RL (EU) 2018/1972 - RICHTLINIE (EU) 2018/1972 DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 11. Dezember 2018 über den europäischen Kodex für die elektronische Kommunikation
RL (EU) 2018/1972 - RICHTLINIE (EU) 2018/1972 DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 11. Dezember 2018 über den europäischen Kodex für die elektronische Kommunikation |
| Sektor | Informationstechnik und Telekommunikation |
|---|---|
| Branche | Informationstechnik |
| Ebene | Transnational |
RICHTLINIE (EU) 2018/1972 DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 11. Dezember 2018 über den europäischen Kodex für die elektronische Kommunikation
Art. 40, 41
Artikel 40 Sicherheit von Netzen und Diensten
(1) Die Mitgliedstaaten stellen sicher, dass die Anbieter öffentlicher elektronischer Kommunikationsnetze oder öffentlich zugänglicher elektronischer Kommunikationsdienste angemessene und verhältnismäßige technische und organisatorische Maßnahmen zur angemessenen Beherrschung der Risiken für die Sicherheit von Netzen und Diensten ergreifen. Diese Maßnahmen müssen unter Berücksichtigung des Standes der Technik ein Sicherheitsniveau gewährleisten, das angesichts des bestehenden Risikos angemessen ist. Insbesondere sind Maßnahmen, einschließlich gegebenenfalls Verschlüsselung, zu ergreifen, um Auswirkungen von Sicherheitsvorfällen auf Nutzer und auf andere Netze und Dienste zu vermeiden und so gering wie möglich zu halten.
Die Agentur der Europäischen Union für Netz-und Informationssicherheit (im Folgenden „ENISA“) erleichtert im Einklang mit der Verordnung (EU) Nr. 526/2013 des Europäischen Parlaments und des Rates (45) die Koordinierung der Mitgliedstaaten, damit voneinander abweichende nationale Anforderungen, die Sicherheitsrisiken und Hindernisse für den Binnenmarkt mit sich bringen könnten, vermieden werden.
(2) Die Mitgliedstaaten stellen sicher, dass die Anbieter öffentlicher elektronischer Kommunikationsnetze oder öffentlich zugänglicher elektronischer Kommunikationsdienste der zuständigen Behörde einen Sicherheitsvorfall, der beträchtliche Auswirkungen auf den Betrieb der Netze oder die Bereitstellung der Dienste hatte, unverzüglich mitteilen.
Zur Feststellung des Ausmaßes der Auswirkungen eines Sicherheitsvorfalls werden — sofern verfügbar — insbesondere folgende Parameter berücksichtigt:
a) die Zahl der von dem Sicherheitsvorfall betroffenen Nutzer,
b) die Dauer des Sicherheitsvorfalls,
c) die geografische Ausdehnung des von dem Sicherheitsvorfall betroffenen Gebiets,
d) das Ausmaß der Beeinträchtigung des Netzes oder Dienstes,
e) das Ausmaß der Auswirkungen auf wirtschaftliche und gesellschaftliche Tätigkeiten.
Sofern angebracht, unterrichtet die betroffene zuständige Behörde die zuständigen Behörden der anderen Mitgliedstaaten und die ENISA. Die betroffene zuständige Behörde kann die Öffentlichkeit unterrichten oder die Anbieter zu dieser Unterrichtung verpflichten, wenn sie zu dem Schluss gelangt, dass die Bekanntgabe des Sicherheitsvorfalls im öffentlichen Interesse liegt.
Einmal pro Jahr legt die betroffene zuständige Behörde der Kommission und der ENISA einen zusammenfassenden Bericht über die eingegangenen Mitteilungen und die gemäß diesem Absatz ergriffenen Maßnahmen vor.
(3) Die Mitgliedstaaten stellen sicher, dass im Falle einer besonderen und erheblichen Gefahr eines Sicherheitsvorfalls in öffentlichen elektronischen Kommunikationsnetzen oder bei öffentlich zugänglichen elektronischen Kommunikationsdiensten, die Anbieter solcher Netze oder Dienste die von dieser Gefahr potenziell betroffenen Nutzer über alle möglichen Schutz- oder Abhilfemaßnahmen, die von den Nutzern ergriffen werden können, informieren. Die Anbieter informieren die Nutzer gegebenenfalls auch über die Gefahr selbst.
(4) Dieser Artikel lässt die Verordnung (EU) 2016/679 und die Richtlinie 2002/58/EG unberührt.
(5) Der Kommission kann unter weitestmöglich Berücksichtigung der Stellungnahme der ENISA Durchführungsrechtsakte erlassen, in denen die in Absatz 1 genannten technischen und organisatorischen Maßnahmen sowie die Umstände, die Form und die Verfahren in Bezug auf die Meldepflichten gemäß Absatz 2 genau dargelegt werden. Sie werden so weit wie möglich auf europäische und internationale Normen gestützt und hindern die Mitgliedstaaten nicht daran, zusätzliche Anforderungen festzulegen, um die in Absatz 1 dargelegten Ziele zu erreichen.
Diese Durchführungsrechtsakte werden gemäß dem in Artikel 118 Absatz 4 genannten Prüfverfahren erlassen.
