Unterrichtung durch die Europäische Kommission
Vorschlag für eine Richtlinie des Europäischen Parlaments und des Rates über Maßnahmen zur Gewährleistung einer hohen gemeinsamen Netz- und Informationssicherheit in der Union COM (2013) 48 final

Der Bundesrat wird über die Vorlage gemäß § 2 EUZBLG auch durch die Bundesregierung unterrichtet.

Der Europäische Wirtschafts- und Sozialausschuss und der Europäische Datenschutzbeauftragte werden an den Beratungen beteiligt.

Hinweis: vgl.
Drucksache 306/10 (PDF) = AE-Nr. 100375,
Drucksache 600/10 (PDF) = AE-Nr. 100755 und AE-Nr. . 011947, 061292, 090310, 110237

Brüssel, den 7.2.2013
COM (2013) 48 final
2013/0027 (COD)

Vorschlag für eine Richtlinie des Europäischen Parlaments und des Rates über Maßnahmen zur Gewährleistung einer hohen gemeinsamen Netz- und Informationssicherheit in der Union

{SWD(2013) 31 final}
{SWD(2013) 32 final}

Begründung

Ziel der vorgeschlagenen Richtlinie ist die Gewährleistung einer hohen gemeinsamen Netz- und Informationssicherheit (NIS). Hierbei geht es um die Erhöhung der Sicherheit des Internets und der privaten Netze und Informationssysteme, die für das Funktionieren unserer Gesellschaften und Volkswirtschaften unverzichtbar sind. Dies soll erreicht werden, indem die Mitgliedstaaten verpflichtet werden, ihre Abwehrbereitschaft zu erhöhen und ihre Zusammenarbeit untereinander zu verbessern, und indem die Betreiber kritischer Infrastrukturen wie Energieversorger, Verkehrsunternehmen und wichtige Anbieter von Diensten der Informationsgesellschaft (Plattformen für den elektronischen Geschäftsverkehr, soziale Netze usw.) und die öffentlichen Verwaltungen verpflichtet werden, geeignete Schritte zur Beherrschung von Sicherheitsrisiken zu unternehmen und den zuständigen nationalen Behörden gravierende Sicherheitsvorfälle zu melden.

Dieser Vorschlag wird in Verbindung mit der gemeinsamen Mitteilung der Kommission und der Hohen Vertreterin der Union für Außen- und Sicherheitspolitik über eine europäische Cybersicherheitsstrategie vorgelegt. Ziel der Strategie ist die Gewährleistung eines sicheren und vertrauenswürdigen digitalen Umfelds, während gleichzeitig die Grundrechte und die anderen Grundwerte der EU gefördert und gewahrt werden. Dieser Vorschlag ist die wichtigste Maßnahme der genannten Strategie. Weitere Maßnahmen der Strategie in diesem Bereich betreffen die Sensibilisierung, den Aufbau eines Binnenmarkts für Cybersicherheitsprodukte und -dienste sowie die Förderung von Investitionen in die Forschung und Entwicklung. Sie werden ergänzt durch weitere Maßnahmen zur Verstärkung des Kampfes gegen die Cyberkriminalität und zur Schaffung einer internationalen Cybersicherheitspolitik für die EU.

1.1. Gründe und Ziele des Vorschlags

Die Netz- und Informationssicherheit (NIS) hat eine wachsende Bedeutung in unserer Wirtschaft und Gesellschaft. Sie ist auch eine wichtige Voraussetzung für die Schaffung eines verlässlichen Umfelds für den weltweiten Dienstleistungsverkehr. Informationssysteme können aber aufgrund von Sicherheitsvorfällen wie menschlichem Versagen, Naturereignissen, technischen Fehlern oder böswilligen Angriffen gestört werden. Derartige Vorfälle werden immer größer, häufiger und komplexer. Die von der Kommission durchgeführte Online-Konsultation zur "Verbesserung der Netz- und Informationssicherheit in der EU"1 ergab, dass 57 % der Konsultationsteilnehmer im vorangegangenen Jahr NIS-Vorfälle mit ernsten Auswirkungen auf ihre Tätigkeiten zu verzeichnen hatten. Unerlässliche Dienste, die von der Integrität der Netze und Informationssysteme abhängen, können durch eine mangelnde NIS beeinträchtigt werden. Dies kann dazu führen, dass Unternehmen nicht mehr arbeiten können, dass der EU-Wirtschaft große finanzielle Verluste entstehen und dass das gesellschaftliche Wohl leidet.

Darüber hinaus sind digitale Informationssysteme, allen voran das Internet, als Kommunikationsmittel, die keine Ländergrenzen kennen, in allen Mitgliedstaaten miteinander vernetzt und spielen im grenzüberschreitenden Waren-, Dienstleistungs- und Personenverkehr eine wesentliche Rolle. Eine schwere Störung dieser Systeme in einem Mitgliedstaat kann daher auch andere Mitgliedstaaten und die EU insgesamt in Mitleidenschaft ziehen. Deshalb ist die Robustheit und Stabilität der Netze und Informationssysteme eine Voraussetzung für die Vollendung des digitalen Binnenmarkts und für das reibungslose Funktionieren des Binnenmarkts überhaupt. Die Wahrscheinlichkeit und Häufigkeit von Sicherheitsvorfällen sowie die Unfähigkeit, einen wirksamen Schutz zu gewährleisten, untergraben auch das Vertrauen der Öffentlichkeit in Netze und Informationssysteme. So ergab beispielsweise die 2012 durchgeführte Eurobarometer-Erhebung zur Cybersicherheit, dass 38% der Internetnutzer in der EU Bedenken in Bezug auf die Sicherheit von Online-Zahlungen haben und dass sie infolge der Sicherheitsbedenken ihr Verhalten geändert haben, denn 18 % sind weniger geneigt, Waren online zu kaufen und 15 % sind weniger geneigt, Bankgeschäfte online abzuwickeln2.

