RL (EU) 2018/1972 - RICHTLINIE (EU) 2018/1972 DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 11. Dezember 2018 über den europäischen Kodex für die elektronische Kommunikation
RL (EU) 2018/1972 - RICHTLINIE (EU) 2018/1972 DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 11. Dezember 2018 über den europäischen Kodex für die elektronische Kommunikation |
| Sektor | Informationstechnik und Telekommunikation |
|---|---|
| Branche | Informationstechnik |
| Ebene | Transnational |
RICHTLINIE (EU) 2018/1972 DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 11. Dezember 2018 über den europäischen Kodex für die elektronische Kommunikation
Art. 40, 41
Artikel 40 Sicherheit von Netzen und Diensten
(1) Die Mitgliedstaaten stellen sicher, dass die Anbieter öffentlicher elektronischer Kommunikationsnetze oder öffentlich zugänglicher elektronischer Kommunikationsdienste angemessene und verhältnismäßige technische und organisatorische Maßnahmen zur angemessenen Beherrschung der Risiken für die Sicherheit von Netzen und Diensten ergreifen. Diese Maßnahmen müssen unter Berücksichtigung des Standes der Technik ein Sicherheitsniveau gewährleisten, das angesichts des bestehenden Risikos angemessen ist. Insbesondere sind Maßnahmen, einschließlich gegebenenfalls Verschlüsselung, zu ergreifen, um Auswirkungen von Sicherheitsvorfällen auf Nutzer und auf andere Netze und Dienste zu vermeiden und so gering wie möglich zu halten.
Die Agentur der Europäischen Union für Netz-und Informationssicherheit (im Folgenden „ENISA“) erleichtert im Einklang mit der Verordnung (EU) Nr. 526/2013 des Europäischen Parlaments und des Rates (45) die Koordinierung der Mitgliedstaaten, damit voneinander abweichende nationale Anforderungen, die Sicherheitsrisiken und Hindernisse für den Binnenmarkt mit sich bringen könnten, vermieden werden.
(2) Die Mitgliedstaaten stellen sicher, dass die Anbieter öffentlicher elektronischer Kommunikationsnetze oder öffentlich zugänglicher elektronischer Kommunikationsdienste der zuständigen Behörde einen Sicherheitsvorfall, der beträchtliche Auswirkungen auf den Betrieb der Netze oder die Bereitstellung der Dienste hatte, unverzüglich mitteilen.
Zur Feststellung des Ausmaßes der Auswirkungen eines Sicherheitsvorfalls werden — sofern verfügbar — insbesondere folgende Parameter berücksichtigt:
a) die Zahl der von dem Sicherheitsvorfall betroffenen Nutzer,
b) die Dauer des Sicherheitsvorfalls,
c) die geografische Ausdehnung des von dem Sicherheitsvorfall betroffenen Gebiets,
d) das Ausmaß der Beeinträchtigung des Netzes oder Dienstes,
e) das Ausmaß der Auswirkungen auf wirtschaftliche und gesellschaftliche Tätigkeiten.
Sofern angebracht, unterrichtet die betroffene zuständige Behörde die zuständigen Behörden der anderen Mitgliedstaaten und die ENISA. Die betroffene zuständige Behörde kann die Öffentlichkeit unterrichten oder die Anbieter zu dieser Unterrichtung verpflichten, wenn sie zu dem Schluss gelangt, dass die Bekanntgabe des Sicherheitsvorfalls im öffentlichen Interesse liegt.
Einmal pro Jahr legt die betroffene zuständige Behörde der Kommission und der ENISA einen zusammenfassenden Bericht über die eingegangenen Mitteilungen und die gemäß diesem Absatz ergriffenen Maßnahmen vor.
(3) Die Mitgliedstaaten stellen sicher, dass im Falle einer besonderen und erheblichen Gefahr eines Sicherheitsvorfalls in öffentlichen elektronischen Kommunikationsnetzen oder bei öffentlich zugänglichen elektronischen Kommunikationsdiensten, die Anbieter solcher Netze oder Dienste die von dieser Gefahr potenziell betroffenen Nutzer über alle möglichen Schutz- oder Abhilfemaßnahmen, die von den Nutzern ergriffen werden können, informieren. Die Anbieter informieren die Nutzer gegebenenfalls auch über die Gefahr selbst.
