RL (EU) 2018/1972 - RICHTLINIE (EU) 2018/1972 DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 11. Dezember 2018 über den europäischen Kodex für die elektronische Kommunikation
RL (EU) 2018/1972 - RICHTLINIE (EU) 2018/1972 DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 11. Dezember 2018 über den europäischen Kodex für die elektronische Kommunikation |
| Sektor | Informationstechnik und Telekommunikation |
|---|---|
| Branche | Informationstechnik |
| Ebene | Transnational |
RICHTLINIE (EU) 2018/1972 DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 11. Dezember 2018 über den europäischen Kodex für die elektronische Kommunikation
Art. 40, 41
Artikel 40 Sicherheit von Netzen und Diensten
(1) Die Mitgliedstaaten stellen sicher, dass die Anbieter öffentlicher elektronischer Kommunikationsnetze oder öffentlich zugänglicher elektronischer Kommunikationsdienste angemessene und verhältnismäßige technische und organisatorische Maßnahmen zur angemessenen Beherrschung der Risiken für die Sicherheit von Netzen und Diensten ergreifen. Diese Maßnahmen müssen unter Berücksichtigung des Standes der Technik ein Sicherheitsniveau gewährleisten, das angesichts des bestehenden Risikos angemessen ist. Insbesondere sind Maßnahmen, einschließlich gegebenenfalls Verschlüsselung, zu ergreifen, um Auswirkungen von Sicherheitsvorfällen auf Nutzer und auf andere Netze und Dienste zu vermeiden und so gering wie möglich zu halten.
Die Agentur der Europäischen Union für Netz-und Informationssicherheit (im Folgenden „ENISA“) erleichtert im Einklang mit der Verordnung (EU) Nr. 526/2013 des Europäischen Parlaments und des Rates (45) die Koordinierung der Mitgliedstaaten, damit voneinander abweichende nationale Anforderungen, die Sicherheitsrisiken und Hindernisse für den Binnenmarkt mit sich bringen könnten, vermieden werden.
(2) Die Mitgliedstaaten stellen sicher, dass die Anbieter öffentlicher elektronischer Kommunikationsnetze oder öffentlich zugänglicher elektronischer Kommunikationsdienste der zuständigen Behörde einen Sicherheitsvorfall, der beträchtliche Auswirkungen auf den Betrieb der Netze oder die Bereitstellung der Dienste hatte, unverzüglich mitteilen.
Zur Feststellung des Ausmaßes der Auswirkungen eines Sicherheitsvorfalls werden — sofern verfügbar — insbesondere folgende Parameter berücksichtigt:
a) die Zahl der von dem Sicherheitsvorfall betroffenen Nutzer,
b) die Dauer des Sicherheitsvorfalls,
c) die geografische Ausdehnung des von dem Sicherheitsvorfall betroffenen Gebiets,
d) das Ausmaß der Beeinträchtigung des Netzes oder Dienstes,
e) das Ausmaß der Auswirkungen auf wirtschaftliche und gesellschaftliche Tätigkeiten.
Sofern angebracht, unterrichtet die betroffene zuständige Behörde die zuständigen Behörden der anderen Mitgliedstaaten und die ENISA. Die betroffene zuständige Behörde kann die Öffentlichkeit unterrichten oder die Anbieter zu dieser Unterrichtung verpflichten, wenn sie zu dem Schluss gelangt, dass die Bekanntgabe des Sicherheitsvorfalls im öffentlichen Interesse liegt.
Einmal pro Jahr legt die betroffene zuständige Behörde der Kommission und der ENISA einen zusammenfassenden Bericht über die eingegangenen Mitteilungen und die gemäß diesem Absatz ergriffenen Maßnahmen vor.
(3) Die Mitgliedstaaten stellen sicher, dass im Falle einer besonderen und erheblichen Gefahr eines Sicherheitsvorfalls in öffentlichen elektronischen Kommunikationsnetzen oder bei öffentlich zugänglichen elektronischen Kommunikationsdiensten, die Anbieter solcher Netze oder Dienste die von dieser Gefahr potenziell betroffenen Nutzer über alle möglichen Schutz- oder Abhilfemaßnahmen, die von den Nutzern ergriffen werden können, informieren. Die Anbieter informieren die Nutzer gegebenenfalls auch über die Gefahr selbst.
