Managament , Fachartikel

Umsetzung der europäischen NIS-Richtlinie - Auswirkungen auf Betreiber Kritischer Infrastrukturen

Umsetzung der europäischen NIS-Richtlinie - Auswirkungen auf Betreiber Kritischer Infrastrukturen

Am 27. April wurde durch den Deutschen Bundestag das Gesetz zur Umsetzung der EU-Richtlinie 2016/1148 „Maßnahmen zur Gewährleistung einer hohen gemeinsamen Netz- und Informationssicherheit in der Union“ - kurz: NIS-RL beschlossen. Die Richtlinie (am 08. August 2016 in Kraft getretenen) stellt den Kern der Cybersicherheits-Strategie der EU dar. Die Vorgaben sind bis zum 09. Mai 2018 in nationales Recht umzusetzen, wobei die Umsetzung in deutsches Recht aufgrund der Analogie zum IT-Sicherheitsgesetz leicht fällt. In Zuge dessen wurden Anpassungen bzw. Erweiterungen u.a. am BSI-Gesetz (BSIG) und am Energiewirtschaftsgesetz (EnWG) vorgenommen. Der vorliegende Artikel stellt die wichtigsten Änderungen dar und kommentiert diese.

Mit dem Beschluss des Deutschen Bundestages zur Umsetzung der NIS-RL am 27. April 2017 in Zusammenhang mit dem Artikelgesetz zur „Erhöhung der Sicherheit informationstechnischer Systeme“ (IT-Sicherheitsgesetz) vom 17. Juli 2015 erfährt das BSI-Gesetz (BSIG) bedeutsame Veränderungen und erlangen das BSI und andere Behörden umfassendere Kompetenzen. Paragraf 5 Abs. 5 wurde erweitert, so dass das BSI künftig berechtigt ist, neben dem Bundesamt für Verfassungsschutz auch den Militärischen Abschirmdienst oder den Bundesnachrichtendienst im Falle eines kriminellen, terroristischen oder staatlichen Angriffs, welcher auf informationstechnischen Instrumenten basiert, zu informieren.

 

Eine Weitermeldung an zuständige Behörden eines anderen Mitgliedstaates der EU ist künftig möglich, wenn aufgetretene Störungen informationstechnischer Systeme erhebliche Auswirkungen auf diesen Mitgliedsstaat haben (§8b Abs. 2). 

 

Notbetrieb und Schadensbegrenzung bei betroffenen Systemen - Unterstützung durch das BSI

Der neu hinzu gekommene Paragraf 5a BSIG berechtigt das BSI, in herausgehobenen Fällen von Angriffen oder Beeinträchtigungen der Sicherheit informationstechnischer Systeme des Bundes oder auf Ersuchen eines Betreibers einer Kritischen Infrastruktur Maßnahmen zu treffen, um die Sicherheit oder Funktionstüchtigkeit des betroffenen Systems wiederherzustellen. Diese Erst-Unterstützung erfolgt kostenneutral. 

 

Zu diesem Zweck darf sich das BSI mit Einwilligung des Betreibers auch der Hilfe qualifizierter Dritter bedienen. Laut [3] handelt es sich dabei einerseits um sogenannte MIRTs („Mobile Incident Response Teams“) des BSI. Aufgabe dieser Teams, welche eine Art Task Force darstellen, sind die Sicherstellung des Notbetriebs und Maßnahmen zur Schadensbegrenzung. Sollten Dritte unterstützend hinzugezogen werden (allein oder in Ergänzung zum Einsatz der MIRTs), hat der Betreiber für die entstehenden Kosten aufzukommen.

 

Das BSI ist berechtigt, Hersteller bei der Wiederherstellung des betroffenen informationstechnischen Systems zur Mitwirkung zu verpflichten.

 

Als herausgehobene Fälle werden Angriffe von besonderer technischer Qualität bezeichnet sowie Situationen, in denen die zügige Wiederherstellung der Sicherheit oder Funktionsfähigkeit des betroffenen Systems von besonderem öffentlichem Interesse ist.

 

Datenerhebungsbefugnisse

Das BSI erhält künftig die Befugnis, im Rahmen der Arbeit in o.a. herausgehobenen Fällen personenbezogene oder dem Fernmeldegeheimnis unterliegende Daten zu erheben und zu verarbeiten. Eine Weitergabe der Daten an andere Behörden ist zulässig.

<< Erste < Vorherige 1 2 3 4 5 Nächste > Letzte >>

Diesen Artikel empfehlen

Autor: Rocco Gundlach

Auch populäre Websites bergen Risiken

Die Problematik beim Aufsuchen auch großer Portale liegt darin, dass diese eine Vielzahl von Scripts enthalten, die auf den Rechner geladen und ausgeführt werden. Für den Anwender nicht offensichtlich werden vielfältige Hintergrundaktivitäten ausgeführt, die kaum zu kontrollieren sind. Je höher die...

Warum ein DDoS Resiliency Score, und wie wird er verwendet?

Obgleich der großen Menge an Daten gibt es keine Messwertskala für die Bewertung und Bemessung der Stärken von Angriffen und der Fähigkeit, diesen zu widerstehen. Wie viele Organisationen können beispielsweise genau bewerten oder prognostizieren, welcher Art und welchem Umfang von...