RL (EU) 2018/1972 - RICHTLINIE (EU) 2018/1972 DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 11. Dezember 2018 über den europäischen Kodex für die elektronische Kommunikation
RL (EU) 2018/1972 - RICHTLINIE (EU) 2018/1972 DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 11. Dezember 2018 über den europäischen Kodex für die elektronische Kommunikation |
| Sektor | Informationstechnik und Telekommunikation |
|---|---|
| Branche | Informationstechnik |
| Ebene | Transnational |
RICHTLINIE (EU) 2018/1972 DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 11. Dezember 2018 über den europäischen Kodex für die elektronische Kommunikation
Art. 40, 41
Artikel 40 Sicherheit von Netzen und Diensten
(1) Die Mitgliedstaaten stellen sicher, dass die Anbieter öffentlicher elektronischer Kommunikationsnetze oder öffentlich zugänglicher elektronischer Kommunikationsdienste angemessene und verhältnismäßige technische und organisatorische Maßnahmen zur angemessenen Beherrschung der Risiken für die Sicherheit von Netzen und Diensten ergreifen. Diese Maßnahmen müssen unter Berücksichtigung des Standes der Technik ein Sicherheitsniveau gewährleisten, das angesichts des bestehenden Risikos angemessen ist. Insbesondere sind Maßnahmen, einschließlich gegebenenfalls Verschlüsselung, zu ergreifen, um Auswirkungen von Sicherheitsvorfällen auf Nutzer und auf andere Netze und Dienste zu vermeiden und so gering wie möglich zu halten.
Die Agentur der Europäischen Union für Netz-und Informationssicherheit (im Folgenden „ENISA“) erleichtert im Einklang mit der Verordnung (EU) Nr. 526/2013 des Europäischen Parlaments und des Rates (45) die Koordinierung der Mitgliedstaaten, damit voneinander abweichende nationale Anforderungen, die Sicherheitsrisiken und Hindernisse für den Binnenmarkt mit sich bringen könnten, vermieden werden.
(2) Die Mitgliedstaaten stellen sicher, dass die Anbieter öffentlicher elektronischer Kommunikationsnetze oder öffentlich zugänglicher elektronischer Kommunikationsdienste der zuständigen Behörde einen Sicherheitsvorfall, der beträchtliche Auswirkungen auf den Betrieb der Netze oder die Bereitstellung der Dienste hatte, unverzüglich mitteilen.
Zur Feststellung des Ausmaßes der Auswirkungen eines Sicherheitsvorfalls werden — sofern verfügbar — insbesondere folgende Parameter berücksichtigt:
a) die Zahl der von dem Sicherheitsvorfall betroffenen Nutzer,
b) die Dauer des Sicherheitsvorfalls,
c) die geografische Ausdehnung des von dem Sicherheitsvorfall betroffenen Gebiets,
d) das Ausmaß der Beeinträchtigung des Netzes oder Dienstes,
e) das Ausmaß der Auswirkungen auf wirtschaftliche und gesellschaftliche Tätigkeiten.
Sofern angebracht, unterrichtet die betroffene zuständige Behörde die zuständigen Behörden der anderen Mitgliedstaaten und die ENISA. Die betroffene zuständige Behörde kann die Öffentlichkeit unterrichten oder die Anbieter zu dieser Unterrichtung verpflichten, wenn sie zu dem Schluss gelangt, dass die Bekanntgabe des Sicherheitsvorfalls im öffentlichen Interesse liegt.
Einmal pro Jahr legt die betroffene zuständige Behörde der Kommission und der ENISA einen zusammenfassenden Bericht über die eingegangenen Mitteilungen und die gemäß diesem Absatz ergriffenen Maßnahmen vor.
(3) Die Mitgliedstaaten stellen sicher, dass im Falle einer besonderen und erheblichen Gefahr eines Sicherheitsvorfalls in öffentlichen elektronischen Kommunikationsnetzen oder bei öffentlich zugänglichen elektronischen Kommunikationsdiensten, die Anbieter solcher Netze oder Dienste die von dieser Gefahr potenziell betroffenen Nutzer über alle möglichen Schutz- oder Abhilfemaßnahmen, die von den Nutzern ergriffen werden können, informieren. Die Anbieter informieren die Nutzer gegebenenfalls auch über die Gefahr selbst.
