschinen-Betreiber.

Jetzt, vier Jahre nach dem Inkrafttreten, sieht das aktuelle Arbeitsprogramm der EU-Kommission eine Überprüfung und Überarbeitung der Richtlinie vor. Teil des angestoßenen Prozesses ist eine öffentliche Konsultation zum beabsichtigten Fahrplan der Kommission. Begonnen hat diese am 25. Juni 2020 und wird am 13. August 2020 beendet sein. Zielsetzung der Konsultation ist zunächst die Klärung der Frage, ob sich das IT-Sicherheitsniveau in Europa tatsächlich verbessert hat. Darüber hinaus möchte die Kommission aber auch aktuelle und zukünftige Herausforderungen im Bereich identifizieren und letztlich auch eine Einschätzung zu Kosten und Nutzen einer Regulierung evaluieren. Neben dieser ersten Phase der Konsultation führt die Kommission auch eine fragenbasierte Evaluation der Richtlinie durch. Diese hat am 7. Juli 2020 gestartet und wird am 2. Oktober 2020 enden.

Schon zu diesem frühen Zeitpunkt ist absehbar, dass die Kommission mit hoher Wahrscheinlichkeit Änderungen an der NIS-Richtlinie durchführen wird und hier – ähnlich wie beim IT-Sicherheitsgesetz 2.0 – mit Verschärfungen für die Betreiber zu rechnen ist. In diesem Zusammenhang wird auch über die Rücknahme der Richtlinie zugunsten einer einheitlichen Regelung, möglicherweise sogar in Form einer Verordnung, diskutiert. Offen ist, inwieweit die bereits erwähnten Bestrebungen der Bundesregierung zum Erlass nationaler Regelungen im Wege des überarbeiteten IT-Sicherheitsgesetzes mit den europäischen Plänen in Einklang zu bringen sind. Am Ende erscheint es durchaus möglich, dass die Bundesregierung – ähnlich wie bei Einführung der NIS-Richtlinie – wesentliche Aspekte schon im Alleingang umgesetzt haben könnte. In dieser Konstellation erscheinen Spannungen mit dem Europarecht wahrscheinlich.

[Juli 2020]