RL 2016/1148/EU - NIS-Richtlinie - RICHTLINIE (EU) 2016/1148 DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 6. Juli 2016 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union
RL 2016/1148/EU - NIS-Richtlinie - RICHTLINIE (EU) 2016/1148 DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 6. Juli 2016 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union |
| Sektor | Informationstechnik und Telekommunikation |
|---|---|
| Branche | Informationstechnik |
| Ebene | Transnational |
RICHTLINIE (EU) 2016/1148 DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 6. Juli 2016 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union
RL 2016/1148/EU
Alle, insbes. Art. 14-16https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A02016L1148-20160719
Artikel 14 Sicherheitsanforderungen und Meldung von Sicherheitsvorfällen(1) Die Mitgliedstaaten stellen sicher, dass die Betreiber wesentlicher Dienste geeignete und verhältnismäßige technische und organisatorische Maßnahmen ergreifen, um die Risiken für die Sicherheit der Netz- und Informationssysteme, die sie für ihre Tätigkeiten nutzen, zu bewältigen. Diese Maßnahmen müssen unter Berücksichtigung des Stands der Technik ein Sicherheitsniveau der Netz- und Informationssysteme gewährleisten, das dem bestehenden Risiko angemessen ist.
(2) Die Mitgliedstaaten stellen sicher, dass die Betreiber wesentlicher Dienste geeignete Maßnahmen ergreifen, um den Auswirkungen von Sicherheitsvorfällen, die die Sicherheit der von ihnen für die Bereitstellung dieser wesentlichen Dienste genutzten Netz- und Informationssysteme beeinträchtigen, vorzubeugen beziehungsweise diese so gering wie möglich zu halten, damit die Verfügbarkeit dieser Dienste gewährleistet wird.
(3) Die Mitgliedstaaten stellen sicher, dass die Betreiber wesentlicher Dienste der zuständigen Behörde oder dem CSIRT Sicherheitsvorfälle, die erhebliche Auswirkungen auf die Verfügbarkeit der von ihnen bereitgestellten wesentlichen Dienste haben, unverzüglich melden. Die Meldungen müssen die Informationen enthalten, die es der zuständigen Behörde oder dem CSIRT ermöglichen, zu bestimmen, ob der Sicherheitsvorfall grenzübergreifende Auswirkungen hat. Mit der Meldung wird keine höhere Haftung der meldenden Partei begründet.
(4) Zur Feststellung des Ausmaßes der Auswirkungen eines Sicherheitsvorfalls werden insbesondere folgende Parameter berücksichtigt:
a) Zahl der von der Unterbrechung der Erbringung des wensentlichen Dienstes betroffenen Nutzer;
b) Dauer des Sicherheitvorfalls:
c) geografische Ausbreitung in Bezug auf das von dem Sicherheitsvorfall betroffene Gebiet.
(5) Auf der Grundlage der in der Meldung durch den Betreiber wesentlicher Dienste bereitgestellten Informationen unterrichtet die zuständige Behörde oder das CSIRT den bzw. die anderen betroffenen Mitgliedstaaten, sofern der Vorfall erhebliche Auswirkungen auf die Verfügbarkeit wesentlicher Dienste in jenem Mitgliedstaat hat. Dabei wahrt die zuständige Behörde oder das CSIRT im Einklang mit dem Unionsrecht oder mit den dem Unionsrecht entsprechenden nationalen Rechtsvorschriften die Sicherheit und das wirtschaftliche Interesse des Betreibers wesentlicher Dienste sowie die Vertraulichkeit der in dessen Meldung bereitgestellten Informationen.
Wenn es nach den Umständen möglich ist, stellt die zuständige Behörde oder das CSIRT dem die Meldung erstattenden Betreiber wesentlicher Dienste einschlägige Informationen für die weitere Behandlung der Meldung, wie etwa Informationen, die für die wirksame Bewältigung des Sicherheitsvorfalls von Nutzen sein könnten, zur Verfügung.
Auf Ersuchen der zuständigen Behörde oder des CSIRT leitet die zentrale Anlaufstelle die in Unterabsatz 1 genannten Meldungen an die zentralen Anlaufstellen der anderen betroffenen Mitgliedstaaten weiter.