(4) Dieser Artikel lässt die Verordnung (EU) 2016/679 und die Richtlinie 2002/58/EG unberührt.
(5) Der Kommission kann unter weitestmöglich Berücksichtigung der Stellungnahme der ENISA Durchführungsrechtsakte erlassen, in denen die in Absatz 1 genannten technischen und organisatorischen Maßnahmen sowie die Umstände, die Form und die Verfahren in Bezug auf die Meldepflichten gemäß Absatz 2 genau dargelegt werden. Sie werden so weit wie möglich auf europäische und internationale Normen gestützt und hindern die Mitgliedstaaten nicht daran, zusätzliche Anforderungen festzulegen, um die in Absatz 1 dargelegten Ziele zu erreichen.
Diese Durchführungsrechtsakte werden gemäß dem in Artikel 118 Absatz 4 genannten Prüfverfahren erlassen.
Artikel 41 Anwendung und Durchsetzung
(1) Die Mitgliedstaaten stellen sicher, dass die zuständigen Behörden in Anwendung des Artikels 40 befugt sind, Anbietern öffentlicher elektronischer Kommunikationsnetze oder öffentlich zugänglicher elektronischer Kommunikationsdienste verbindliche Anweisungen zu erteilen, auch zu den Maßnahmen, die erforderlich sind, um einen Sicherheitsvorfall zu beheben oder, wenn eine erhebliche Gefahr festgestellt wurde, zu verhindern, und zu den Umsetzungsfristen.
(2) Die Mitgliedstaaten stellen sicher, dass die zuständigen Behörden befugt sind, Anbietern öffentlicher elektronischer Kommunikationsnetze oder öffentlich zugänglicher elektronischer Kommunikationsdienste vorzuschreiben, dass sie
a) die zur Beurteilung der Sicherheit ihrer Netze und Dienste erforderlichen Informationen, einschließlich der Unterlagen über ihre Sicherheitsmaßnahmen, übermitteln und
b) sich einer Sicherheitsüberprüfung unterziehen, die von einer qualifizierten unabhängigen Stelle oder einer zuständigen Behörde durchgeführt wird, und deren Ergebnisse der zuständigen Behörde übermitteln; die Kosten der Überprüfung trägt der betreffende Anbieter.
(3) Die Mitgliedstaaten stellen sicher, dass die zuständigen Behörden über alle erforderlichen Befugnisse verfügen, um Verstöße sowie deren Auswirkungen auf die Sicherheit der Netze und Dienste zu untersuchen.
(4) Die Mitgliedstaaten stellen sicher, dass die zuständigen Behörden zur Durchführung des Artikels 40 befugt sind, die Unterstützung eines gemäß Artikel 9 der Richtlinie (EU) 2016/1148 benannten Computer-Notfallteams (CSIRT) im Zusammenhang mit Fragen, die laut Anhang I Nummer 2 der genannten Richtlinie zu den Aufgaben der CSIRTs gehören, in Anspruch zu nehmen.
(5) Die zuständigen Behörden konsultieren gegebenenfalls und nach Maßgabe des nationalen Rechts die zuständigen nationalen Strafverfolgungsbehörden, die zuständigen Behörden im Sinne des Artikels 8 Absatz 1 der Richtlinie (EU) 2016/1148 und die nationalen Datenschutzbehörden.