(4) Dieser Artikel lässt die Verordnung (EU) 2016/679 und die Richtlinie 2002/58/EG unberührt.
(5) Der Kommission kann unter weitestmöglich Berücksichtigung der Stellungnahme der ENISA Durchführungsrechtsakte erlassen, in denen die in Absatz 1 genannten technischen und organisatorischen Maßnahmen sowie die Umstände, die Form und die Verfahren in Bezug auf die Meldepflichten gemäß Absatz 2 genau dargelegt werden. Sie werden so weit wie möglich auf europäische und internationale Normen gestützt und hindern die Mitgliedstaaten nicht daran, zusätzliche Anforderungen festzulegen, um die in Absatz 1 dargelegten Ziele zu erreichen.
Diese Durchführungsrechtsakte werden gemäß dem in Artikel 118 Absatz 4 genannten Prüfverfahren erlassen.
Artikel 41 Anwendung und Durchsetzung
(1) Die Mitgliedstaaten stellen sicher, dass die zuständigen Behörden in Anwendung des Artikels 40 befugt sind, Anbietern öffentlicher elektronischer Kommunikationsnetze oder öffentlich zugänglicher elektronischer Kommunikationsdienste verbindliche Anweisungen zu erteilen, auch zu den Maßnahmen, die erforderlich sind, um einen Sicherheitsvorfall zu beheben oder, wenn eine erhebliche Gefahr festgestellt wurde, zu verhindern, und zu den Umsetzungsfristen.
(2) Die Mitgliedstaaten stellen sicher, dass die zuständigen Behörden befugt sind, Anbietern öffentlicher elektronischer Kommunikationsnetze oder öffentlich zugänglicher elektronischer Kommunikationsdienste vorzuschreiben, dass sie
a) die zur Beurteilung der Sicherheit ihrer Netze und Dienste erforderlichen Informationen, einschließlich der Unterlagen über ihre Sicherheitsmaßnahmen, übermitteln und
b) sich einer Sicherheitsüberprüfung unterziehen, die von einer qualifizierten unabhängigen Stelle oder einer zuständigen Behörde durchgeführt wird, und deren Ergebnisse der zuständigen Behörde übermitteln; die Kosten der Überprüfung trägt der betreffende Anbieter.
(3) Die Mitgliedstaaten stellen sicher, dass die zuständigen Behörden über alle erforderlichen Befugnisse verfügen, um Verstöße sowie deren Auswirkungen auf die Sicherheit der Netze und Dienste zu untersuchen.
(4) Die Mitgliedstaaten stellen sicher, dass die zuständigen Behörden zur Durchführung des Artikels 40 befugt sind, die Unterstützung eines gemäß Artikel 9 der Richtlinie (EU) 2016/1148 benannten Computer-Notfallteams (CSIRT) im Zusammenhang mit Fragen, die laut Anhang I Nummer 2 der genannten Richtlinie zu den Aufgaben der CSIRTs gehören, in Anspruch zu nehmen.
(5) Die zuständigen Behörden konsultieren gegebenenfalls und nach Maßgabe des nationalen Rechts die zuständigen nationalen Strafverfolgungsbehörden, die zuständigen Behörden im Sinne des Artikels 8 Absatz 1 der Richtlinie (EU) 2016/1148 und die nationalen Datenschutzbehörden.