(6) Nach Anhörung des meldenden Betreibers wesentlicher Dienste können die zuständige Behörde oder das CSIRT die Öffentlichkeit über einzelne Sicherheitsvorfälle unterrichten, sofern die Sensibilisierung der Öffentlichkeit zur Verhütung von Sicherheitsvorfällen oder zur Bewältigung aktueller Sicherheitsvorfälle erforderlich ist.
(7) Die im Rahmen der Kooperationsgruppe gemeinsam handelnden zuständigen Behörden können Leitlinien zu den Umständen, unter denen die Betreiber wesentlicher Dienste Sicherheitsvorfälle melden müssen, ausarbeiten und annehmen; dies gilt auch für die Parameter zur Feststellung des Ausmaßes der Auswirkungen eines Sicherheitsvorfalls gemäß Absatz 4.
Artikel 15 Umsetzung und Durchsetzung
(1) Die Mitgliedstaaten stellen sicher, dass die zuständigen Behörden über die Befugnisse und Mittel verfügen, die erforderlich sind, um zu bewerten, ob die Betreiber wesentlicher Dienste ihren Pflichten nach Artikel 14 nachkommen und inwieweit sich dies auf die Sicherheit der Netz- und Informationssysteme auswirkt.
(2) Die Mitgliedstaaten stellen sicher, dass die zuständigen Behörden über die Befugnisse und Mittel verfügen, um von den Betreibern wesentlicher Dienste verlangen zu können, dass sie
a) die zur Bewertung der Sicherheit ihrer Netz- und Informationssysteme erforderlichen Informationen, einschließlich der dokumentierten Sichreheitsmaßnahmen, zur Verfürgung stellen;
b) Nachweise für die wirksame Umsetzung der Sicherheitsmaßnahmen zur Verfügung stellen, wie etwa die Ergebnisse einer von der zuständigen Behörde oder einem qualifizierten Prüfer durchgeführten Sicherheitsprüfung, und im letztgenannten Fall die Ergebnisse der Überprüfung einschließlich der zugrunde gelegten Nachweise der zuständigen Behörde zur Verfügung stellen.
Bei der Anforderung dieser Informationen oder Nachweise nennt die zuständige Behörde den Zweck und gibt an, welche Informationen verlangt werden.
(3) Im Anschluss an die Bewertung der in Absatz 2 genannten Informationen oder an die Ergebnisse der Sicherheitsüberprüfungen kann die zuständige Behörde den Betreibern wesentlicher Dienste verbindliche Anweisungen zur Abhilfe der festgestellten Mängel erteilen.
(4) Bei der Bearbeitung von Sicherheitsvorfällen, die zur Verletzung des Schutzes personenbezogener Daten führen, arbeitet die zuständige Behörde eng mit den Datenschutzbehörden zusammen.
Artikel 16 Sicherheitsanforderungen und Meldung von Sicherheitsvorfällen
(1) Die Mitgliedstaaten stellen sicher, dass die Anbieter digitaler Dienste geeignete und verhältnismäßige technische und organisatorische Maßnahmen ergreifen, um die Risiken für die Sicherheit der Netz- und Informationssysteme, die sie im Rahmen der Bereitstellung der in Anhang III aufgeführten Dienste innerhalb der Union nutzen, zu bewältigen. Diese Maßnahmen müssen unter Berücksichtigung des Stands der Technik ein Sicherheitsniveau der Netz- und Informationssysteme gewährleisten, das dem bestehenden Risiko angemessen ist, wobei Folgendem Rechnung getragen wird:
a) Sicherheit der Systeme und Anlagen,
b) Bewältigung von Sicherheitsvorfällen,
c) Business continuity management,
d) Überwachung, Überprüfung und Erprobung,
e) Einhaltung der internationalen normen.
(2) Die Mitgliedstaaten stellen sicher, dass die Anbieter digitaler Dienste Maßnahmen treffen, um den Auswirkungen von Sicherheitsvorfällen, die die Sicherheit ihrer Netze und Informationssysteme beeinträchtigen, auf die in Anhang III genannten, innerhalb der Union erbrachten Dienste vorzubeugen beziehungsweise diese so gering wie möglich zu halten, damit die Verfügbarkeit dieser Dienste gewährleistet wird.