- Albrecht/Höroldt, IT-Sicherheit 1/2013, 29 (Datenkonsistenz im Katastrophenfall)
- BT-Drs. 18/4096
- BT-Drs. 18/5121
- Bartels/Backer, DuD 2016, 22 (Telemedien, IT-Sicherheit, TOV)
- Becker/Nikolaeva, CR 2012, 170 (IT-Sicherheit und Datenschutz bei Cloud-Anbietern, US Patriot Act, transnationaler Datenverkehr)
- Bergt, CR 2014, 726 (Verschlüsselung nach dem Stand der Technik als rechtliche Verpflichtung
- Brandenburg/Leuthner, ZD 2015, 111 (Mobile Payment)
- Bräutigam/Wilmer, ZRP 2015, 38 (Meldepflichten im IT-SiG)
- Deusch/Eggendorfer, K&R 2015, 11 (Verschlüsselte Kommunikation in Unternehmen)
- Deutsch/Eggendorfer, K&R 2017, 93 (Fernmeldegeheimnis und Kommunikationstechnologien)
- Djeffal, MMR 2015, 716 (Telemediendiensteanbieter, Sicherungspflichten, IT-SiG)
- Dorndorf/ Schneidereit, CR 2017, 21-26 (E-Signing von Verträgen mittels qualifizierter elektronischer Signatur nach eIDAS)
- Eckhardt, DuD 2015, 176 (IT-Sicherheitsund Datenschutzanforderungen an Cloud-Computing-Dienste)
- Foitzick/Plankemann, CCZ 2015, 180 (Cloud Computing)
- Gaycken/Karger, MMR 2011, 3 (Entnetzung, IT-Sicherheit)
- Gehrmann/Klett, K&R 2017, 372 (Umsetzung des IT-SiG)
- Gerlach, CR 2015, 581 (Sicherheitsanforderrungen für Telemediendienste)
- Gliss, DSB 2010, 12 (Testdatenbanken)
- Gola, K&R 2017, 145 (Interpretation der DSGVO)
- Greveler/Reinermann, CCZ 2015, 274 (Informationssicherheit in KMU)
- Heidrich/Wegener, MMR 2015, 487 (Protokollierung von IT-Daten, Logging)
- Hellmich/Hufen, K&R 2015, 688 (Datenschutz bei Mobile Payment)
- Hornung: NJW 2015, 3334 (Neue Pflichten nach dem IT-SiG)
- Imping/Pohle, K&R 2012, 470 (Rechtliche Herausforderungen an BYOD)
- Inés, K&R 2017, 361 (Rechtsgrundlagen offenes WLAN)
- Iraschko-Luscher/Kiekenbeck, DuD 2012, 902 (IT-Sicherheit und Datenschutz bei Online-Zahlungsdiensten)
- Kremer, CR 2017, 367 (Neues BDSG)
- Krohm/Müller-Peltzer: ZD 2015, 409 (Identifizierung anonymer Internetnutzer, Kommunikationsfreiheit, Persönlichkeitsrechte)
- Leisterer, CR 2015, 665 (Pflichten zur Netzund Informationssicherheit, Datenverarbeitung zur Gefahrenabwehr)
- Leisterer/Schneider, K&R 2015, 681 (Staatliches Informationshandeln, IT-Sicherheit)
- Lotz/Wendler, CR 2016, 31 (TOM, Abdingbarkeit von § 9 BDSG für Betreiber von KRITIS)
- Matthiessen/Strigl, IT-Sicherheit 3/2012, 24 (Sicherer Datenaustausch in Clouds)
- Mehrbrey/Schreibauer, MMR 2016, 75 (Ansprüche u. Haftungsrisiken von Unternehmen bei Cyberangriffen)
- Molzen, IT-Sicherheit 4/2012, 44 (Datensicherung in kleinen und mittelst. Unternehmen)
- Müglich, CR 2009, 479 (Datenschutzrechtliche Anforderungen an die Vertragsgestaltung beim eShop-Hosting)
- Papendorf/Lepperhoff, DuD 2016, 107 (IT-Sicherheitsanforderungen gem. TMG)
- Rath/Kuss/Bach, K&R 2015, 437 (IT-SiG)
- Roßnagel, CR 2011, 23 (sicherer elektronischer Rechtsverkehr)
- Roßnagel, NJW 2011, 1473 (De-Mail)
- Roßnagel, NJW 2014,3686 (Sichere elektronische Transaktionen)
- Sachs/Meder, ZD 2013, 303 (Datenschutzrechtliche Anforderungen an App-Anbieter);
- Schallbruch, CR 2017, 648 (IT-Sicherheit)
- Schmidt, IT-Sicherheit 2/2012, 36 (Compliance in hybriden Clouds)
- Schneider, IT-Sicherheit 3/2012, 56 (Cloudsicherheit)
- Schneider, IT-Sicherheit, 2/2013, 23 (Auftragsdatenverarbeitung in der Cloud)
- Schürmann, DSB 2016, 32 (Anforderungen des IT-SiG im Bereich Web & App)
- Sosna, CR 2014, 825-832 (eIDAS-Verordnung)
- Ulmer/Rath, CCZ 2016, 142 (DS-GVO)
- Wicker, MMR 2014, 715 (Haftungsfragen der Cloud-Anbieter bei IT-Ausfällen und Datenschutzverletzungen)
- Wrede/Kirsch, ZD 2013, 433, (Identifizierungsmöglichkeiten bei De-Mail)
-
