RL 2016/1148/EU - NIS-Richtlinie - RICHTLINIE (EU) 2016/1148 DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 6. Juli 2016 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union
RL 2016/1148/EU - NIS-Richtlinie - RICHTLINIE (EU) 2016/1148 DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 6. Juli 2016 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union |
| Sektor | Energie |
|---|---|
| Branche | Elektrizität |
| Ebene | Transnational |
RICHTLINIE (EU) 2016/1148 DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 6. Juli 2016 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union
RL 2016/1148/EU
Alle, insbes. Art. 14-16https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A02016L1148-20160719
Artikel 14 Sicherheitsanforderungen und Meldung von Sicherheitsvorfällen(1) Die Mitgliedstaaten stellen sicher, dass die Betreiber wesentlicher Dienste geeignete und verhältnismäßige technische und organisatorische Maßnahmen ergreifen, um die Risiken für die Sicherheit der Netz- und Informationssysteme, die sie für ihre Tätigkeiten nutzen, zu bewältigen. Diese Maßnahmen müssen unter Berücksichtigung des Stands der Technik ein Sicherheitsniveau der Netz- und Informationssysteme gewährleisten, das dem bestehenden Risiko angemessen ist.
(2) Die Mitgliedstaaten stellen sicher, dass die Betreiber wesentlicher Dienste geeignete Maßnahmen ergreifen, um den Auswirkungen von Sicherheitsvorfällen, die die Sicherheit der von ihnen für die Bereitstellung dieser wesentlichen Dienste genutzten Netz- und Informationssysteme beeinträchtigen, vorzubeugen beziehungsweise diese so gering wie möglich zu halten, damit die Verfügbarkeit dieser Dienste gewährleistet wird.
(3) Die Mitgliedstaaten stellen sicher, dass die Betreiber wesentlicher Dienste der zuständigen Behörde oder dem CSIRT Sicherheitsvorfälle, die erhebliche Auswirkungen auf die Verfügbarkeit der von ihnen bereitgestellten wesentlichen Dienste haben, unverzüglich melden. Die Meldungen müssen die Informationen enthalten, die es der zuständigen Behörde oder dem CSIRT ermöglichen, zu bestimmen, ob der Sicherheitsvorfall grenzübergreifende Auswirkungen hat. Mit der Meldung wird keine höhere Haftung der meldenden Partei begründet.
(4) Zur Feststellung des Ausmaßes der Auswirkungen eines Sicherheitsvorfalls werden insbesondere folgende Parameter berücksichtigt:
a) Zahl der von der Unterbrechung der Erbringung des wensentlichen Dienstes betroffenen Nutzer;
b) Dauer des Sicherheitvorfalls:
c) geografische Ausbreitung in Bezug auf das von dem Sicherheitsvorfall betroffene Gebiet.
(5) Auf der Grundlage der in der Meldung durch den Betreiber wesentlicher Dienste bereitgestellten Informationen unterrichtet die zuständige Behörde oder das CSIRT den bzw. die anderen betroffenen Mitgliedstaaten, sofern der Vorfall erhebliche Auswirkungen auf die Verfügbarkeit wesentlicher Dienste in jenem Mitgliedstaat hat. Dabei wahrt die zuständige Behörde oder das CSIRT im Einklang mit dem Unionsrecht oder mit den dem Unionsrecht entsprechenden nationalen Rechtsvorschriften die Sicherheit und das wirtschaftliche Interesse des Betreibers wesentlicher Dienste sowie die Vertraulichkeit der in dessen Meldung bereitgestellten Informationen.
Wenn es nach den Umständen möglich ist, stellt die zuständige Behörde oder das CSIRT dem die Meldung erstattenden Betreiber wesentlicher Dienste einschlägige Informationen für die weitere Behandlung der Meldung, wie etwa Informationen, die für die wirksame Bewältigung des Sicherheitsvorfalls von Nutzen sein könnten, zur Verfügung.
Auf Ersuchen der zuständigen Behörde oder des CSIRT leitet die zentrale Anlaufstelle die in Unterabsatz 1 genannten Meldungen an die zentralen Anlaufstellen der anderen betroffenen Mitgliedstaaten weiter.