(3) Die Mitgliedstaaten stellen sicher, dass die Anbieter digitaler Dienste der zuständigen Behörde oder dem CSIRT jeden Sicherheitsvorfall, der erhebliche Auswirkungen auf die Bereitstellung eines der in Anhang III genannten, von ihnen innerhalb der Union erbrachten Dienste hat, unverzüglich melden. Die Meldungen müssen die Informationen enthalten, die es der zuständigen Behörde oder dem CSIRT ermöglichen, das Ausmaß etwaiger grenzübergreifender Auswirkungen des Sicherheitsvorfalls festzustellen. Mit der Meldung wird keine höhere Haftung der meldenden Partei begründet.
(4) Zur Feststellung, ob die Auswirkungen eines Sicherheitsvorfalls erheblich sind, werden insbesondere folgende Parameter berücksichtigt:
a) die Zahl der von dem Sicherheitsvorfall betroffenen Nutzer, insbesonder der Nutzer, die den Dienst für die Bereitstellung ihrer eigenen Dienste benötigen;
b) Dauer des Sicherheitsvorfalls;
c) geografische Ausbreitung in Bezug auf des von dem Sicherheitsvorfall betroffene Gebiet;
d) Ausmaß der Unterbrechung der Bereitstellugn des Dienstes;
e) Ausmaß der Auswirkungen auf wirtschaftlichen und gesellschaftliche Tätigkeiten.
Die Pflicht zur Meldung eines Sicherheitsvorfalls gilt nur, wenn der Anbieter digitaler Dienste Zugang zu den Informationen hat, die benötigt werden, um die Auswirkung eines Sicherheitsvorfalls gemessen an den Parametern gemäß Unterabsatz 1 zu bewerten.
(5) Nimmt ein Betreiber wesentlicher Dienste für die Bereitstellung eines Dienstes, der für die Aufrechterhaltung kritischer gesellschaftlicher oder wirtschaftlicher Tätigkeiten von wesentlicher Bedeutung ist, die Dienste eines Dritten als Anbieter digitaler Dienste in Anspruch, so ist jede erhebliche Auswirkung auf die Verfügbarkeit der wesentlichen Dienste, die von einem den Anbieter digitaler Dienste beeinträchtigenden Sicherheitsvorfall verursacht wurde, von diesem Betreiber zu melden.
(6) Gegebenenfalls und insbesondere, wenn der in Absatz 3 genannte Sicherheitsvorfall zwei oder mehr Mitgliedstaaten betrifft, unterrichtet die zuständige Behörde oder das CSIRT, der bzw. dem die Meldung erstattet wurde, die anderen betroffenen Mitgliedstaaten. Dabei wahren die zuständigen Behörden, die CSIRTs und die zentralen Anlaufstellen im Einklang mit dem Unionsrecht oder mit den dem Unionsrecht entsprechenden nationalen Rechtsvorschriften die Sicherheit und das wirtschaftliche Interesse des Anbieters digitaler Dienste sowie die Vertraulichkeit der bereitgestellten Informationen.
(7) Nach Anhörung des betreffenden Anbieters digitaler Dienste können die zuständige Behörde oder das CSIRT, der bzw. dem die Meldung erstattet wurde, und gegebenenfalls die Behörden oder die CSIRTs anderer betroffener Mitgliedstaaten die Öffentlichkeit über einzelne Sicherheitsvorfälle unterrichten oder verlangen, dass der Anbieter digitaler Dienste dies unternimmt, sofern die Sensibilisierung der Öffentlichkeit zur Verhütung von Sicherheitsvorfällen oder zur Bewältigung aktueller Sicherheitsvorfälle erforderlich ist, oder wenn die Offenlegung des Sicherheitsvorfalls auf sonstige Weise im öffentlichen Interesse liegt.
(8) Die Kommission erlässt Durchführungsrechtsakte, um die in Absatz 1 genannten Elemente und die in Absatz 4 aufgeführten Parameter genauer zu bestimmen. Diese Durchführungsrechtsakte werden gemäß dem in Artikel 22 Absatz 2 genannten Prüfverfahren bis zum 9. August 2017 erlassen.
(9) Die Kommission kann Durchführungsrechtsakte zur Festlegung der Form und des Verfahrens, welche für Meldepflichten gelten, erlassen. Diese Durchführungsrechtsakte werden nach dem in Artikel 22 Absatz 2 genannten Prüfverfahren erlassen.
(10) Die Mitgliedstaaten erlegen unbeschadet des Artikels 1 Absatz 6 den Anbietern digitaler Dienste keine weiteren Sicherheits- oder Meldepflichten auf.