(4) Dieser Artikel lässt die Verordnung (EU) 2016/679 und die Richtlinie 2002/58/EG unberührt.
(5) Der Kommission kann unter weitestmöglich Berücksichtigung der Stellungnahme der ENISA Durchführungsrechtsakte erlassen, in denen die in Absatz 1 genannten technischen und organisatorischen Maßnahmen sowie die Umstände, die Form und die Verfahren in Bezug auf die Meldepflichten gemäß Absatz 2 genau dargelegt werden. Sie werden so weit wie möglich auf europäische und internationale Normen gestützt und hindern die Mitgliedstaaten nicht daran, zusätzliche Anforderungen festzulegen, um die in Absatz 1 dargelegten Ziele zu erreichen.
Diese Durchführungsrechtsakte werden gemäß dem in Artikel 118 Absatz 4 genannten Prüfverfahren erlassen.
Artikel 41 Anwendung und Durchsetzung
(1) Die Mitgliedstaaten stellen sicher, dass die zuständigen Behörden in Anwendung des Artikels 40 befugt sind, Anbietern öffentlicher elektronischer Kommunikationsnetze oder öffentlich zugänglicher elektronischer Kommunikationsdienste verbindliche Anweisungen zu erteilen, auch zu den Maßnahmen, die erforderlich sind, um einen Sicherheitsvorfall zu beheben oder, wenn eine erhebliche Gefahr festgestellt wurde, zu verhindern, und zu den Umsetzungsfristen.
(2) Die Mitgliedstaaten stellen sicher, dass die zuständigen Behörden befugt sind, Anbietern öffentlicher elektronischer Kommunikationsnetze oder öffentlich zugänglicher elektronischer Kommunikationsdienste vorzuschreiben, dass sie
a) die zur Beurteilung der Sicherheit ihrer Netze und Dienste erforderlichen Informationen, einschließlich der Unterlagen über ihre Sicherheitsmaßnahmen, übermitteln und
b) sich einer Sicherheitsüberprüfung unterziehen, die von einer qualifizierten unabhängigen Stelle oder einer zuständigen Behörde durchgeführt wird, und deren Ergebnisse der zuständigen Behörde übermitteln; die Kosten der Überprüfung trägt der betreffende Anbieter.
(3) Die Mitgliedstaaten stellen sicher, dass die zuständigen Behörden über alle erforderlichen Befugnisse verfügen, um Verstöße sowie deren Auswirkungen auf die Sicherheit der Netze und Dienste zu untersuchen.
(4) Die Mitgliedstaaten stellen sicher, dass die zuständigen Behörden zur Durchführung des Artikels 40 befugt sind, die Unterstützung eines gemäß Artikel 9 der Richtlinie (EU) 2016/1148 benannten Computer-Notfallteams (CSIRT) im Zusammenhang mit Fragen, die laut Anhang I Nummer 2 der genannten Richtlinie zu den Aufgaben der CSIRTs gehören, in Anspruch zu nehmen.
(5) Die zuständigen Behörden konsultieren gegebenenfalls und nach Maßgabe des nationalen Rechts die zuständigen nationalen Strafverfolgungsbehörden, die zuständigen Behörden im Sinne des Artikels 8 Absatz 1 der Richtlinie (EU) 2016/1148 und die nationalen Datenschutzbehörden.