Die gegenwärtige Situation in der EU ist das Ergebnis des bislang rein freiwilligen Vorgehens und bietet keinen ausreichenden EU-weiten Schutz vor NIS-Vorfällen und NIS-Risiken. Bestehende NIS-Kapazitäten und -Mechanismen reichen einfach nicht aus, um mit den schnellen Veränderungen der Bedrohungen Schritt zu halten und in allen Mitgliedstaaten ein gleich hohes Schutzniveau zu gewährleisten.

Trotz der bereits ergriffenen Initiativen gibt es große Unterschiede in Bezug auf die Kapazitäten und die Abwehrbereitschaft der einzelnen Mitgliedstaaten, was zu einem fragmentierten Vorgehen in der EU führt. Angesichts der Tatsache, dass Netze und Systeme eng miteinander verflochten sind, wird die Netz- und Informationssicherheit der EU durch Mitgliedstaaten mit unzureichendem Schutzniveau insgesamt geschwächt. Diese Situation behindert auch die Schaffung von Vertrauen zwischen den Partnern als Voraussetzung für die Zusammenarbeit und den Informationsaustausch. In der Folge findet eine Zusammenarbeit nur zwischen jenen wenigen Mitgliedstaaten statt, die bereits über hohe Kapazitäten verfügen.

Deshalb gibt es auf EU-Ebene gegenwärtig keinen wirksamen Mechanismus für eine effektive Zusammenarbeit und für einen vertrauensvollen Informationsaustausch über NIS-Vorfälle und NIS-Risiken zwischen den Mitgliedstaaten. Dadurch kann es zu einer unkoordinierten Regulierung, uneinheitlichen Strategien und abweichenden Normen kommen, was einen unzureichenden Schutz vor NIS-Vorfällen in der gesamten EU nach sich zieht. Außerdem können so Marktschranken entstehen, aus denen sich Befolgungskosten für jene Unternehmen ergeben, die in mehr als einem Mitgliedstaat tätig sind.

Schließlich unterliegen die Marktteilnehmer, die kritische Infrastrukturen betreiben oder die Dienste erbringen, welche für das Funktionieren unserer Gesellschaften unverzichtbar sind, keiner angemessenen Verpflichtung, entsprechende Risikomanagementmaßnahmen zu treffen und einen Informationsaustausch mit den zuständigen Behörden zu pflegen. Einerseits haben die Unternehmen so keine wirksamen Anreize für die Einführung eines ernsthaften Risikomanagements, das eine Risikobewertung und geeignete Schritte zur Gewährleistung der NIS umfasst. Anderseits wird ein großer Teil der Sicherheitsvorfälle den zuständigen Behörden gar nicht zur Kenntnis gebracht und bleibt von diesen unbemerkt. Informationen über solche Sicherheitsvorfälle sind jedoch die Voraussetzung dafür, dass die Behörden hierauf reagieren, geeignete Gegenmaßnahmen treffen und angemessene strategische Prioritäten für die NIS setzen können.

Nach dem derzeit geltenden Rechtsrahmen sind nur Telekommunikationsunternehmen dazu verpflichtet, Risikomanagementmaßnahmen zu ergreifen und gravierende NIS-Vorfälle zu melden. Aber auch viele andere Sektoren hängen wesentlich von den IKT als Tätigkeitsgrundlage ab und sollten sich daher ebenfalls mit Fragen der NIS befassen. Bestimmte Infrastrukturbetreiber und Diensteanbieter sind wegen ihrer hohen Abhängigkeit von korrekt funktionierenden Netzen und Informationssystemen besonders anfällig. Diese Sektoren spielen eine wesentliche Rolle bei der Erbringung wichtiger Unterstützungsdienste für unsere Wirtschaft und Gesellschaft, und die Sicherheit ihrer Systeme ist von besonderer Bedeutung für das Funktionieren des Binnenmarkts. Dazu gehören Banken und Börsen, die Energieerzeugung, -übertragung und -verteilung, der Verkehr (Luft-, Schienen- und Seeverkehr), das Gesundheitswesen, Internetdienste und öffentliche Verwaltungen.

Beim Umgang mit Fragen der NIS ist deshalb in der EU ein neues Herangehen erforderlich. Es werden rechtliche Verpflichtungen benötigt, um gleiche Wettbewerbsbedingungen zu schaffen und bestehende Gesetzeslücken zu schließen. Um diese Probleme zu lösen und die Netz- und Informationssicherheit innerhalb der Europäischen Union zu erhöhen, werden mit der vorgeschlagenen Richtlinie die folgenden Ziele verfolgt.

Erstens sieht der Vorschlag für alle Mitgliedstaaten die Verpflichtung vor, ein Mindestniveau nationaler Kapazitäten zu schaffen, indem sie für die NIS zuständige Behörden einrichten, IT-Notfallteams (Computer Emergency Response Teams, CERTs) bilden und nationale NIS-Strategien und nationale NIS-Kooperationspläne aufstellen.