(11) Kapitel V gilt nicht für Kleinstunternehmen und kleine Unternehmen im Sinne der Empfehlung 2003/361/EG der Kommission (19).
- Albrecht/Höroldt, IT-Sicherheit 1/2013, 29 (Datenkonsistenz im Katastrophenfall)
- BT-Drs. 18/4096
- BT-Drs. 18/5121
- Bartels/Backer, DuD 2016, 22 (Telemedien, IT-Sicherheit, TOV)
- Becker/Nikolaeva, CR 2012, 170 (IT-Sicherheit und Datenschutz bei Cloud-Anbietern, US Patriot Act, transnationaler Datenverkehr)
- Bergt, CR 2014, 726 (Verschlüsselung nach dem Stand der Technik als rechtliche Verpflichtung
- Brandenburg/Leuthner, ZD 2015, 111 (Mobile Payment)
- Bräutigam/Wilmer, ZRP 2015, 38 (Meldepflichten im IT-SiG)
- Deusch/Eggendorfer, K&R 2015, 11 (Verschlüsselte Kommunikation in Unternehmen)
- Deutsch/Eggendorfer, K&R 2017, 93 (Fernmeldegeheimnis und Kommunikationstechnologien)
- Djeffal, MMR 2015, 716 (Telemediendiensteanbieter, Sicherungspflichten, IT-SiG)
- Dorndorf/ Schneidereit, CR 2017, 21-26 (E-Signing von Verträgen mittels qualifizierter elektronischer Signatur nach eIDAS)
- Eckhardt, DuD 2015, 176 (IT-Sicherheitsund Datenschutzanforderungen an Cloud-Computing-Dienste)
- Foitzick/Plankemann, CCZ 2015, 180 (Cloud Computing)
- Gaycken/Karger, MMR 2011, 3 (Entnetzung, IT-Sicherheit)
- Gehrmann/Klett, K&R 2017, 372 (Umsetzung des IT-SiG)
- Gerlach, CR 2015, 581 (Sicherheitsanforderrungen für Telemediendienste)
- Gliss, DSB 2010, 12 (Testdatenbanken)
- Gola, K&R 2017, 145 (Interpretation der DSGVO)
- Greveler/Reinermann, CCZ 2015, 274 (Informationssicherheit in KMU)
- Heidrich/Wegener, MMR 2015, 487 (Protokollierung von IT-Daten, Logging)
- Hellmich/Hufen, K&R 2015, 688 (Datenschutz bei Mobile Payment)
- Hornung: NJW 2015, 3334 (Neue Pflichten nach dem IT-SiG)
- Imping/Pohle, K&R 2012, 470 (Rechtliche Herausforderungen an BYOD)
- Inés, K&R 2017, 361 (Rechtsgrundlagen offenes WLAN)
- Iraschko-Luscher/Kiekenbeck, DuD 2012, 902 (IT-Sicherheit und Datenschutz bei Online-Zahlungsdiensten)
- Kremer, CR 2017, 367 (Neues BDSG)
- Krohm/Müller-Peltzer: ZD 2015, 409 (Identifizierung anonymer Internetnutzer, Kommunikationsfreiheit, Persönlichkeitsrechte)
- Leisterer, CR 2015, 665 (Pflichten zur Netzund Informationssicherheit, Datenverarbeitung zur Gefahrenabwehr)
- Leisterer/Schneider, K&R 2015, 681 (Staatliches Informationshandeln, IT-Sicherheit)
- Lotz/Wendler, CR 2016, 31 (TOM, Abdingbarkeit von § 9 BDSG für Betreiber von KRITIS)
- Matthiessen/Strigl, IT-Sicherheit 3/2012, 24 (Sicherer Datenaustausch in Clouds)
- Mehrbrey/Schreibauer, MMR 2016, 75 (Ansprüche u. Haftungsrisiken von Unternehmen bei Cyberangriffen)
- Molzen, IT-Sicherheit 4/2012, 44 (Datensicherung in kleinen und mittelst. Unternehmen)
- Müglich, CR 2009, 479 (Datenschutzrechtliche Anforderungen an die Vertragsgestaltung beim eShop-Hosting)
- Papendorf/Lepperhoff, DuD 2016, 107 (IT-Sicherheitsanforderungen gem. TMG)
- Rath/Kuss/Bach, K&R 2015, 437 (IT-SiG)
- Roßnagel, CR 2011, 23 (sicherer elektronischer Rechtsverkehr)
- Roßnagel, NJW 2011, 1473 (De-Mail)
- Roßnagel, NJW 2014,3686 (Sichere elektronische Transaktionen)