- Albrecht/Höroldt, IT-Sicherheit 1/2013, 29 (Datenkonsistenz im Katastrophenfall)
- BT-Drs. 18/4096
- BT-Drs. 18/5121
- Bartels/Backer, DuD 2016, 22 (Telemedien, IT-Sicherheit, TOV)
- Becker/Nikolaeva, CR 2012, 170 (IT-Sicherheit und Datenschutz bei Cloud-Anbietern, US Patriot Act, transnationaler Datenverkehr)
- Bergt, CR 2014, 726 (Verschlüsselung nach dem Stand der Technik als rechtliche Verpflichtung
- Brandenburg/Leuthner, ZD 2015, 111 (Mobile Payment)
- Bräutigam/Wilmer, ZRP 2015, 38 (Meldepflichten im IT-SiG)
- Deusch/Eggendorfer, K&R 2015, 11 (Verschlüsselte Kommunikation in Unternehmen)
- Deutsch/Eggendorfer, K&R 2017, 93 (Fernmeldegeheimnis und Kommunikationstechnologien)
- Djeffal, MMR 2015, 716 (Telemediendiensteanbieter, Sicherungspflichten, IT-SiG)
- Dorndorf/ Schneidereit, CR 2017, 21-26 (E-Signing von Verträgen mittels qualifizierter elektronischer Signatur nach eIDAS)
- Eckhardt, DuD 2015, 176 (IT-Sicherheitsund Datenschutzanforderungen an Cloud-Computing-Dienste)
- Foitzick/Plankemann, CCZ 2015, 180 (Cloud Computing)
- Gaycken/Karger, MMR 2011, 3 (Entnetzung, IT-Sicherheit)
- Gehrmann/Klett, K&R 2017, 372 (Umsetzung des IT-SiG)
- Gerlach, CR 2015, 581 (Sicherheitsanforderrungen für Telemediendienste)
- Gliss, DSB 2010, 12 (Testdatenbanken)
- Gola, K&R 2017, 145 (Interpretation der DSGVO)
- Greveler/Reinermann, CCZ 2015, 274 (Informationssicherheit in KMU)
- Heidrich/Wegener, MMR 2015, 487 (Protokollierung von IT-Daten, Logging)
- Hellmich/Hufen, K&R 2015, 688 (Datenschutz bei Mobile Payment)
- Hornung: NJW 2015, 3334 (Neue Pflichten nach dem IT-SiG)
- Imping/Pohle, K&R 2012, 470 (Rechtliche Herausforderungen an BYOD)
- Inés, K&R 2017, 361 (Rechtsgrundlagen offenes WLAN)
- Iraschko-Luscher/Kiekenbeck, DuD 2012, 902 (IT-Sicherheit und Datenschutz bei Online-Zahlungsdiensten)
- Kremer, CR 2017, 367 (Neues BDSG)
- Krohm/Müller-Peltzer: ZD 2015, 409 (Identifizierung anonymer Internetnutzer, Kommunikationsfreiheit, Persönlichkeitsrechte)
- Leisterer, CR 2015, 665 (Pflichten zur Netzund Informationssicherheit, Datenverarbeitung zur Gefahrenabwehr)
- Leisterer/Schneider, K&R 2015, 681 (Staatliches Informationshandeln, IT-Sicherheit)
- Lotz/Wendler, CR 2016, 31 (TOM, Abdingbarkeit von § 9 BDSG für Betreiber von KRITIS)
- Matthiessen/Strigl, IT-Sicherheit 3/2012, 24 (Sicherer Datenaustausch in Clouds)
- Mehrbrey/Schreibauer, MMR 2016, 75 (Ansprüche u. Haftungsrisiken von Unternehmen bei Cyberangriffen)
- Molzen, IT-Sicherheit 4/2012, 44 (Datensicherung in kleinen und mittelst. Unternehmen)
- Müglich, CR 2009, 479 (Datenschutzrechtliche Anforderungen an die Vertragsgestaltung beim eShop-Hosting)
- Papendorf/Lepperhoff, DuD 2016, 107 (IT-Sicherheitsanforderungen gem. TMG)
- Rath/Kuss/Bach, K&R 2015, 437 (IT-SiG)
- Roßnagel, CR 2011, 23 (sicherer elektronischer Rechtsverkehr)
- Roßnagel, NJW 2011, 1473 (De-Mail)
- Roßnagel, NJW 2014,3686 (Sichere elektronische Transaktionen)
- Sachs/Meder, ZD 2013, 303 (Datenschutzrechtliche Anforderungen an App-Anbieter);
- Schallbruch, CR 2017, 648 (IT-Sicherheit)
- Schmidt, IT-Sicherheit 2/2012, 36 (Compliance in hybriden Clouds)
- Schneider, IT-Sicherheit 3/2012, 56 (Cloudsicherheit)
- Schneider, IT-Sicherheit, 2/2013, 23 (Auftragsdatenverarbeitung in der Cloud)
- Schürmann, DSB 2016, 32 (Anforderungen des IT-SiG im Bereich Web & App)