- Albrecht/Höroldt, IT-Sicherheit 1/2013, 29 (Datenkonsistenz im Katastrophenfall)
- BT-Drs. 18/4096
- BT-Drs. 18/5121
- Bartels/Backer, DuD 2016, 22 (Telemedien, IT-Sicherheit, TOV)
- Becker/Nikolaeva, CR 2012, 170 (IT-Sicherheit und Datenschutz bei Cloud-Anbietern, US Patriot Act, transnationaler Datenverkehr)
- Bergt, CR 2014, 726 (Verschlüsselung nach dem Stand der Technik als rechtliche Verpflichtung
- Brandenburg/Leuthner, ZD 2015, 111 (Mobile Payment)
- Bräutigam/Wilmer, ZRP 2015, 38 (Meldepflichten im IT-SiG)
- Deusch/Eggendorfer, K&R 2015, 11 (Verschlüsselte Kommunikation in Unternehmen)
- Deutsch/Eggendorfer, K&R 2017, 93 (Fernmeldegeheimnis und Kommunikationstechnologien)
- Djeffal, MMR 2015, 716 (Telemediendiensteanbieter, Sicherungspflichten, IT-SiG)
- Dorndorf/ Schneidereit, CR 2017, 21-26 (E-Signing von Verträgen mittels qualifizierter elektronischer Signatur nach eIDAS)
- Eckhardt, DuD 2015, 176 (IT-Sicherheitsund Datenschutzanforderungen an Cloud-Computing-Dienste)
- Foitzick/Plankemann, CCZ 2015, 180 (Cloud Computing)
- Gaycken/Karger, MMR 2011, 3 (Entnetzung, IT-Sicherheit)
- Gehrmann/Klett, K&R 2017, 372 (Umsetzung des IT-SiG)
- Gerlach, CR 2015, 581 (Sicherheitsanforderrungen für Telemediendienste)
- Gliss, DSB 2010, 12 (Testdatenbanken)
- Gola, K&R 2017, 145 (Interpretation der DSGVO)
- Greveler/Reinermann, CCZ 2015, 274 (Informationssicherheit in KMU)
- Heidrich/Wegener, MMR 2015, 487 (Protokollierung von IT-Daten, Logging)
- Hellmich/Hufen, K&R 2015, 688 (Datenschutz bei Mobile Payment)
- Hornung: NJW 2015, 3334 (Neue Pflichten nach dem IT-SiG)
- Imping/Pohle, K&R 2012, 470 (Rechtliche Herausforderungen an BYOD)
- Inés, K&R 2017, 361 (Rechtsgrundlagen offenes WLAN)
- Iraschko-Luscher/Kiekenbeck, DuD 2012, 902 (IT-Sicherheit und Datenschutz bei Online-Zahlungsdiensten)
- Kremer, CR 2017, 367 (Neues BDSG)
- Krohm/Müller-Peltzer: ZD 2015, 409 (Identifizierung anonymer Internetnutzer, Kommunikationsfreiheit, Persönlichkeitsrechte)
- Leisterer, CR 2015, 665 (Pflichten zur Netzund Informationssicherheit, Datenverarbeitung zur Gefahrenabwehr)
- Leisterer/Schneider, K&R 2015, 681 (Staatliches Informationshandeln, IT-Sicherheit)
- Lotz/Wendler, CR 2016, 31 (TOM, Abdingbarkeit von § 9 BDSG für Betreiber von KRITIS)
- Matthiessen/Strigl, IT-Sicherheit 3/2012, 24 (Sicherer Datenaustausch in Clouds)
- Mehrbrey/Schreibauer, MMR 2016, 75 (Ansprüche u. Haftungsrisiken von Unternehmen bei Cyberangriffen)
- Molzen, IT-Sicherheit 4/2012, 44 (Datensicherung in kleinen und mittelst. Unternehmen)
- Müglich, CR 2009, 479 (Datenschutzrechtliche Anforderungen an die Vertragsgestaltung beim eShop-Hosting)
- Papendorf/Lepperhoff, DuD 2016, 107 (IT-Sicherheitsanforderungen gem. TMG)
- Rath/Kuss/Bach, K&R 2015, 437 (IT-SiG)
- Roßnagel, CR 2011, 23 (sicherer elektronischer Rechtsverkehr)
- Roßnagel, NJW 2011, 1473 (De-Mail)
- Roßnagel, NJW 2014,3686 (Sichere elektronische Transaktionen)
- Sachs/Meder, ZD 2013, 303 (Datenschutzrechtliche Anforderungen an App-Anbieter);