(6) Nach Anhörung des meldenden Betreibers wesentlicher Dienste können die zuständige Behörde oder das CSIRT die Öffentlichkeit über einzelne Sicherheitsvorfälle unterrichten, sofern die Sensibilisierung der Öffentlichkeit zur Verhütung von Sicherheitsvorfällen oder zur Bewältigung aktueller Sicherheitsvorfälle erforderlich ist.
(7) Die im Rahmen der Kooperationsgruppe gemeinsam handelnden zuständigen Behörden können Leitlinien zu den Umständen, unter denen die Betreiber wesentlicher Dienste Sicherheitsvorfälle melden müssen, ausarbeiten und annehmen; dies gilt auch für die Parameter zur Feststellung des Ausmaßes der Auswirkungen eines Sicherheitsvorfalls gemäß Absatz 4.
Artikel 15 Umsetzung und Durchsetzung
(1) Die Mitgliedstaaten stellen sicher, dass die zuständigen Behörden über die Befugnisse und Mittel verfügen, die erforderlich sind, um zu bewerten, ob die Betreiber wesentlicher Dienste ihren Pflichten nach Artikel 14 nachkommen und inwieweit sich dies auf die Sicherheit der Netz- und Informationssysteme auswirkt.
(2) Die Mitgliedstaaten stellen sicher, dass die zuständigen Behörden über die Befugnisse und Mittel verfügen, um von den Betreibern wesentlicher Dienste verlangen zu können, dass sie
a) die zur Bewertung der Sicherheit ihrer Netz- und Informationssysteme erforderlichen Informationen, einschließlich der dokumentierten Sichreheitsmaßnahmen, zur Verfürgung stellen;
b) Nachweise für die wirksame Umsetzung der Sicherheitsmaßnahmen zur Verfügung stellen, wie etwa die Ergebnisse einer von der zuständigen Behörde oder einem qualifizierten Prüfer durchgeführten Sicherheitsprüfung, und im letztgenannten Fall die Ergebnisse der Überprüfung einschließlich der zugrunde gelegten Nachweise der zuständigen Behörde zur Verfügung stellen.
Bei der Anforderung dieser Informationen oder Nachweise nennt die zuständige Behörde den Zweck und gibt an, welche Informationen verlangt werden.
(3) Im Anschluss an die Bewertung der in Absatz 2 genannten Informationen oder an die Ergebnisse der Sicherheitsüberprüfungen kann die zuständige Behörde den Betreibern wesentlicher Dienste verbindliche Anweisungen zur Abhilfe der festgestellten Mängel erteilen.
(4) Bei der Bearbeitung von Sicherheitsvorfällen, die zur Verletzung des Schutzes personenbezogener Daten führen, arbeitet die zuständige Behörde eng mit den Datenschutzbehörden zusammen.
Artikel 16 Sicherheitsanforderungen und Meldung von Sicherheitsvorfällen
(1) Die Mitgliedstaaten stellen sicher, dass die Anbieter digitaler Dienste geeignete und verhältnismäßige technische und organisatorische Maßnahmen ergreifen, um die Risiken für die Sicherheit der Netz- und Informationssysteme, die sie im Rahmen der Bereitstellung der in Anhang III aufgeführten Dienste innerhalb der Union nutzen, zu bewältigen. Diese Maßnahmen müssen unter Berücksichtigung des Stands der Technik ein Sicherheitsniveau der Netz- und Informationssysteme gewährleisten, das dem bestehenden Risiko angemessen ist, wobei Folgendem Rechnung getragen wird:
a) Sicherheit der Systeme und Anlagen,
b) Bewältigung von Sicherheitsvorfällen,
c) Business continuity management,
d) Überwachung, Überprüfung und Erprobung,
e) Einhaltung der internationalen normen.
(2) Die Mitgliedstaaten stellen sicher, dass die Anbieter digitaler Dienste Maßnahmen treffen, um den Auswirkungen von Sicherheitsvorfällen, die die Sicherheit ihrer Netze und Informationssysteme beeinträchtigen, auf die in Anhang III genannten, innerhalb der Union erbrachten Dienste vorzubeugen beziehungsweise diese so gering wie möglich zu halten, damit die Verfügbarkeit dieser Dienste gewährleistet wird.
