Die steigende Komplexität und Häufigkeit von Cybersicherheitsvorfällen in der EU machen keinen Halt vor Ländergrenzen. Sie haben zunehmend das Potential die Sicherheit der EU zu gefährden und der EU-Wirtschaft nachhaltig zu schaden. Im Februar 2013 hat die Europäische Kommission (EK) eine Cybersicherheitsstrategie sowie ihren Vorschlag für eine Richtlinie über Maßnahmen zur Gewährleistung einer hohen gemeinsamen Netz- und Informationssicherheit in der Union (NIS Richtlinie) präsentiert.
Die Cybersicherheitsstrategie legt konkrete Maßnahmen zur Erhöhung der Widerstandsfähigkeit der Informationssysteme im Cyberraum, zur Eindämmung der Cyberkriminalität und zur Stärkung der internationalen Cybersicherheitspolitik und Cyberverteidigung der EU dar. Die NIS Richtlinie ist ein wichtiger Bestandteil der Gesamtstrategie um Cyberstörungen und Cyberangriffe zu verhindern und bewältigen zu können. Sowohl der Europäische Wirtschafts- und Sozialausschuss als auch der Ausschuss der Regionen hat dazu Stellung genommen. Das Europäische Parlament (EP) hat den Vorschlag in erster Lesung mit 138 Abänderungen im März 2014 angenommen. Um eine frühzeitige Einigung in zweiter Lesung zu erzielen, fanden von Oktober 2014 bis Dezember 2015 informelle Verhandlungen statt. Im Februar 2016 hat der Rat eine politische Einigung über den Kompromisstext der Richtlinie bestätigt und am 17. Mai 2016 seinen Standpunkt in erster Lesung angenommen. Am 13. Juni 2016 stimmte auch der EP-Ausschuss für Binnenmarkt und Verbraucherschutz (IMCO) dem Kompromisstext zu und die Vorsitzende des Ausschusses hat zugesichert dem Plenum zu empfehlen den Standpunkt des Rates ohne Abänderungen in zweiter Lesung des Parlaments zuzustimmen. Die Abstimmung ist für den 5. Juli 2016 im Plenum vorgesehen.
Die NIS Richtlinie beruht auf drei Säulen:
i) Stärkung der Kapazitäten der Mitgliedstaaten im Bereich der Cybersicherheit
ii) bessere Zusammenarbeit
iii) Sicherheitsanforderungen und Meldebestimmungen für Betreiber unerlässlicher Dienste und Anbieter digitaler Dienste
Die Mitgliedstaaten haben die primäre Pflicht eine nationale Strategie zu entwickeln, in der die strategischen Ziele und geeigneten Politik- und Regulierungsmaßnahmen festgelegt werden, mit denen ein hohes Sicherheitsniveau von Netzen und Informationssystemen erreicht wird. Weiters sollen die Mitgliedstaaten eine oder mehrere nationale Behörden für die Überwachung der Umsetzung der Richtlinie ernennen sowie eine nationale zentrale Anlaufstelle und Verbindungstelle für die grenzüberschreitende behördliche Zusammenarbeit bestimmen. Computer-Notfallteams (Computer Security Incident Response Teams – CSIRT), ebenfalls von den Mitgliedstaaten ernannt, sind für die Bewältigung von Sicherheitsvorfällen und Sicherheitsrisiken zuständig.
Gemäß dem Kompromisstext wird zur Unterstützung und Erleichterung der strategischen Zusammenarbeit zwischen den Mitgliedsstaaten eine Kooperationsgruppe eingesetzt. Sie besteht aus VertreterInnen der Mitgliedstaaten, der EK und der Agentur der Europäischen Union für Netz- und Informationssicherheit (ENISA). Sie hat spezifische Aufgaben wie etwa die Bereitstellung strategischer Leitlinien für die Tätigkeiten des CSIRTs-Netzwerks und dem Austausch bewährter Verfahren und Informationen über bestimmte Themenbereiche. Das CSIRT Netzwerk soll insbesondere das Vertrauen zwischen den Mitgliedstaaten stärken und so eine rasche und wirksame operative Zusammenarbeit fördern.
Die NIS-Richtlinie legt grundsätzlich bestimmte Verpflichtungen für zwei Arten von Markteilnehmern, nämlich die Betreiber wesentlicher Dienste und die Anbieter digitaler Dienste, fest. Betreiber wesentlicher Dienste sind öffentliche oder private Einrichtungen, die Dienste bereitstellen, die für die Aufrechterhaltung kritischer gesellschaftlicher und/oder wirtschaftlicher Tätigkeiten unerlässlich sind, dessen Bereitstellung von Netz- und Informationssystemen abhängig ist und in den Sektoren lt. Anhang II der Richtlinie tätig sind. Als digitale Dienste werden Online-Marktplätze, Online-Suchmaschinen und Cloud-Computing-Dienste gezählt und, ausgenommen Klein- und Kleinstunternehmen, müssen alle Anforderungen der Richtlinie erfüllen. Betreiber wesentlicher Dienste, sowie auch Anbieter digitaler Dienste, haben Sicherheitsvorfälle mit erheblichen Auswirkungen auf die Verfügbarkeit der von ihnen bereitgestellten Dienste der zuständigen Behörde oder dem CSIRT zu melden. Obwohl die Sicherheitsanforderungen und Meldepflichten für Anbieter digitaler Dienste geringer als für Betreiber wesentlicher Dienste sind, müssen beide Marktteilnehmer ausreichend organisatorische und technische Maßnahmen setzen, um die Risiken für die Sicherheit der Netz- und Informationssysteme vorzubeugen bzw. so gering wie möglich zu halten. Einrichtungen, die in keine der beiden Klassifizierungen fallen, steht es frei bestimmte Sicherheitsvorfälle auf freiwilliger Basis zu melden.
Die NIS-Richtlinie muss von den Mitgliedsstaaten spätestens 21 Monate nach ihrem Inkrafttreten umgesetzt werden und die Betreiber wesentlicher Dienste innerhalb von 27 Monaten nach ihrem Inkrafttreten, von den Mitgliedstaaten, ermittelt werden.