- Schallbruch, CR 2017, 648 (IT-Sicherheit)
- Schmidt, IT-Sicherheit 2/2012, 36 (Compliance in hybriden Clouds)
- Schneider, IT-Sicherheit 3/2012, 56 (Cloudsicherheit)
- Schneider, IT-Sicherheit, 2/2013, 23 (Auftragsdatenverarbeitung in der Cloud)
- Schürmann, DSB 2016, 32 (Anforderungen des IT-SiG im Bereich Web & App)
- Sosna, CR 2014, 825-832 (eIDAS-Verordnung)
- Ulmer/Rath, CCZ 2016, 142 (DS-GVO)
- Wicker, MMR 2014, 715 (Haftungsfragen der Cloud-Anbieter bei IT-Ausfällen und Datenschutzverletzungen)
- Wrede/Kirsch, ZD 2013, 433, (Identifizierungsmöglichkeiten bei De-Mail)
-
Ergebnis 291
ISO/IEC 18033-3:2010-12
Deutsch: Informationstechnik - IT Sicherheitsverfahren - Verschlüsselungsalgorithmen - Teil 3: Blockziffern
Englisch: Information technology - Security techniques - Encryption algorithms - Part 3: Block ciphers
Ergebnis 292
ISO/IEC 18033-4:2011-12
Deutsch: Informationstechnik - Sicherheitsverfahren - Verschlüsselungsalgorithmen - Teil 4: Stromchiffren
Englisch: Information technology - Security techniques - Encryption algorithms - Part 4: Stream ciphers
Ergebnis 293
ISO/IEC 18033-5:2015-12
Deutsch: Informationstechnik - Sicherheitsverfahren - Verschlüsselungsalgorithmen - Teil 5: Identitäsbasierte Chiffren
Englisch: Information technology - Security techniques - Encryption algorithms - Part 5: Identity-based ciphers
Ergebnis 294
ISO/IEC 18033-6:2019-05
Deutsch: Informationstechnik - Verschlüsselungsalgorithmen - Teil 6: Homomorphe Verschlüsselung
Englisch: IT Security techniques - Encryption algorithms - Part 6: Homomorphic encryption
Ergebnis 295
NIST FIPS 180-4:2015-08
Deutsch: —
Englisch: Secure Hash Standard
Ergebnis 296
ISO/IEC 18370-1:2016-11
Deutsch: Informationstechnik - Sicherheitsverfahren - digitale blinde Signaturen - Teil 1: Allgemeines
Englisch: Information technology - Security techniques - Blind digital signatures - Part 1: General
Ergebnis 297
ISO/IEC 18370-2:2016-07
Deutsch: Informationstechnik - Sicherheitsverfahren - digitale blinde Signaturen - Teil 2: Mechanismen basierend auf diskreten Logarithmen
Englisch: Information technology - Security techniques - Blind digital signatures - Part 2: Discrete logarithm based mechanisms
Ergebnis 298
NIST FIPS 186-4:2013-07
Deutsch: —
Englisch: Digital Signature Standard (DSS)
Ergebnis 299
ISO/IEC TS 18661-5:2016-08
Deutsch: Informationstechnik - Programmiersprachen, ihre Umgebungen und Systemsoftware-Schnittstellen - Gleitkommaerweiterungen für C - Teil 5: Zusätzliche Attribute
Englisch: Information Technology - Programming languages, their environments, and system software interfaces - Floating-point extensions for C - Part 5: Supplementary attributes
Ergebnis 300
DIN ISO/IEC 19086-1:2018-01
Deutsch: Informationstechnik - Cloud Computing - Dienstgütevereinbarung (SLA) Rahmenwerk - Teil 1: Übersicht und Konzepte (ISO/IEC 19086-1:2016)
Englisch: Information technology - Cloud computing - Service level agreement (SLA) framework - Part 1: Overview and concepts (ISO/IEC 19086-1:2016)