Auf europäischer Gesetzgebungsebene war in den vergangen zwei Jahren ein Richtlinienentwurf zur Netzwerk- und Informationssicherheit erörtert und diskutiert worden. Vor einigen Tagen haben sich der EU-Rat und das Europaparlament auf eine – von den Mitgliedsstaaten noch umzusetzende – Richtlinie geeinigt.
Nach Angaben auf dem Portal heise.de soll mittels dieser Richtlinie die IT bei Betreibern kritischer Infrastrukturen und bei großen Online-Dienstleistern sicherer gemacht werden. Diese Unternehmen sollen hierdurch verpflichtet werden, Sicherheits- und Datenschutzpannen sowie IT-Angriffe zu melden. Ferner sollen diese Unternehmen ihre Systeme auf mögliche Lücken überprüfen und ggf. Vorsorgemaßnahmen treffen müssen.
Nach den unserem Verband derzeit vorliegenden Informationen sollen diese Pflichten Betreiber und Anbieter „essentieller Dienste“ treffen. Die Pflichtangaben sollen daher unter anderem von Online-Marktplätzen wie eBay oder Amazon oder Suchmaschinen, z.B. Google, erfüllt werden müssen. Für Kleinunternehmen sollen jedoch die Pflichtangaben nicht gelten. Wie genau diese Regelungen aussehen werden und wer genau von diesen Regelungen betroffen sein wird, wird sich in den nächsten Wochen herausstellen. Hiernach müssen die Mitgliedstaaten die Vorgaben dieser Richtlinien noch in nationales Recht umsetzen. Erst nach Verkünden des deutschen Umsetzungsgesetzes gelten diese Vorschriften auch in Deutschland. Zum gegenwärtigen Zeitpunkt sind damit keine Maßnahmen zu ergreifen. Wir werden über die weitere Entwicklung berichten.