Zweitens sollten die zuständigen nationalen Behörden in einem Netz zusammenarbeiten, das eine sichere und wirksame Koordinierung ermöglicht, wozu auch ein koordinierter Informationsaustausch sowie eine Erkennungs- und Reaktionsfähigkeit auf EU-Ebene gehören. Über dieses Netz sollten die Mitgliedstaaten Informationen austauschen und zusammenarbeiten, um NIS-Bedrohungen und NIS-Vorfällen auf der Grundlage eines europäischen NIS-Kooperationsplans zu begegnen.

Drittens soll der Vorschlag nach dem Muster der Rahmenrichtlinie für die elektronische Kommunikation dafür sorgen, dass sich eine Kultur des Risikomanagements entwickelt und dass ein Informationsaustausch zwischen privatem und öffentlichem Sektor stattfindet. Unternehmen in den oben erwähnten besonders betroffenen Sektoren und öffentliche Verwaltungen sollen verpflichtet werden, die Risiken, denen sie unterliegen, zu bewerten und geeignete und angemessene Maßnahmen zur Gewährleistung der NIS zu ergreifen. Sie werden verpflichtet sein, den zuständigen Behörden alle Sicherheitsvorfälle zu melden, welche ihre Netze und Informationssysteme wie auch die Kontinuität kritischer Dienste und die Lieferung von Waren ernsthaft beeinträchtigen.

1.2. Allgemeiner Kontext

Schon im Jahr 2001 hob die Kommission in ihrer Mitteilung "Sicherheit der Netze und Informationen: Vorschlag für einen europäischen Politikansatz"3 die wachsende Bedeutung der Netz- und Informationssicherheit hervor. Darauf folgte 2006 die Annahme einer Strategie für eine sichere Informationsgesellschaft4, die auf die Entwicklung einer Kultur der Netz- und Informationssicherheit in Europa abzielte. Die Hauptelemente dieser Strategie wurden in einer Entschließung des Rates5 gebilligt.

Darüber hinaus nahm die Kommission am 30. März 2009 eine Mitteilung über den Schutz kritischer Informationsinfrastrukturen (CIIP)6 an, in deren Mittelpunkt der Schutz Europas vor Cyberstörungen durch eine Erhöhung der Sicherheitsvorkehrungen steht. Mit der Mitteilung wurde auch ein Aktionsplan in Angriff genommen, um die Mitgliedstaaten bei der Prävention und Reaktion zu unterstützen. Der Aktionsplan wurde in den Schlussfolgerungen des Ratsvorsitzes zum Schutz kritischer Informationsinfrastrukturen anlässlich der Ministerkonferenz 2009 in Tallinn gebilligt. Am 18. Dezember 2009 nahm der Rat eine Entschließung über ein kooperatives europäisches Vorgehen im Bereich der Netz- und Informationssicherheit 7 an.

In der im Mai 2010 verabschiedeten Digitalen Agenda für Europa 8 (DAE) und den diesbezüglichen Schlussfolgerungen des Rates 9 wurde das Einvernehmen darüber hervorgehoben, dass Vertrauen und Sicherheit grundlegende Voraussetzungen für eine breite Nutzung der IKT und damit für das Erreichen der Ziele des "intelligenten Wachstums" im Rahmen der Strategie Europa 2010 sind. In der DAE wird im Kapitel zu Vertrauen und Sicherheit betont, dass alle Akteure sich mit vereinten Kräften in einem ganzheitlichen Ansatz um die Sicherheit und Robustheit der IKT-Infrastrukturen mit den Schwerpunkten Prävention, Abwehrbereitschaft und Sensibilisierung sowie um die Entwicklung wirksamer und koordinierter Sicherheitsmechanismen bemühen müssen. Die Schlüsselaktion 6 der Digitalen Agenda für Europa sieht so insbesondere Maßnahmen für eine Politik zur Stärkung der Netz- und Informationssicherheit auf hohem Niveau vor.

In ihrer Mitteilung zum Schutz kritischer Informationsinfrastrukturen (CIIP) vom März 2011 "Ergebnisse und nächste Schritte: der Weg zur globalen Netzsicherheit"11 zog die Kommission eine Bilanz der seit der Verabschiedung des CIIP-Aktionsplans 2009 erreichten Ergebnisse und gelangte angesichts der Durchführung des Aktionsplans zu dem Schluss, dass ein rein nationales Vorgehen zur Bewältigung der Probleme in Bezug auf die Sicherheit und Robustheit nicht ausreicht und dass Europa seine Anstrengungen um eine kohärente und kooperative Vorgehensweise fortsetzen sollte. In der CIIP-Mitteilung von 2011 kündigte die Kommission eine Reihe von Maßnahmen an und rief die Mitgliedstaaten zur Erhöhung ihrer NIS-Kapazitäten und zur grenzübergreifenden Zusammenarbeit auf. Die meisten dieser Maßnahmen sollten im Jahr 2012 abgeschlossen werden, sind bislang aber noch nicht umgesetzt worden.

In seinen Schlussfolgerungen vom 27. Mai 2011 zum Schutz kritischer

Informationsinfrastrukturen betonte der Rat der Europäischen Union die dringende Notwendigkeit, die Informatiksysteme und -netze gegen unbeabsichtigte wie beabsichtigte Störungen aller Art widerstandsfähig zu machen und abzusichern, in der gesamten EU eine hohe Abwehrbereitschaft, Sicherheit und Robustheit zu entwickeln, die fachlichen Kompetenzen zu erhöhen, damit sich Europa der Herausforderung des Schutzes der Netze und Informationsinfrastrukturen stellen kann, und die Zusammenarbeit zwischen den Mitgliedstaaten durch Einrichtung von Kooperationsmechanismen für Sicherheitsvorfälle zu verbessern.