Ergebnis 421
DIN EN 419251-3:2013-06
Deutsch: Sicherheitsanforderungen für Geräte zur Authentisierung - Teil 3: Zusätzliche Funktionalitäten für Sicherheitsziele; Deutsche Fassung EN 419251-3:2013
Englisch: Security requirements for device for authentication - Part 3: Additional functionality for security targets; German version EN 419251-3:2013
Ergebnis 422
DIN CEN TS 419261, DIN SPEC 16586:2015-06
Deutsch: Sicherheitsanforderungen für vertrauenswürdige Systeme zur Verwaltung von Zertifikaten für elektronische Signaturen und Zeitstempel; Deutsche Fassung CEN/TS 419261:2015
Englisch: Security requirements for trustworthy systems managing certificates and time-stamps; German version CEN/TS 419261:2015
Ergebnis 423
IEC 60950-1:2005-12
Deutsch: Einrichtungen der Informationstechnik - Sicherheit - Teil 1: Allgemeine Anforderungen
Englisch: Information technology equipment - Safety - Part 1: General requirements
Ergebnis 424
DIN EN 60950-21:2003-12
Deutsch: Einrichtungen der Informationstechnik - Sicherheit - Teil 21: Fernspeisung (IEC 60950-21:2002); Deutsche Fassung EN 60950-21:2003
Englisch: Information technology equipment - Safety - Part 21: Remote power feeding (IEC 60950-21:2002); German version EN 60950-21:2003
Ergebnis 425
DIN EN 60950-22 VDE 0805-22:2017-10
Deutsch: Einrichtungen der Informationstechnik - Sicherheit - Teil 22: Einrichtungen für den Außenbereich (IEC 60950-22:2016); Deutsche Fassung EN 60950-22:2017
Englisch: Information technology equipment - Safety - Part 22: Equipment to be installed outdoors (IEC 60950-22:2016); German version EN 60950-22:2017
Ergebnis 426
DIN EN 60950-23 VDE 0805-23 :2006-09
Deutsch: Einrichtungen der Informationstechnik - Sicherheit - Teil 23: Große Einrichtungen zur Datenspeicherung (IEC 60950-23:2005); Deutsche Fassung EN 60950-23:2006
Englisch: Information technology equipment - Safety - Part 23: Large data storage equipment (IEC 60950-23:2005); German version EN 60950-23:2006
Ergebnis 427
DIN EN 62056-1-0 VDE 0418-6-1-0:2015-12
Deutsch: Datenkommunikation der elektrischen Energiemessung - DLMS/COSEM - Teil 1-0: Normungsrahmen für die intelligente Messung
Englisch: Electricity metering data exchange - The DLMS/COSEM suite - Part 1-0: Smart metering standardization framework
Ergebnis 428
DIN IEC TS 62351-100-1, VDE V 0112-351-100-1:2020-02
Deutsch: Datenmodelle, Schnittstellen und Informationsaustausch für Planung und Betrieb von Energieversorgungsunternehmen - Daten- und Kommunikationssicherheit - Teil 100-1: Konformitätsprüffälle für IEC TS 62351-5 und IEC TS 60870-5-7 (IEC TS 62351-100-1:2018)
Englisch: Power systems management and associated information exchange - Data and communications security - Part 100-1: Conformance test cases for IEC TS 62351-5 and IEC TS 60870-5-7 (IEC TS 62351-100-1:2018)
Ergebnis 429
DIN EN 62351-7, VDE 0112-351-7:2019-09
Deutsch: Datenmodelle, Schnittstellen und Informationsaustausch für Planung und Betrieb von Energieversorgungsunternehmen - Daten- und Kommunikationssicherheit - Teil 7: Datenobjektmodelle für Netzwerk- und Systemmanagement (NSM) (IEC 62351-7:2017); Deutsche Fassung EN 62351-7:2017
Englisch: Power systems management and associated information exchange - Data and communications security - Part 7: Network and System Management (NSM) data object models (IEC 62351-7:2017); German version EN 62351-7:2017
Ergebnis 430
IEC 62368-1:2018-10
Deutsch: Einrichtungen für Audio/Video, Informations- und Kommunikationstechnik - Teil 1: Sicherheitsanforderungen
Englisch: Audio/video, information and communication technology equipment - Part 1: Safety requirements