RL (EU) 2018/1972 - RICHTLINIE (EU) 2018/1972 DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 11. Dezember 2018 über den europäischen Kodex für die elektronische Kommunikation
RL (EU) 2018/1972 - RICHTLINIE (EU) 2018/1972 DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 11. Dezember 2018 über den europäischen Kodex für die elektronische Kommunikation |
| Sektor | Informationstechnik und Telekommunikation |
|---|---|
| Branche | Informationstechnik |
| Ebene | Transnational |
RICHTLINIE (EU) 2018/1972 DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 11. Dezember 2018 über den europäischen Kodex für die elektronische Kommunikation
Art. 40, 41
Artikel 40 Sicherheit von Netzen und Diensten
(1) Die Mitgliedstaaten stellen sicher, dass die Anbieter öffentlicher elektronischer Kommunikationsnetze oder öffentlich zugänglicher elektronischer Kommunikationsdienste angemessene und verhältnismäßige technische und organisatorische Maßnahmen zur angemessenen Beherrschung der Risiken für die Sicherheit von Netzen und Diensten ergreifen. Diese Maßnahmen müssen unter Berücksichtigung des Standes der Technik ein Sicherheitsniveau gewährleisten, das angesichts des bestehenden Risikos angemessen ist. Insbesondere sind Maßnahmen, einschließlich gegebenenfalls Verschlüsselung, zu ergreifen, um Auswirkungen von Sicherheitsvorfällen auf Nutzer und auf andere Netze und Dienste zu vermeiden und so gering wie möglich zu halten.
Die Agentur der Europäischen Union für Netz-und Informationssicherheit (im Folgenden „ENISA“) erleichtert im Einklang mit der Verordnung (EU) Nr. 526/2013 des Europäischen Parlaments und des Rates (45) die Koordinierung der Mitgliedstaaten, damit voneinander abweichende nationale Anforderungen, die Sicherheitsrisiken und Hindernisse für den Binnenmarkt mit sich bringen könnten, vermieden werden.
(2) Die Mitgliedstaaten stellen sicher, dass die Anbieter öffentlicher elektronischer Kommunikationsnetze oder öffentlich zugänglicher elektronischer Kommunikationsdienste der zuständigen Behörde einen Sicherheitsvorfall, der beträchtliche Auswirkungen auf den Betrieb der Netze oder die Bereitstellung der Dienste hatte, unverzüglich mitteilen.
Zur Feststellung des Ausmaßes der Auswirkungen eines Sicherheitsvorfalls werden — sofern verfügbar — insbesondere folgende Parameter berücksichtigt:
a) die Zahl der von dem Sicherheitsvorfall betroffenen Nutzer,
b) die Dauer des Sicherheitsvorfalls,
c) die geografische Ausdehnung des von dem Sicherheitsvorfall betroffenen Gebiets,
d) das Ausmaß der Beeinträchtigung des Netzes oder Dienstes,
e) das Ausmaß der Auswirkungen auf wirtschaftliche und gesellschaftliche Tätigkeiten.
Sofern angebracht, unterrichtet die betroffene zuständige Behörde die zuständigen Behörden der anderen Mitgliedstaaten und die ENISA. Die betroffene zuständige Behörde kann die Öffentlichkeit unterrichten oder die Anbieter zu dieser Unterrichtung verpflichten, wenn sie zu dem Schluss gelangt, dass die Bekanntgabe des Sicherheitsvorfalls im öffentlichen Interesse liegt.
Einmal pro Jahr legt die betroffene zuständige Behörde der Kommission und der ENISA einen zusammenfassenden Bericht über die eingegangenen Mitteilungen und die gemäß diesem Absatz ergriffenen Maßnahmen vor.
(3) Die Mitgliedstaaten stellen sicher, dass im Falle einer besonderen und erheblichen Gefahr eines Sicherheitsvorfalls in öffentlichen elektronischen Kommunikationsnetzen oder bei öffentlich zugänglichen elektronischen Kommunikationsdiensten, die Anbieter solcher Netze oder Dienste die von dieser Gefahr potenziell betroffenen Nutzer über alle möglichen Schutz- oder Abhilfemaßnahmen, die von den Nutzern ergriffen werden können, informieren. Die Anbieter informieren die Nutzer gegebenenfalls auch über die Gefahr selbst.