1.3. Derzeitige einschlägige Vorschriften auf EU- und internationaler Ebene

Durch die Verordnung (EG) Nr. 460/2004 errichtete die Europäische Union im Jahr 2004 die12 Europäische Agentur für Netz- und Informationssicherheit (ENISA), um zur Gewährleistung einer hohen Netz- und Informationssicherheit und zur Entwicklung einer NIS-Kultur in der EU beizutragen. Ein Vorschlag zur Modernisierung des Auftrags der ENISA wurde am 30. September 2010 angenommen und liegt derzeit dem Rat und dem Europäischen Parlament zur Beratung vor 13 . Der neugefasste Rechtsrahmen für die elektronische Kommunikation 14, der seit November 2009 in Kraft ist, erlegt den Anbietern elektronischer Kommunikationsnetze und -dienste bestimmte Sicherheitspflichten auf15 . Diese Verpflichtungen mussten bis Mai 2011 auf nationaler Ebene umgesetzt werden.

Alle für die Datenverarbeitung Verantwortlichen (z.B. Banken oder Krankenhäuser) sind nach dem Datenschutzrechtsrahmen 16 verpflichtet, Sicherheitsvorkehrungen zum Schutz personenbezogener Daten zu treffen. Außerdem sollen nach dem Vorschlag der Kommission von 2012 für eine Datenschutz-Grundverordnung 17 alle für die Datenverarbeitung Verantwortlichen dazu verpflichtet werden, Verletzungen des Schutzes personenbezogener Daten den nationalen Aufsichtsbehörden zu melden. Das bedeutet, dass beispielsweise ein NIS-Vorfall, der zwar die Bereitstellung eines Dienstes stört, ohne aber den Schutz personenbezogener Daten zu beeinträchtigen (z.B. eine IKT-Störung bei einem Energieversorger, die zu einem Stromausfall führt) nicht gemeldet zu werden bräuchten.

Im Rahmen der Richtlinie 2008/114/EG des Rates über die Ermittlung und Ausweisung europäischer kritischer Infrastrukturen und die Bewertung der Notwendigkeit, ihren Schutz zu verbessern, enthält das "Europäische Programm für den Schutz kritischer Infrastrukturen"18 (EPCIP) ein übergreifendes Gesamtkonzept für den Schutz kritischer Infrastrukturen in der EU. Die Ziele des EPCIP stehen in vollem Einklang mit dem vorliegenden Vorschlag, und die Richtlinie sollte unbeschadet der Richtlinie 2008/114/EG gelten. Das EPCIP sieht weder für Betreiber Meldepflichten bei schweren Sicherheitsverletzungen noch für die Mitgliedstaaten Kooperations- und Reaktionsmechanismen bei Sicherheitsvorfällen vor.

Die Gesetzgeber beraten derzeit über den Vorschlag der Kommission für eine Richtlinie über Angriffe auf Informationssysteme19, mit dem die Strafbarkeit bestimmter Verhaltensweisen vereinheitlicht werden soll. Der Vorschlag regelt lediglich die Strafbarkeit bestimmter Verhaltensweisen, nicht aber die Prävention von NIS-Risiken und NIS-Vorfällen, die Reaktion auf NIS-Vorfälle oder die Minderung ihrer Folgen. Die vorliegende Richtlinie sollte unbeschadet der Richtlinie über Angriffe auf Informationssysteme gelten.

Am 28. März 2012 nahm die Kommission eine Mitteilung über die Errichtung eines Europäischen Zentrums zur Bekämpfung der Cyberkriminalität (EC3) an20. Dieses Zentrum besteht seit dem 11. Januar 2013 als Teil des Europäischen Polizeiamts (EUROPOL) und dient als zentrale Anlaufstelle für die Bekämpfung der Cyberkriminalität in der EU. Das EC3 soll cyberkriminalistische Fachkompetenzen bündeln, um die Mitgliedstaaten beim Aufbau geeigneter Kapazitäten zu unterstützen, die Ermittlungsarbeiten der Mitgliedstaaten bei Cyberstraftaten unterstützen sowie in enger Zusammenarbeit mit Eurojust zum gemeinsamen Sprachrohr aller mit der Untersuchung von Cyberstraftaten befassten Ermittler der Strafverfolgungs- und Justizbehörden in der EU werden.

Die Organe, Einrichtungen und sonstigen Stellen der Europäischen Union haben mit dem "CERT-EU" ihr eigenes IT-Notfallteam eingerichtet.

Auf internationaler Ebene ist die EU im Bereich der Cybersicherheit sowohl auf bilateraler als auch multilateraler Ebene tätig. Auf dem Gipfeltreffen EU-USA 21 wurde die Arbeitsgruppe EU-USA zur Cybersicherheit und Cyberkriminalität eingesetzt. Darüber hinaus ist die EU auch in anderen einschlägigen multilateralen Gremien aktiv tätig, z.B. der Organisation für wirtschaftliche Zusammenarbeit und Entwicklung (OECD), der Generalversammlung der Vereinten Nationen (UNGA), der Internationalen Fernmeldeunion (ITU), der Organisation für Sicherheit und Zusammenarbeit in Europa (OSZE), dem Weltgipfel über die Informationsgesellschaft (WSIS) und dem Internet-Verwaltungs-Forum (IGF).

