NIS-Richtlinie

Was ist die NIS-Richtlinie?

Die NIS-Richtlinie ist eine EU-Richtlinie, die 2016 verabschiedet wurde. Ziel der Richtlinie ist es, die IT-Sicherheit zu verbessern. Zeitgleich soll ein einheitlicher Sicherheitsstandard für die Netzwerksicherheit definiert und umgesetzt werden. Spätestens seit dem Mai 2018 sind Unternehmen innerhalb der EU verpflichtet die NIS Richtlinie umzusetzen. Der Zeitraum wurde bis zur verpflichtenden Umsetzung vor allem aus Rücksicht gegenüber den Unternehmen eingeräumt.

Gründe für die NIS-Richtlinie

Hackerangriffe, DDOS-Attacken und ähnliche Geschehnisse sind für die freie Wirtschaft ein Graus. Abgesehen davon können solche Angriffe auch die nationale Infrastruktur schwer schädigen, vielleicht sogar zerstören. Das weltweite Netz ist mittlerweile für so gut wie jeden Bürger innerhalb der EU verfügbar und aus dem Alltag der Menschen, sowie der Wirtschaft nicht mehr wegzudenken. Nach offiziellen Einschätzungen entstehen Schäden von bis zu 340 Milliarden Euro im Jahr durch illegale Aktivitäten im Internet, welche das Ziel einer Störung der betroffenen Adresse oder des Dienstes haben.

Dem versucht die EU mit der NIS-Richtlinie zu begegnen. Waren die Verhandlungen zu Anfang noch stark verzögert, wurde die Richtlinie 2016 endgültig verabschiedet. Nicht nur Unternehmen sind verpflichtet, die einzelnen Bestandteile erfolgreich umzusetzen und in ihre Systeme zu integrieren. Auch die Nationalstaaten innerhalb der EU müssen tätig werden. Das geschieht durch nationale Behörden, welche erweiterte Kompetenzen erhalten. In Deutschland ist das Bundesamt für Sicherheit der Informationstechnik (BSI) für solche Sachverhalte zuständig.

Was macht das BSI?

Das BSI wurde bereits 1991 gegründet und hat mittlerweile eine umfangreiche Aufgabenstellung zu bewältigen. Dazu gehören unter anderem folgende Aufgabenbereiche:

• Schutz der nationalen Infrastruktur und der Regierungsnetze
• Zertifizierung und Akkreditierung von IT-Produkten und Dienstleistungen
• Allgemeine Warnungen vor Schadprogrammen
• Sensibilisierung der Bürger für IT-Sicherheit
• Sicherheitsberatungen
• Entwicklung von Kryptosystemen

Vor allem die Sensibilisierung und die Sicherheitsberatungen spielen im Rahmen der Umsetzung der NIS-Richtlinie eine große Rolle und werden immer gefragter. Für die Wirtschaft, aber auch für die Bürger ist das BSI der erste Ansprechpartner bei Problemen, Angriffen und allgemeinen Fragen. Deutschland hat schon früh die Bedeutung des Internets erkannt und die Gründung des BSI sorgte für eine schnelle Reaktionsfähigkeit bei der Umsetzung der NIS-Richtlinie.

Welche Branchen sind betroffen, und wie muss reagiert werden?

Die Grundlage für die Arbeit des BSI bilden die Meldungen der freien Wirtschaft. Diese sind teilweise verpflichtet, Angriffe umgehend zu melden. Besonders kritische Branchen, und nationale Versorgungsstrukturen müssen hier sofort reagieren. Dazu gehören das Transportwesen, aber auch die Gesundheitsversorgung und das Finanz- und Versicherungswesen. Auch Kleinunternehmern müssen, sofern sie digitale Dienstleistungen anbieten, Angriffe an das BSI melden. So soll eine hohe Informationsdichte gewährleistet, und die Reaktionsfähigkeit verbessert werden. Um zu erfahren, ob das eigene Unternehmen zu der betroffenen kritischen Infrastruktur gehört, kann die Verordnung zur Bestimmung kritischer Infrastrukturen herangezogen werden.

FAQ