Artikel 41 Anwendung und Durchsetzung
(1) Die Mitgliedstaaten stellen sicher, dass die zuständigen Behörden in Anwendung des Artikels 40 befugt sind, Anbietern öffentlicher elektronischer Kommunikationsnetze oder öffentlich zugänglicher elektronischer Kommunikationsdienste verbindliche Anweisungen zu erteilen, auch zu den Maßnahmen, die erforderlich sind, um einen Sicherheitsvorfall zu beheben oder, wenn eine erhebliche Gefahr festgestellt wurde, zu verhindern, und zu den Umsetzungsfristen.
(2) Die Mitgliedstaaten stellen sicher, dass die zuständigen Behörden befugt sind, Anbietern öffentlicher elektronischer Kommunikationsnetze oder öffentlich zugänglicher elektronischer Kommunikationsdienste vorzuschreiben, dass sie
a) die zur Beurteilung der Sicherheit ihrer Netze und Dienste erforderlichen Informationen, einschließlich der Unterlagen über ihre Sicherheitsmaßnahmen, übermitteln und
b) sich einer Sicherheitsüberprüfung unterziehen, die von einer qualifizierten unabhängigen Stelle oder einer zuständigen Behörde durchgeführt wird, und deren Ergebnisse der zuständigen Behörde übermitteln; die Kosten der Überprüfung trägt der betreffende Anbieter.
(3) Die Mitgliedstaaten stellen sicher, dass die zuständigen Behörden über alle erforderlichen Befugnisse verfügen, um Verstöße sowie deren Auswirkungen auf die Sicherheit der Netze und Dienste zu untersuchen.
(4) Die Mitgliedstaaten stellen sicher, dass die zuständigen Behörden zur Durchführung des Artikels 40 befugt sind, die Unterstützung eines gemäß Artikel 9 der Richtlinie (EU) 2016/1148 benannten Computer-Notfallteams (CSIRT) im Zusammenhang mit Fragen, die laut Anhang I Nummer 2 der genannten Richtlinie zu den Aufgaben der CSIRTs gehören, in Anspruch zu nehmen.
(5) Die zuständigen Behörden konsultieren gegebenenfalls und nach Maßgabe des nationalen Rechts die zuständigen nationalen Strafverfolgungsbehörden, die zuständigen Behörden im Sinne des Artikels 8 Absatz 1 der Richtlinie (EU) 2016/1148 und die nationalen Datenschutzbehörden.
- Albrecht/Höroldt, IT-Sicherheit 1/2013, 29 (Datenkonsistenz im Katastrophenfall)
- BT-Drs. 18/4096
- BT-Drs. 18/5121
- Bartels/Backer, DuD 2016, 22 (Telemedien, IT-Sicherheit, TOV)
- Becker/Nikolaeva, CR 2012, 170 (IT-Sicherheit und Datenschutz bei Cloud-Anbietern, US Patriot Act, transnationaler Datenverkehr)
- Bergt, CR 2014, 726 (Verschlüsselung nach dem Stand der Technik als rechtliche Verpflichtung
- Brandenburg/Leuthner, ZD 2015, 111 (Mobile Payment)
- Bräutigam/Wilmer, ZRP 2015, 38 (Meldepflichten im IT-SiG)
- Deusch/Eggendorfer, K&R 2015, 11 (Verschlüsselte Kommunikation in Unternehmen)
- Deutsch/Eggendorfer, K&R 2017, 93 (Fernmeldegeheimnis und Kommunikationstechnologien)
- Djeffal, MMR 2015, 716 (Telemediendiensteanbieter, Sicherungspflichten, IT-SiG)
- Dorndorf/ Schneidereit, CR 2017, 21-26 (E-Signing von Verträgen mittels qualifizierter elektronischer Signatur nach eIDAS)
- Eckhardt, DuD 2015, 176 (IT-Sicherheitsund Datenschutzanforderungen an Cloud-Computing-Dienste)
- Foitzick/Plankemann, CCZ 2015, 180 (Cloud Computing)
- Gaycken/Karger, MMR 2011, 3 (Entnetzung, IT-Sicherheit)
- Gehrmann/Klett, K&R 2017, 372 (Umsetzung des IT-SiG)
- Gerlach, CR 2015, 581 (Sicherheitsanforderrungen für Telemediendienste)
- Gliss, DSB 2010, 12 (Testdatenbanken)
- Gola, K&R 2017, 145 (Interpretation der DSGVO)
- Greveler/Reinermann, CCZ 2015, 274 (Informationssicherheit in KMU)
- Heidrich/Wegener, MMR 2015, 487 (Protokollierung von IT-Daten, Logging)
- Hellmich/Hufen, K&R 2015, 688 (Datenschutz bei Mobile Payment)
- Hornung: NJW 2015, 3334 (Neue Pflichten nach dem IT-SiG)
- Imping/Pohle, K&R 2012, 470 (Rechtliche Herausforderungen an BYOD)
- Inés, K&R 2017, 361 (Rechtsgrundlagen offenes WLAN)