2. Ergebnisse der Konsultationen der interessierten Kreise und der Folgenabschätzungen

2.1. Anhörung interessierter Kreise und Nutzung von Sachverstand

Eine öffentliche Online-Konsultation zur "Verbesserung der NIS in der EU" wurde vom 23. Juli bis zum 15. Oktober 2012 durchgeführt. Die Kommission erhielt 160 Antworten auf den Online-Fragebogen.

Als wichtigstes Ergebnis ist festzuhalten, dass die Interessenträger ihre allgemeine Unterstützung für eine notwendige Verbesserung der Netz- und Informationssicherheit in der EU bekundet haben. Im Einzelnen äußerten 82,8 % der Konsultationsteilnehmer die Ansicht, dass die Regierungen in der EU mehr tun sollten, um eine hohe Netz- und Informationssicherheit zu gewährleisten, 82,8 % waren der Meinung, dass den Benutzern von Informationen und Systemen die bestehenden NIS-Bedrohungen und NIS-Vorfälle nicht bewusst sind, 66,3 % würden grundsätzlich die Einführung von rechtlichen Vorgaben für ein Management der NIS-Risiken befürworten und 84,8 % meinten, dass solche Anforderungen auf EU-Ebene festgesetzt werden sollten. Eine hohe Zahl der Antwortenden meinte, dass die Einführung von NIS-Anforderungen besonders in den folgenden Sektoren wichtig wäre: Banken und Finanzen (91,1 %), Energie (89,4 %), Verkehr (81,7 %), Gesundheit (89,4 %), Internetdienste (89,1 %) und öffentliche Verwaltungen (87,5 %). Ferner meinten die Konsultationsteilnehmer, dass im Fall der Einführung einer Pflicht zur Meldung von NIS-Sicherheitsverletzungen bei der zuständigen nationalen Behörde eine solche Vorgabe auf EU-Ebene festgelegt werden sollte (65,1 %), und dass eine solche Pflicht auch für öffentliche Verwaltungen gelten sollte (93,5 %). Schließlich erklärten die Teilnehmer, dass eine Anforderung zur Einführung eines NIS-Risikomanagements entsprechend dem Stand der Technik für sie keine erheblichen Mehrkosten verursachen würde (63,4 %) und dass eine Meldepflicht für Sicherheitsverletzungen ebenfalls keine erheblichen Mehrkosten verursachen würde (72,3 %).

Die Konsultation der Mitgliedstaaten erfolgte in mehreren einschlägigen Ratsformationen, im Rahmen des Europäischen Forums der Mitgliedstaaten (EFMS), auf der von der Kommission und dem Europäischen Auswärtigen Dienst organisierten Konferenz zum Thema Cybersicherheit am 6. Juli 2012 wie auch und in besonderen bilateralen Treffen, die auf Wunsch einzelner Mitgliedstaaten stattfanden.

Gespräche mit dem Privatsektor wurden auch im Rahmen der Europäischen öffentlichprivaten Partnerschaft für Robustheit (EP3R) 22 und auf bilateralen Treffen geführt. Im Hinblick auf den öffentlichen Sektor führte die Kommission Gespräche mit der ENISA und dem CERT für die EU-Organe.

2.2. Folgenabschätzung

Die Kommission führte eine Folgenabschätzung für drei Politikoptionen durch:

Option 1: "Business as usual" (Ausgangsszenario): Beibehaltung des derzeitigen Ansatzes;

Option 2: ein Regulierungsansatz, bestehend aus einem Legislativvorschlag zur Schaffung eines gemeinsamen EU-Rechtsrahmens für die NIS im Hinblick auf die Kapazitäten der Mitgliedstaaten, Mechanismen für die Zusammenarbeit auf EU-Ebene und Anforderungen an wichtige private Akteure und öffentliche Verwaltungen;

Option 3: ein gemischter Ansatz, der freiwillige Initiativen in Bezug auf die NIS-Kapazitäten der Mitgliedstaaten und Mechanismen für die Zusammenarbeit auf EU-Ebene mit Regulierungsvorgaben für wichtige private Akteure und öffentliche Verwaltungen verbindet.

Die Kommission kam zu dem Schluss, dass mit der Option 2 die größte positive Wirkung erzielt werden könnte, weil dadurch der Schutz der Verbraucher, Unternehmen und Behörden in der EU vor NIS-Vorfällen beträchtlich erhöht würde. Insbesondere würde durch die für die Mitgliedstaaten geltenden Verpflichtungen eine angemessene Abwehrbereitschaft auf nationaler Ebene sichergestellt; dies würde ein Klima gegenseitigen Vertrauens schaffen, das eine Voraussetzung für eine wirksame Zusammenarbeit auf EU-Ebene ist. Die Einrichtung von Mechanismen für eine Zusammenarbeit auf EU-Ebene über das genannte Netz würde eine kohärente und koordinierte Prävention und Reaktion auf grenzübergreifende NIS-Vorfälle und -Risiken ermöglichen. Mit der Einführung verbindlicher NIS-Risikomanagement-Anforderungen für öffentliche Verwaltungen und wichtige private Wirtschaftsteilnehmer würde ein starker Anreiz geschaffen, Sicherheitsrisiken wirksam zu managen. Die Meldepflicht für NIS-Vorfälle mit beträchtlichen Auswirkungen würde eine bessere Reaktion auf Sicherheitsvorfälle ermöglichen und die Transparenz erhöhen. Die Bewältigung der internen Herausforderungen würde sich ferner positiv auf die internationale Ausstrahlung der EU auswirken, so dass sie zu einem noch glaubwürdigeren Partner für die Zusammenarbeit auf bilateraler und multilateraler Ebene würde. Auch wäre sie so in einer besseren Position, um die Grundrechte und die Grundwerte der EU jenseits ihrer Grenzen zu fördern.