- Sachs/Meder, ZD 2013, 303 (Datenschutzrechtliche Anforderungen an App-Anbieter);
- Schallbruch, CR 2017, 648 (IT-Sicherheit)
- Schmidt, IT-Sicherheit 2/2012, 36 (Compliance in hybriden Clouds)
- Schneider, IT-Sicherheit 3/2012, 56 (Cloudsicherheit)
- Schneider, IT-Sicherheit, 2/2013, 23 (Auftragsdatenverarbeitung in der Cloud)
- Schürmann, DSB 2016, 32 (Anforderungen des IT-SiG im Bereich Web & App)
- Sosna, CR 2014, 825-832 (eIDAS-Verordnung)
- Ulmer/Rath, CCZ 2016, 142 (DS-GVO)
- Wicker, MMR 2014, 715 (Haftungsfragen der Cloud-Anbieter bei IT-Ausfällen und Datenschutzverletzungen)
- Wrede/Kirsch, ZD 2013, 433, (Identifizierungsmöglichkeiten bei De-Mail)
-
Ergebnis 291
ISO/IEC 18033-3:2010-12
Deutsch: Informationstechnik - IT Sicherheitsverfahren - Verschlüsselungsalgorithmen - Teil 3: Blockziffern
Englisch: Information technology - Security techniques - Encryption algorithms - Part 3: Block ciphers
Ergebnis 292
ISO/IEC 18033-4:2011-12
Deutsch: Informationstechnik - Sicherheitsverfahren - Verschlüsselungsalgorithmen - Teil 4: Stromchiffren
Englisch: Information technology - Security techniques - Encryption algorithms - Part 4: Stream ciphers
Ergebnis 293
ISO/IEC 18033-5:2015-12
Deutsch: Informationstechnik - Sicherheitsverfahren - Verschlüsselungsalgorithmen - Teil 5: Identitäsbasierte Chiffren
Englisch: Information technology - Security techniques - Encryption algorithms - Part 5: Identity-based ciphers
Ergebnis 294
ISO/IEC 18033-6:2019-05
Deutsch: Informationstechnik - Verschlüsselungsalgorithmen - Teil 6: Homomorphe Verschlüsselung
Englisch: IT Security techniques - Encryption algorithms - Part 6: Homomorphic encryption
Ergebnis 295
NIST FIPS 180-4:2015-08
Deutsch: —
Englisch: Secure Hash Standard
Ergebnis 296
ISO/IEC 18370-1:2016-11
Deutsch: Informationstechnik - Sicherheitsverfahren - digitale blinde Signaturen - Teil 1: Allgemeines
Englisch: Information technology - Security techniques - Blind digital signatures - Part 1: General
Ergebnis 297
ISO/IEC 18370-2:2016-07
Deutsch: Informationstechnik - Sicherheitsverfahren - digitale blinde Signaturen - Teil 2: Mechanismen basierend auf diskreten Logarithmen
Englisch: Information technology - Security techniques - Blind digital signatures - Part 2: Discrete logarithm based mechanisms
Ergebnis 298
NIST FIPS 186-4:2013-07
Deutsch: —
Englisch: Digital Signature Standard (DSS)
Ergebnis 299
ISO/IEC TS 18661-5:2016-08
Deutsch: Informationstechnik - Programmiersprachen, ihre Umgebungen und Systemsoftware-Schnittstellen - Gleitkommaerweiterungen für C - Teil 5: Zusätzliche Attribute
Englisch: Information Technology - Programming languages, their environments, and system software interfaces - Floating-point extensions for C - Part 5: Supplementary attributes
Ergebnis 300
DIN ISO/IEC 19086-1:2018-01
Deutsch: Informationstechnik - Cloud Computing - Dienstgütevereinbarung (SLA) Rahmenwerk - Teil 1: Übersicht und Konzepte (ISO/IEC 19086-1:2016)
Englisch: Information technology - Cloud computing - Service level agreement (SLA) framework - Part 1: Overview and concepts (ISO/IEC 19086-1:2016)