(4) Dieser Artikel lässt die Verordnung (EU) 2016/679 und die Richtlinie 2002/58/EG unberührt.
(5) Der Kommission kann unter weitestmöglich Berücksichtigung der Stellungnahme der ENISA Durchführungsrechtsakte erlassen, in denen die in Absatz 1 genannten technischen und organisatorischen Maßnahmen sowie die Umstände, die Form und die Verfahren in Bezug auf die Meldepflichten gemäß Absatz 2 genau dargelegt werden. Sie werden so weit wie möglich auf europäische und internationale Normen gestützt und hindern die Mitgliedstaaten nicht daran, zusätzliche Anforderungen festzulegen, um die in Absatz 1 dargelegten Ziele zu erreichen.
Diese Durchführungsrechtsakte werden gemäß dem in Artikel 118 Absatz 4 genannten Prüfverfahren erlassen.
Artikel 41 Anwendung und Durchsetzung
(1) Die Mitgliedstaaten stellen sicher, dass die zuständigen Behörden in Anwendung des Artikels 40 befugt sind, Anbietern öffentlicher elektronischer Kommunikationsnetze oder öffentlich zugänglicher elektronischer Kommunikationsdienste verbindliche Anweisungen zu erteilen, auch zu den Maßnahmen, die erforderlich sind, um einen Sicherheitsvorfall zu beheben oder, wenn eine erhebliche Gefahr festgestellt wurde, zu verhindern, und zu den Umsetzungsfristen.
(2) Die Mitgliedstaaten stellen sicher, dass die zuständigen Behörden befugt sind, Anbietern öffentlicher elektronischer Kommunikationsnetze oder öffentlich zugänglicher elektronischer Kommunikationsdienste vorzuschreiben, dass sie
a) die zur Beurteilung der Sicherheit ihrer Netze und Dienste erforderlichen Informationen, einschließlich der Unterlagen über ihre Sicherheitsmaßnahmen, übermitteln und
b) sich einer Sicherheitsüberprüfung unterziehen, die von einer qualifizierten unabhängigen Stelle oder einer zuständigen Behörde durchgeführt wird, und deren Ergebnisse der zuständigen Behörde übermitteln; die Kosten der Überprüfung trägt der betreffende Anbieter.
(3) Die Mitgliedstaaten stellen sicher, dass die zuständigen Behörden über alle erforderlichen Befugnisse verfügen, um Verstöße sowie deren Auswirkungen auf die Sicherheit der Netze und Dienste zu untersuchen.
(4) Die Mitgliedstaaten stellen sicher, dass die zuständigen Behörden zur Durchführung des Artikels 40 befugt sind, die Unterstützung eines gemäß Artikel 9 der Richtlinie (EU) 2016/1148 benannten Computer-Notfallteams (CSIRT) im Zusammenhang mit Fragen, die laut Anhang I Nummer 2 der genannten Richtlinie zu den Aufgaben der CSIRTs gehören, in Anspruch zu nehmen.
(5) Die zuständigen Behörden konsultieren gegebenenfalls und nach Maßgabe des nationalen Rechts die zuständigen nationalen Strafverfolgungsbehörden, die zuständigen Behörden im Sinne des Artikels 8 Absatz 1 der Richtlinie (EU) 2016/1148 und die nationalen Datenschutzbehörden.