Die quantitative Bewertung ergab, dass durch die Option 2 den Mitgliedstaaten keine unverhältnismäßig großen Belastungen auferlegt werden. Die Kosten für den Privatsektor wären ebenfalls begrenzt, denn viele der betroffenen Stellen müssen ohnehin bereits bestehende Sicherheitsanforderungen erfüllen (so sind die für die Datenverarbeitung Verantwortlichen verpflichtet, technische und organisatorische Vorkehrungen zum Schutz personenbezogener Daten zu treffen, was auch NIS-Vorkehrungen einschließt). Die bereits bestehenden Sicherheitsausgaben im Privatsektor wurden ebenfalls berücksichtigt.

Dieser Vorschlag steht im Einklang mit den in der Charta der Grundrechte der Europäischen Union anerkannten Grundsätzen, d.h. dem Recht auf Achtung des Privatlebens und der Kommunikation, dem Schutz personenbezogener Daten, der unternehmerischen Freiheit, dem Eigentumsrecht, dem Recht auf einen wirksamen Rechtsbehelf und dem Recht auf Anhörung. Diese Richtlinie ist im Einklang mit diesen Rechten und Grundsätzen umzusetzen.

3. Rechtliche Aspekte des Vorschlags

3.1. Rechtsgrundlage

Im Einklang mit den einschlägigen Bestimmungen der Verträge (Artikel 26 des Vertrags über die Arbeitsweise der Europäischen Union, AEUV) kann die Europäische Union Maßnahmen ergreifen, um den Binnenmarkt zu verwirklichen bzw. dessen Funktionieren zu gewährleisten. Laut Artikel 114 AEUV kann die EU "Maßnahmen zur Angleichung der Rechts- und Verwaltungsvorschriften der Mitgliedstaaten, welche die Errichtung und das Funktionieren des Binnenmarktes zum Gegenstand haben" erlassen.

Wie bereits erwähnt kommt Netzen und Informationssystemen bei der Erleichterung des grenzüberschreitenden Waren-, Dienstleistungs- und Personenverkehrs eine wesentliche Rolle zu. Häufig sind sie auch miteinander verbunden, und das Internet ist seinem Wesen nach ohnehin ein globales Netz. Wegen dieser transnationalen Dimension kann eine Störung in einem Mitgliedstaat auch andere Mitgliedstaaten und die EU insgesamt in Mitleidenschaft ziehen. Die Robustheit und Stabilität der Netze und Informationssysteme ist daher eine Voraussetzung für das reibungslose Funktionieren des Binnenmarkts.

Der EU-Gesetzgeber hat bereits anerkannt, dass es im Hinblick auf die Entwicklung des Binnenmarkts notwendig ist, die NIS-Vorschriften zu harmonisieren. Dies gilt insbesondere für die Verordnung (EG) Nr. 460/2004 zur Errichtung der ENISA23, die auf Artikel 114 AEUV beruht.

Die großen Unterschiede zwischen den Mitgliedstaaten, die sich aus ungleichen nationalen Kapazitäten, Strategien und Schutzniveaus im Bereich der NIS ergeben, führen zu Hindernissen im Binnenmarkt und rechtfertigen daher ein Tätigwerden der EU.

3.2. Subsidiarität

Ein Handeln der EU im Bereich der Netz- und Informationssicherheit ist nach dem Subsidiaritätsprinzip gerechtfertigt.

Erstens würde aufgrund der grenzüberschreitenden Natur der NIS ein Nichthandeln auf EU-Ebene zu einer Situation führen, in der jeder Mitgliedstaat allein handelt, ohne die gegenseitigen Abhängigkeiten zwischen Netzen und Informationssystemen in der EU zu beachten. Eine angemessene Koordinierung zwischen den Mitgliedstaaten würde ein gutes Management der NIS-Risiken im grenzübergreifenden Umfeld, in dem sie auftreten, ermöglichen. Abweichende NIS-Vorgaben sind ein Hindernis für Unternehmen, die in mehreren Ländern tätig werden wollen, und verhindern die Erzielung globaler Größenvorteile.

Zweitens werden rechtliche Verpflichtungen auf EU-Ebene benötigt, um gleiche Wettbewerbsbedingungen zu schaffen und Gesetzeslücken zu schließen. Ein rein freiwilliges Vorgehen hat bislang zu einer Zusammenarbeit nur zwischen jenen wenigen Mitgliedstaaten geführt, die ohnehin bereits über hohe Kapazitäten verfügen. Um aber alle Mitgliedstaaten einzubeziehen, muss sichergestellt werden, dass sie alle über die erforderlichen Mindestkapazitäten verfügen. Die von den Regierungen beschlossenen NIS-Maßnahmen müssen so aufeinander abgestimmt und koordiniert werden, dass sie die Folgen von NIS-Vorfällen eindämmen und minimieren können. Die zuständigen Behörden und die Kommission werden innerhalb des Netzes, durch Austausch bewährter Verfahren und unter ständiger Einbindung der ENISA zusammenarbeiten, um eine abgestimmte Umsetzung und Anwendung der Richtlinie in der gesamten EU zu erleichtern. Zudem kann sich eine abgestimmte NIS-Politik äußerst positiv auf den wirksamen Schutz der Grundrechte auswirken, insbesondere des Rechts auf Schutz personenbezogener Daten und der Privatsphäre. Maßnahmen auf EU-Ebene würden deshalb die Wirksamkeit bestehender nationaler Strategien erhöhen und die Entwicklung solcher Strategien erleichtern.