- Iraschko-Luscher/Kiekenbeck, DuD 2012, 902 (IT-Sicherheit und Datenschutz bei Online-Zahlungsdiensten)
- Kremer, CR 2017, 367 (Neues BDSG)
- Krohm/Müller-Peltzer: ZD 2015, 409 (Identifizierung anonymer Internetnutzer, Kommunikationsfreiheit, Persönlichkeitsrechte)
- Leisterer, CR 2015, 665 (Pflichten zur Netzund Informationssicherheit, Datenverarbeitung zur Gefahrenabwehr)
- Leisterer/Schneider, K&R 2015, 681 (Staatliches Informationshandeln, IT-Sicherheit)
- Lotz/Wendler, CR 2016, 31 (TOM, Abdingbarkeit von § 9 BDSG für Betreiber von KRITIS)
- Matthiessen/Strigl, IT-Sicherheit 3/2012, 24 (Sicherer Datenaustausch in Clouds)
- Mehrbrey/Schreibauer, MMR 2016, 75 (Ansprüche u. Haftungsrisiken von Unternehmen bei Cyberangriffen)
- Molzen, IT-Sicherheit 4/2012, 44 (Datensicherung in kleinen und mittelst. Unternehmen)
- Müglich, CR 2009, 479 (Datenschutzrechtliche Anforderungen an die Vertragsgestaltung beim eShop-Hosting)
- Papendorf/Lepperhoff, DuD 2016, 107 (IT-Sicherheitsanforderungen gem. TMG)
- Rath/Kuss/Bach, K&R 2015, 437 (IT-SiG)
- Roßnagel, CR 2011, 23 (sicherer elektronischer Rechtsverkehr)
- Roßnagel, NJW 2011, 1473 (De-Mail)
- Roßnagel, NJW 2014,3686 (Sichere elektronische Transaktionen)
- Sachs/Meder, ZD 2013, 303 (Datenschutzrechtliche Anforderungen an App-Anbieter);
- Schallbruch, CR 2017, 648 (IT-Sicherheit)
- Schmidt, IT-Sicherheit 2/2012, 36 (Compliance in hybriden Clouds)
- Schneider, IT-Sicherheit 3/2012, 56 (Cloudsicherheit)
- Schneider, IT-Sicherheit, 2/2013, 23 (Auftragsdatenverarbeitung in der Cloud)
- Schürmann, DSB 2016, 32 (Anforderungen des IT-SiG im Bereich Web & App)
- Sosna, CR 2014, 825-832 (eIDAS-Verordnung)
- Ulmer/Rath, CCZ 2016, 142 (DS-GVO)
- Wicker, MMR 2014, 715 (Haftungsfragen der Cloud-Anbieter bei IT-Ausfällen und Datenschutzverletzungen)
- Wrede/Kirsch, ZD 2013, 433, (Identifizierungsmöglichkeiten bei De-Mail)
-
Ergebnis 1
ECMA TR 46:1988-07
Deutsch: Sicherheit in offenen Systemen; ein Sicherheitsrahmen
Englisch: Security in open systems; a security framework
Ergebnis 2
NIST FIPS 199:2004-02
Deutsch: —
Englisch: Standards for Security Categorization of Federal Information and Information Systems
Ergebnis 3
NIST FIPS 200:2006-03
Deutsch: —
Englisch: Minimum Security Requirements for Federal Information and Information Systems
Ergebnis 4
NIST FIPS 202:2015-08
Deutsch: —
Englisch: SHA-3 Standard: Permutation-Based Hash and Extendable-Output Functions
Ergebnis 5
ECMA 206:1993-12
Deutsch: Verwaltung der Assoziationssrandbedingungen einschließlich der Sicherungsrandbedingungen
Englisch: Association context management including security context management
Ergebnis 6
ECMA 219:1996-03
Deutsch: Echtheit und privilegierte Attribute mit zugehörigen verteilten Schlüsselfunktionen für Datenschutzanwendungen - Teil 1: Übersicht und Funktionsmodell - Teil 2: Objekte der Datenschutz-Sicherheitseintragung - Teil 3: Bedienungsdefinition
Englisch: Authentication and privilege attribute security application with related key distribution functions - Part 1: Overview and functional model - Part 2: Security information objects - Part 3: Service definitions
Ergebnis 7
EmpfBS 1115:2019-03
Deutsch: Empfehlungen zur Betriebssicherheit - Umgang mit Risiken durch Angriffe auf die Cyber-Sicherheit von sicherheitsrelevanten MSR-Einrichtungen
Englisch: —
Ergebnis 8
ISO/IEC 2382:2015-05
Deutsch: Informationstechnologie - Vokabularien
Englisch: Information technology - Vocabulary
Ergebnis 9
DIN SPEC 3104:2019-04
Deutsch: Blockchain-basierte Datenvalidierung; Text Englisch
Englisch: Blockchain-based validation of data; Text in English
Ergebnis 10
VdS 3478:2015-07
Deutsch: VdS Cyber-Security - Brandschutz des 21. Jahrhunderts - Informationen zur VdS-Anerkennung als Berater für Cyber-Security
Englisch: —