- Sosna, CR 2014, 825-832 (eIDAS-Verordnung)
- Ulmer/Rath, CCZ 2016, 142 (DS-GVO)
- Wicker, MMR 2014, 715 (Haftungsfragen der Cloud-Anbieter bei IT-Ausfällen und Datenschutzverletzungen)
- Wrede/Kirsch, ZD 2013, 433, (Identifizierungsmöglichkeiten bei De-Mail)
-
Ergebnis 391
ISO/IEC 29167-19:2019-06
Deutsch: Informationstechnik - Automatische Identifikation und Datenerfassungsverfahren - Teil 19: Luftschnittstelle für Sicherheitsdienste gemäß Kryptosuite RAMON
Englisch: Information technology - Automatic identification and data capture techniques - Part 19: Crypto suite RAMON security services for air interface communications
Ergebnis 392
ISO/IEC 29167-21:2018-10
Deutsch: Informationstechnik - Automatische Identifikation und Datenerfassungsverfahren - Teil 21: Luftschnittstelle für Sicherheitsdienste gemäß Kryptosuite SIMON
Englisch: Information technology - Automatic identification and data capture techniques - Part 21: Crypto suite SIMON security services for air interface communications
Ergebnis 393
ISO/IEC 29167-22:2018-11
Deutsch: Informationstechnik - Automatische Identifikation und Datenerfassungsverfahren - Teil 22: Luftschnittstelle für Sicherheitsdienste gemäß Kryptosuite SPECK
Englisch: Information technology - Automatic identification and data capture techniques - Part 22: Crypto suite SPECK security services for air interface communications
Ergebnis 394
ISO/IEC 29182-1:2013-06
Deutsch: Informationstechnik - Sensornetze: Referenz-Architektur für Sensornetze (SNRA) - Teil 1: Allgemeiner Überblick und Anforderungen
Englisch: Information technology - Sensor networks: Sensor Network Reference Architecture (SNRA) - Part 1: General overview and requirements
Ergebnis 395
ISO/IEC 29182-2:2013-06
Deutsch: Informationstechnik - Sensornetze: Referenz-Architektur für Sensornetze (SNRA) - Teil 2: Vokabular und Terminologie
Englisch: Information technology - Sensor networks: Sensor Network Reference Architecture (SNRA) - Part 2: Vocabulary and terminology
Ergebnis 396
ISO/IEC 29182-4:2013-07
Deutsch: Informationstechnik - Sensornetze: Referenz - Architektur für Sensornetze (SNRA) - Teil 4: Entitätsmodelle
Englisch: Information technology - Sensor networks: Sensor Network Reference Architecture (SNRA) - Part 4: Entity models
Ergebnis 397
ISO/IEC 29182-5:2013-08
Deutsch: Informationstechnik - Sensornetze: Referenz - Architektur für Sensornetze (SNRA) - Teil 5: Schnittstellendefinitionen
Englisch: Information technology - Sensor networks: Sensor Network Reference Architecture (SNRA) - Part 5: Interface definitions
Ergebnis 398
ISO/IEC 29182-7:2015-02
Deutsch: Informationstechnik - Sensornetze: Referenz-Architektur für Sensornetze (SNRA) - Teil 7: Richtlinien zur Interoperabilität
Englisch: Information technology - Sensor networks: Sensor Network Reference Architecture (SNRA) - Part 7: Interoperability guidelines
Ergebnis 399
ISO/IEC 29192-1:2012-06
Deutsch: Informationstechnik - Sicherheitsverfahren - Lightweight cryptography - Teil 1: Allgemeines
Englisch: Information technology - Security techniques - Lightweight cryptography - Part 1: General
Ergebnis 400
ISO/IEC 29192-2:2019-11
Deutsch: Informationstechnik - Sicherheitsverfahren - Lightweight cryptography - Teil 2: Blockziffern
Englisch: Information technology - Security techniques - Lightweight cryptography - Part 2: Block ciphers