Die vorgeschlagenen Maßnahmen sind auch nach dem Grundsatz der Verhältnismäßigkeit gerechtfertigt. Die von den Mitgliedstaaten zu erfüllenden Anforderungen werden auf dem Mindestniveau festgesetzt, das erforderlich ist, um eine ausreichende Abwehrbereitschaft zu erzielen und eine vertrauensvolle Zusammenarbeit zu ermöglichen. Dadurch sind auch die Mitgliedstaaten in der Lage, nationale Besonderheiten hinreichend zu berücksichtigen, und es ist gewährleistet, dass die gemeinsamen EU-Grundsätze in verhältnismäßiger Weise angewandt werden. Der weite Anwendungsbereich erlaubt es den Mitgliedstaaten, die Richtlinie im Hinblick auf die tatsächlich auf nationaler Ebene bestehenden Risiken umzusetzen, wie in der nationalen NIS-Strategie angegeben. Die Vorgaben bezüglich der Einführung eines Risikomanagements betreffen nur kritische Einrichtungen und sehen nur Maßnahmen vor, die angesichts der Risiken angemessen sind. Die öffentliche Konsultation hat verdeutlicht, wie wichtig die Gewährleistung der Sicherheit dieser kritischen Einrichtungen ist. Die Meldepflichten würden nur für Sicherheitsvorfälle mit beträchtlichen Auswirkungen gelten. Die Maßnahmen würden - wie bereits erwähnt - keine unverhältnismäßigen Kosten verursachen, denn bei vielen dieser Einrichtungen handelt es sich um für die Datenverarbeitung Verantwortliche, die nach geltendem Datenschutzrecht ohnehin den Schutz personenbezogener Daten gewährleisten müssen.

Damit keine unverhältnismäßige Belastung für kleine Betreiber und insbesondere für KMU entsteht, sollten die Anforderungen in einem angemessenen Verhältnis zu den Risiken stehen, denen das betreffende Netz oder Informationssystem ausgesetzt ist, und nicht für Kleinstunternehmen gelten. Die Feststellung der Risiken ist in erster Linie Sache der Stellen, die diesen Verpflichtungen unterliegen und auch entscheiden müssen, welche Maßnahmen zur Minderung der Risiken zu ergreifen sind.

Angesichts der grenzübergreifenden Aspekte der NIS-Vorfälle und NIS-Risiken können die genannten Ziele besser auf EU-Ebene als durch die Mitgliedstaaten allein erreicht werden. Die EU kann deshalb im Einklang mit dem in Artikel 5 des Vertrags über die Europäische Union niedergelegten Subsidiaritätsprinzip tätig werden. Entsprechend dem Grundsatz der Verhältnismäßigkeit geht die vorgeschlagene Richtlinie nicht über das zum Erreichen dieses Ziels erforderliche Maß hinaus.

Im Hinblick auf die Erreichung der Ziele sollte der Kommission die Befugnis übertragen werden, delegierte Rechtsakte gemäß Artikel 290 des Vertrags über die Arbeitsweise der Europäischen Union zur Ergänzung oder Änderung bestimmter nicht wesentlicher Bestimmungen des zugrundeliegenden Rechtsakts zu erlassen. Der Vorschlag der Kommission soll auch einen Prozess der Verhältnismäßigkeit bei der Umsetzung und Anwendung der den privaten und öffentlichen Akteuren auferlegten Verpflichtungen fördern.

Im Hinblick auf die Gewährleistung einheitlicher Bedingungen für die Durchführung des zugrundeliegenden Rechtsakts sollte der Kommission die Befugnis übertragen werden, delegierte Rechtsakte gemäß Artikel 291 des Vertrags über die Arbeitsweise der Europäischen Union zu erlassen.

Insbesondere angesichts des weiten Anwendungsbereichs der vorgeschlagenen Richtlinie, des vorgesehenen Eingriffs in stark regulierte Bereiche und der aus ihrem Kapitel IV erwachsenden Rechtspflichten sollte die Mitteilung der Umsetzungsmaßnahmen durch erläuternde Dokumente ergänzt werden. Gemäß der Gemeinsamen Politischen Erklärung der Mitgliedstaaten und der Kommission vom 28. September 2011 zu erläuternden Dokumenten haben sich die Mitgliedstaaten verpflichtet, in begründeten Fällen zusätzlich zur Mitteilung ihrer Umsetzungsmaßnahmen ein oder mehrere Dokumente zu übermitteln, in dem bzw. denen der Zusammenhang zwischen den Bestandteilen einer Richtlinie und den entsprechenden Teilen innerstaatlicher Umsetzungsinstrumente erläutert wird. In Bezug auf diese Richtlinie hält der Gesetzgeber die Übermittlung derartiger Dokumente für gerechtfertigt.