(3) Die Mitgliedstaaten stellen sicher, dass die Anbieter digitaler Dienste der zuständigen Behörde oder dem CSIRT jeden Sicherheitsvorfall, der erhebliche Auswirkungen auf die Bereitstellung eines der in Anhang III genannten, von ihnen innerhalb der Union erbrachten Dienste hat, unverzüglich melden. Die Meldungen müssen die Informationen enthalten, die es der zuständigen Behörde oder dem CSIRT ermöglichen, das Ausmaß etwaiger grenzübergreifender Auswirkungen des Sicherheitsvorfalls festzustellen. Mit der Meldung wird keine höhere Haftung der meldenden Partei begründet.
(4) Zur Feststellung, ob die Auswirkungen eines Sicherheitsvorfalls erheblich sind, werden insbesondere folgende Parameter berücksichtigt:
a) die Zahl der von dem Sicherheitsvorfall betroffenen Nutzer, insbesonder der Nutzer, die den Dienst für die Bereitstellung ihrer eigenen Dienste benötigen;
b) Dauer des Sicherheitsvorfalls;
c) geografische Ausbreitung in Bezug auf des von dem Sicherheitsvorfall betroffene Gebiet;
d) Ausmaß der Unterbrechung der Bereitstellugn des Dienstes;
e) Ausmaß der Auswirkungen auf wirtschaftlichen und gesellschaftliche Tätigkeiten.
Die Pflicht zur Meldung eines Sicherheitsvorfalls gilt nur, wenn der Anbieter digitaler Dienste Zugang zu den Informationen hat, die benötigt werden, um die Auswirkung eines Sicherheitsvorfalls gemessen an den Parametern gemäß Unterabsatz 1 zu bewerten.
(5) Nimmt ein Betreiber wesentlicher Dienste für die Bereitstellung eines Dienstes, der für die Aufrechterhaltung kritischer gesellschaftlicher oder wirtschaftlicher Tätigkeiten von wesentlicher Bedeutung ist, die Dienste eines Dritten als Anbieter digitaler Dienste in Anspruch, so ist jede erhebliche Auswirkung auf die Verfügbarkeit der wesentlichen Dienste, die von einem den Anbieter digitaler Dienste beeinträchtigenden Sicherheitsvorfall verursacht wurde, von diesem Betreiber zu melden.
(6) Gegebenenfalls und insbesondere, wenn der in Absatz 3 genannte Sicherheitsvorfall zwei oder mehr Mitgliedstaaten betrifft, unterrichtet die zuständige Behörde oder das CSIRT, der bzw. dem die Meldung erstattet wurde, die anderen betroffenen Mitgliedstaaten. Dabei wahren die zuständigen Behörden, die CSIRTs und die zentralen Anlaufstellen im Einklang mit dem Unionsrecht oder mit den dem Unionsrecht entsprechenden nationalen Rechtsvorschriften die Sicherheit und das wirtschaftliche Interesse des Anbieters digitaler Dienste sowie die Vertraulichkeit der bereitgestellten Informationen.
(7) Nach Anhörung des betreffenden Anbieters digitaler Dienste können die zuständige Behörde oder das CSIRT, der bzw. dem die Meldung erstattet wurde, und gegebenenfalls die Behörden oder die CSIRTs anderer betroffener Mitgliedstaaten die Öffentlichkeit über einzelne Sicherheitsvorfälle unterrichten oder verlangen, dass der Anbieter digitaler Dienste dies unternimmt, sofern die Sensibilisierung der Öffentlichkeit zur Verhütung von Sicherheitsvorfällen oder zur Bewältigung aktueller Sicherheitsvorfälle erforderlich ist, oder wenn die Offenlegung des Sicherheitsvorfalls auf sonstige Weise im öffentlichen Interesse liegt.
(8) Die Kommission erlässt Durchführungsrechtsakte, um die in Absatz 1 genannten Elemente und die in Absatz 4 aufgeführten Parameter genauer zu bestimmen. Diese Durchführungsrechtsakte werden gemäß dem in Artikel 22 Absatz 2 genannten Prüfverfahren bis zum 9. August 2017 erlassen.