- Albrecht/Höroldt, IT-Sicherheit 1/2013, 29 (Datenkonsistenz im Katastrophenfall)
- BT-Drs. 18/4096
- BT-Drs. 18/5121
- Bartels/Backer, DuD 2016, 22 (Telemedien, IT-Sicherheit, TOV)
- Becker/Nikolaeva, CR 2012, 170 (IT-Sicherheit und Datenschutz bei Cloud-Anbietern, US Patriot Act, transnationaler Datenverkehr)
- Bergt, CR 2014, 726 (Verschlüsselung nach dem Stand der Technik als rechtliche Verpflichtung
- Brandenburg/Leuthner, ZD 2015, 111 (Mobile Payment)
- Bräutigam/Wilmer, ZRP 2015, 38 (Meldepflichten im IT-SiG)
- Deusch/Eggendorfer, K&R 2015, 11 (Verschlüsselte Kommunikation in Unternehmen)
- Deutsch/Eggendorfer, K&R 2017, 93 (Fernmeldegeheimnis und Kommunikationstechnologien)
- Djeffal, MMR 2015, 716 (Telemediendiensteanbieter, Sicherungspflichten, IT-SiG)
- Dorndorf/ Schneidereit, CR 2017, 21-26 (E-Signing von Verträgen mittels qualifizierter elektronischer Signatur nach eIDAS)
- Eckhardt, DuD 2015, 176 (IT-Sicherheitsund Datenschutzanforderungen an Cloud-Computing-Dienste)
- Foitzick/Plankemann, CCZ 2015, 180 (Cloud Computing)
- Gaycken/Karger, MMR 2011, 3 (Entnetzung, IT-Sicherheit)
- Gehrmann/Klett, K&R 2017, 372 (Umsetzung des IT-SiG)
- Gerlach, CR 2015, 581 (Sicherheitsanforderrungen für Telemediendienste)
- Gliss, DSB 2010, 12 (Testdatenbanken)
- Gola, K&R 2017, 145 (Interpretation der DSGVO)
- Greveler/Reinermann, CCZ 2015, 274 (Informationssicherheit in KMU)
- Heidrich/Wegener, MMR 2015, 487 (Protokollierung von IT-Daten, Logging)
- Hellmich/Hufen, K&R 2015, 688 (Datenschutz bei Mobile Payment)
- Hornung: NJW 2015, 3334 (Neue Pflichten nach dem IT-SiG)
- Imping/Pohle, K&R 2012, 470 (Rechtliche Herausforderungen an BYOD)
- Inés, K&R 2017, 361 (Rechtsgrundlagen offenes WLAN)
- Iraschko-Luscher/Kiekenbeck, DuD 2012, 902 (IT-Sicherheit und Datenschutz bei Online-Zahlungsdiensten)
- Kremer, CR 2017, 367 (Neues BDSG)
- Krohm/Müller-Peltzer: ZD 2015, 409 (Identifizierung anonymer Internetnutzer, Kommunikationsfreiheit, Persönlichkeitsrechte)
- Leisterer, CR 2015, 665 (Pflichten zur Netzund Informationssicherheit, Datenverarbeitung zur Gefahrenabwehr)
- Leisterer/Schneider, K&R 2015, 681 (Staatliches Informationshandeln, IT-Sicherheit)
- Lotz/Wendler, CR 2016, 31 (TOM, Abdingbarkeit von § 9 BDSG für Betreiber von KRITIS)
- Matthiessen/Strigl, IT-Sicherheit 3/2012, 24 (Sicherer Datenaustausch in Clouds)
- Mehrbrey/Schreibauer, MMR 2016, 75 (Ansprüche u. Haftungsrisiken von Unternehmen bei Cyberangriffen)
- Molzen, IT-Sicherheit 4/2012, 44 (Datensicherung in kleinen und mittelst. Unternehmen)
- Müglich, CR 2009, 479 (Datenschutzrechtliche Anforderungen an die Vertragsgestaltung beim eShop-Hosting)
- Papendorf/Lepperhoff, DuD 2016, 107 (IT-Sicherheitsanforderungen gem. TMG)
- Rath/Kuss/Bach, K&R 2015, 437 (IT-SiG)
- Roßnagel, CR 2011, 23 (sicherer elektronischer Rechtsverkehr)
- Roßnagel, NJW 2011, 1473 (De-Mail)
- Roßnagel, NJW 2014,3686 (Sichere elektronische Transaktionen)
- Sachs/Meder, ZD 2013, 303 (Datenschutzrechtliche Anforderungen an App-Anbieter);
- Schallbruch, CR 2017, 648 (IT-Sicherheit)
- Schmidt, IT-Sicherheit 2/2012, 36 (Compliance in hybriden Clouds)
- Schneider, IT-Sicherheit 3/2012, 56 (Cloudsicherheit)
- Schneider, IT-Sicherheit, 2/2013, 23 (Auftragsdatenverarbeitung in der Cloud)