4. Auswirkungen auf den Haushalt

Die Zusammenarbeit und der Informationsaustausch zwischen den Mitgliedstaaten sollten über eine sichere Infrastruktur erfolgen. Der Vorschlag wird sich nur dann auf den EU-Haushalt auswirken, wenn die Mitgliedstaaten beschließen, eine bestehende Infrastruktur (z.B. sTESTA) anzupassen, und die Kommission innerhalb des MFF 2014-2020 mit der Durchführung beauftragen. Die einmaligen Anpassungskosten werden mit 1250 000 EUR veranschlagt und würden zulasten des EU-Haushalts, Haushaltslinie 09 03 02 (für die Förderung des Zusammenschlusses und der Interoperabilität nationaler öffentlicher Dienstleistungen online sowie Zugang zu solchen Netzen - Kapitel 09 03, Fazilität "Connecting Europe" - Telekommunikationsnetze) gehen, unter der Voraussetzung, dass im Rahmen der Fazilität "Connecting Europe" ausreichende Mittel zur Verfügung stehen. Alternativ hierzu können die Mitgliedstaaten auch entweder die einmaligen Kosten der Anpassung einer bestehenden Infrastruktur gemeinsam übernehmen oder aber auf ihre Kosten die Einrichtung einer neuen Infrastruktur beschließen, deren Kosten auf ungefähr 10 Millionen EUR pro Jahr geschätzt werden.

Vorschlag für eine Richtlinie des Europäischen Parlaments und des Rates über Maßnahmen zur Gewährleistung einer hohen gemeinsamen Netz- und Informationssicherheit in der Union

Das Europäische Parlament und der Rat der Europäischen Union - gestützt auf den Vertrag über die Arbeitsweise der Europäischen Union, insbesondere auf Artikel 114, auf Vorschlag der Europäischen Kommission, nach Zuleitung des Entwurfs des Gesetzgebungsakts an die nationalen Parlamente, nach Stellungnahme des Europäischen Wirtschafts- und Sozialausschusses1, nach Anhörung des Europäischen Datenschutzbeauftragten, gemäß dem ordentlichen Gesetzgebungsverfahren, in Erwägung nachstehender Gründe:

Haben folgende Richtlinie Erlassen:

Kapitel I
Allgemeine Bestimmungen

Artikel 1
Gegenstand und Geltungsbereich

Artikel 2
Mindestharmonisierung

Unbeschadet ihrer Verpflichtungen nach dem Unionsrecht werden die Mitgliedstaaten nicht daran gehindert, Bestimmungen zur Gewährleistung eines höheren Sicherheitsniveaus zu erlassen oder aufrechtzuerhalten.

Artikel 3
Begriffsbestimmungen

Im Sinne dieser Richtlinie bezeichnet der Ausdruck

Kapitel II
Nationaler Rahmen für die NETZ-UND INFORMATIONSSICHERHEIT

Artikel 4
Grundsatz

Die Mitgliedstaaten gewährleisten in Übereinstimmung mit dieser Richtlinie eine hohe Netz- und Informationssicherheit in ihren Hoheitsgebieten.

Artikel 5
Nationale NIS-Strategie und nationaler NIS-Kooperationsplan

Artikel 6
Für die Netz- und Informationssicherheit zuständige nationale Behörde

Artikel 7
IT-Notfallteam

Kapitel III
Zusammenarbeit zwischen den zuständigen Behörden

Artikel 8
Kooperationsnetz

Artikel 9
Sicheres System für den Informationsaustausch

Artikel 10
Frühwarnungen

Artikel 11
Koordinierte Reaktion

Artikel 12 NIS-Kooperationsplan der Union

Artikel 13
Internationale Zusammenarbeit

Unbeschadet der Möglichkeiten des Kooperationsnetzes, auf internationaler Ebene informell zusammenzuarbeiten, kann die Union internationale Vereinbarungen mit Drittländern oder internationalen Organisationen schließen, in denen deren Beteiligung an bestimmten Aktivitäten des Kooperationsnetzes ermöglicht und geregelt wird. In solchen Vereinbarungen wird der Notwendigkeit eines angemessenen Schutzes der im Kooperationsnetz zirkulierenden personenbezogenen Daten Rechnung getragen.

Kapitel IV
Sicherheit der Netze und Informationssysteme der öffentlichen Verwaltungen und der Marktteilnehmer

Artikel 14
Sicherheitsanforderungen und Meldung von Sicherheitsvorfällen

Artikel 15
Umsetzung und Durchsetzung

Artikel 16
Normung

Kapitel V
Schlussbestimmungen

Artikel 17
Sanktionen

Artikel 18
Ausübung der Befugnisübertragung

Artikel 19
Ausschussverfahren

Artikel 20
Überprüfung

Die Kommission überprüft das Funktionieren dieser Richtlinie regelmäßig und erstattet dem Europäischen Parlament und dem Rat darüber Bericht. Der erste Bericht wird spätestens drei Jahre nach dem Datum der Umsetzung nach Artikel 21 vorgelegt. Für diese Zwecke kann die Kommission die Mitgliedstaaten ersuchen, ihr unverzüglich Auskünfte zu erteilen.

Artikel 21
Umsetzung

Artikel 22
Inkrafttreten

Diese Richtlinie tritt am [zwanzigsten] Tag nach dem Tag ihrer Veröffentlichung im Amtsblatt der Europäischen Union in Kraft.

Artikel 23
Adressaten Diese Richtlinie ist an die Mitgliedstaaten gerichtet. Geschehen zu Brüssel am [ ... ]

Im Namen des Europäischen Parlaments Im Namen des Rates

Der Präsident/Die Präsidentin Der Präsident/Die Präsidentin

Anhang I
IT-Notfallteam (Computer Emergency Response Team, CERT) - Anforderungen und Aufgaben

Die Anforderungen an das CERT und seine Aufgaben werden angemessen und genau festgelegt und durch nationale Strategien und/oder Vorschriften gestützt. Sie müssen Folgendes umfassen:

Anhang II
Liste der Marktteilnehmer nach Artikel 3 Absatz 8 Buchstabe a