(9) Die Kommission kann Durchführungsrechtsakte zur Festlegung der Form und des Verfahrens, welche für Meldepflichten gelten, erlassen. Diese Durchführungsrechtsakte werden nach dem in Artikel 22 Absatz 2 genannten Prüfverfahren erlassen.
(10) Die Mitgliedstaaten erlegen unbeschadet des Artikels 1 Absatz 6 den Anbietern digitaler Dienste keine weiteren Sicherheits- oder Meldepflichten auf.
(11) Kapitel V gilt nicht für Kleinstunternehmen und kleine Unternehmen im Sinne der Empfehlung 2003/361/EG der Kommission (19).
- Albrecht/Höroldt, IT-Sicherheit 1/2013, 29 (Datenkonsistenz im Katastrophenfall)
- Baasner/Milovanovic/Schmelzer/ N&R 2012, 12 (intelligente Elektrizitätsversorgungsnetze)
- Bergt, CR 2014, 726 (Verschlüsselung nach dem Stand der Technik als rechtliche Verpflichtung)
- Bräutigam/Wilmer, ZRP 2015, 38 (Meldepflichten im IT-SiG)
- Dinter, ER 2015, 229 (geplantes Gesetz zur Digitalisierung der Energiewende, Smart Meter)
- Dorndorf/ Schneidereit, CR 2017, 21 (E-Signing von Verträgen mittels qualifizierter elektronischer Signatur nach eIDAS)
- Gaycken/Karger, MMR 2011, 3 (Entnetzung, IT-Sicherheit)
- Gehrmann/Klett, K&R 2017, 372 (Umsetzung des IT-SiG)
- Geis, K&R 2002, 59 (Singnaturverordnung)
- Gola, K&R 2017, 145 (Interpretation der DSGVO)
- Guckelberger, DVBl 2015, 1213 (Energieversorgung als kritische Infrastruktur, IT-SiG)
- Günnewicht, Reguliertes Informationsmanagement in der Elektrizitätswirtschaft, Baden-Baden 2015
- Karsten/Leonhardt, RDV 2016, 22 (intelligente Messsysteme, geplantes Gesetz zur Digitalisierung der Energiewende)
- Kermel/Dinter, RdE 2016, 158 (geplantes Gesetz zur Digitalisierung der Energiewende, datenschutzrechtl. Anforderungen an die Technik von Messsystemen)
- Kremer, CR 2017, 367 (Neues BDSG)
- Köhler, EnWZ 2015, 407 (IT-Sicherheit, vernetzte Energiewirtschaft)
- Leisterer/Schneider, K&R 2015, 681 (Staatliches Informationshandeln, IT-Sicherheit)
- Lotz/Wendler, CR 2016, 31 (TOM, Abdingbarkeit von § 9 BDSG für Betreiber von KRITIS)
- Mehrbrey/Schreibauer, MMR 2016, 75 (Ansprüche u. Haftungsrisiken von Unternehmen bei Cyberangriffen)
- Molzen, IT-Sicherheit 4/2012, 44 (Datensicherung in kleinen und mittelst. Unternehmen)
- Roßnagel, CR 2011, 23 (sicherer elektronischer Rechtsverkehr)
- Roßnagel, NJW 2014,3686 (Sichere elektronische Transaktionen)
- Schallbruch, CR 2017, 648 (IT-Sicherheit)
- Schreibauer/Spittka, ITRB 2015, 240 (IT-Sicherheitsgesetz, Anforderungen für Unternehmen)
- Sosna, CR 2014, 825-832 (eIDAS-Verordnung)
- Thomale, VersorgW 2015, 301 (IT-Sicherheitsgesetz, Auswirkungen für Energieversorger)
- Ulmer/Rath, CCZ 2016, 142 (DS-GVO)
- Weise/Brühl, CR 2015, 290 (Vorgaben für die IT-Sicherheit bei Stromu. Gasnetzbetreibern)
- Wiesemann, MMR 2011, 355 (IT-Recht, intelligente Stromzähler und Netze, Smart Meter, Smart Grids)
- de Wyl/Weise/Bartsch, VersorgW 2014, 180 (Energieversorgungsnetz als kritische Infrastruktur)
-
Ergebnis 41
IEC TS 62351-1:2007-05
Deutsch: —
Englisch: Power systems management and associated information exchange - Data and communications security - Part 1: Communication network and system security - Introduction to security issues
Ergebnis 42
IEC TR 62351-10:2012-10
Deutsch: Energiemanagementsysteme und zugehöriger Datenaustausch - IT Sicherheit für Daten und Kommunikation - Teil 10: Richtlinien für die IT-Sicherheitsarchitektur