- Schürmann, DSB 2016, 32 (Anforderungen des IT-SiG im Bereich Web & App)
- Sosna, CR 2014, 825-832 (eIDAS-Verordnung)
- Ulmer/Rath, CCZ 2016, 142 (DS-GVO)
- Wicker, MMR 2014, 715 (Haftungsfragen der Cloud-Anbieter bei IT-Ausfällen und Datenschutzverletzungen)
- Wrede/Kirsch, ZD 2013, 433, (Identifizierungsmöglichkeiten bei De-Mail)
-
Ergebnis 431
DAkkS 71SD2016:2018-01
Deutsch: Beschlüsse des SK IT-IS-DS - Informationstechnik, -Sicherheit und Datenschutz
Englisch: —
Ergebnis 432
DAkkS 71SD2017:2018-04
Deutsch: Akkreditierungsanforderungen für Konformitätsbewertungsstellen im Bereich der Funktionalen Sicherheit von elektrischen, elektronischen und programmierbaren Systemen (kurz: FuSi)
Englisch: —
Ergebnis 433
DAkkS 71SD2019:2018-03
Deutsch: Akkreditierungsanforderungen für Konformitätsbewertungsstellen im Bereich der Informationssicherheit/Cyber-Security für industrielle Automatisierungssysteme gemäß IEC 62443; Revision 1.0
Englisch: —
Ergebnis 434
ISO/IEC 9796-2:2010-12
Deutsch: Informationstechnik - IT-Sicherheitsverfahren - Digitale Signaturschemata welche die Nachricht wieder herstellen - Teil 2: Mechanismen basierend auf Integer Faktorisierung
Englisch: Information technology - Security techniques - Digital signature schemes giving message recovery - Part 2: Integer factorization based mechanisms
Ergebnis 435
ISO/IEC 9796-3:2006-09
Deutsch: Informationstechnik - IT-Sicherheitsverfahren - Digitale Signaturschemata welche die Nachricht wieder herstellen - Teil 3: Mechanismen basierend auf diskreten Logarithmen
Englisch: Information technology - Security techniques - Digital signature schemes giving message recovery - Part 3: Discrete logarithm based mechanisms
Ergebnis 436
ISO/IEC 9797-1:2011-03
Deutsch: Informationstechnik - IT-Sicherheitsverfahren - Message Authentication Codes (MACs) - Teil 1: Mechanismen die eine Blockchiffre verwenden
Englisch: Information technology - Security techniques - Message Authentication Codes (MACs) - Part 1: Mechanisms using a block cipher
Ergebnis 437
ISO/IEC 9797-2:2011-05
Deutsch: Informationstechnik - IT-Sicherheitsverfahren - Message Authentication Codes (MACs) - Teil 2: Mechanismen die eine dedizierte Hash Funktion verwenden
Englisch: Information technology - Security techniques - Message Authentication Codes (MACs) - Part 2: Mechanisms using a dedicated hash-function
Ergebnis 438
ISO/IEC 9797-3:2011-11
Deutsch: Informationstechnik - IT-Sicherheitsverfahren - Message Authentication Codes (MACs) - Teil 3: Mechanismen die eine universelle Hash Funktion verwenden
Englisch: Information technology - Security techniques - Message Authentication Codes (MACs) - Part 3: Mechanisms using a universal hash-function
Ergebnis 439
ISO/IEC 9798-1:2010-07
Deutsch: Informationstechnik - IT Sicherheitsverfahren - Authentifikation von Instanzen - Teil 1: Allgemeines Modell
Englisch: Information technology - Security techniques - Entity authentication - Part 1: General
Ergebnis 440
ISO/IEC 9798-2:2019-06
Deutsch: Informationstechnik - IT-Sicherheitsverfahren - Authentifikation von Instanzen - Teil 2: Mechanismen auf Basis von Verschlüsselungsalgorithmen
Englisch: Information technology - Security techniques - Entity authentication - Part 2: Mechanisms using symmetric encipherment algorithms