Englisch: Power systems management and associated information exchange - Data and communications security - Part 10: Security architecture guidelines
Ergebnis 43
IEC TS 62351-100-1, CEI/TS 62351-100-1:2018-11
Deutsch: —
Englisch: Power systems management and associated information exchange - Data and communications security - Part 100-1: Conformance test cases for IEC TS 62351-5 and IEC TS 60870-5-7
Ergebnis 44
DIN IEC TS 62351-100-1, VDE V 0112-351-100-1:2020-02
Deutsch: Datenmodelle, Schnittstellen und Informationsaustausch für Planung und Betrieb von Energieversorgungsunternehmen - Daten- und Kommunikationssicherheit - Teil 100-1: Konformitätsprüffälle für IEC TS 62351-5 und IEC TS 60870-5-7 (IEC TS 62351-100-1:2018)
Englisch: Power systems management and associated information exchange - Data and communications security - Part 100-1: Conformance test cases for IEC TS 62351-5 and IEC TS 60870-5-7 (IEC TS 62351-100-1:2018)
Ergebnis 45
DIN EN 62351-11:2017-10
Deutsch: Energiemanagementsysteme und zugehöriger Datenaustausch - IT-Sicherheit für Daten und Kommunikation - Teil 11: Sicherheit für XML-Dateien (IEC 62351-11:2016); Englische Fassung EN 62351-11:2017
Englisch: Power systems management and associated information exchange - Data and communications security - Part 11: Security for XML documents (IEC 62351-11:2016); English version EN 62351-11:2017
Ergebnis 46
IEC TR 62351-12, CEI/TR 62351-12:2016-04
Deutsch: Management von Systemen der Energietechnik und zugehöriger Datenaustausch - Daten- und Kommunikationssicherheit - Teil 12: Widerstandsfähigkeits- und Sicherheitsempfehlungen für Cyber-physische Systeme von Energieanlagen mit dezentralen Energieerzeugern
Englisch: Power systems management and associated information exchange - Data and communications security - Part 12: Resilience and security recommendations for power systems with distributed energy resources (DER) cyber-physical systems
Ergebnis 47
IEC TR 62351-13, CEI/TR 62351-13:2016-08
Deutsch: —
Englisch: Power systems management and associated information exchange - Data and communications security - Part 13: Guidelines on security topics to be covered in standards and specifications
Ergebnis 48
IEC TS 62351-2, CEI 62351-2:2008-08
Deutsch: Energiemanagementsysteme und zugehöriger Datenaustausch - IT Sicherheit für Daten und Kommunikation - Teil 2: Wörterbuch
Englisch: Power systems management and associated information exchange - Data and communications security - Part 2: Glossary of terms
Ergebnis 49
DIN EN 62351-3 VDE 0112-351-3:2019-06
Deutsch: Management von Systemen der Energietechnik und zugehöriger Datenaustausch - Daten- und Kommunikationssicherheit - Teil 3: Sicherheit von Kommunikationsnetzen und Systemen - Profile einschließlich TCP/IP (IEC 62351-3:2014 + A1:2018); Deutsche Fassung EN 62351-3:2014 + A1:2018
Englisch: Power systems management and associated information exchange - Data and communications security - Part 3: Communication network and system security - Profiles including TCP/IP (IEC 62351-3:2014 + A1:2018); German version EN 62351-3:2014 + A1:2018
Ergebnis 50
DIN EN IEC 62351-4;VDE 0112-351-4:2020-04
Deutsch: Energiemanagementsysteme und zugehöriger Datenaustausch - IT-Sicherheit für Daten und Kommunikation - Teil 4: Profile einschließlich MMS und Ableitungen
Englisch: Power systems management and associated information exchange - Data and communication security - Part 4: Profiles including MMS