Risikomanagement: Festlegung der Sicherheitsanforderungen für Anbieter Digitaler Dienste

Written by michaelis on . Posted in news.

Am 31. Januar 2018 hat die Europäische Kommission die Durchführungsverordnung (EU) 2018/151 der Kommission veröffentlicht und damit die Voraussetzungen für die Umsetzung einer europaweit einheitlichen Regulierung von Anbietern Digitaler Dienste geschaffen. Dabei ergänzt diese Verordnung u.a. den bestehende Rechtsrahmen der NIS-Richtlinie (Richtlinie (EU) 2016/1148 des Europäischen Parlaments und des Rates vom 6. Juli 2016) um nähere Vorgaben für die Sicherheitsanforderungen. Ziel dieser Regulierung ist es, europaweit einheitliche Mindestanforderungen an die IT-Sicherheit bei digitalen Diensten zu schaffen.

Davon betroffen sind Anbieter von Cloud-Computing-Diensten, Online-Marktplätzen und Online-Suchmaschinen. Cloud-Computing-Dienste liegen u.a. immer dann vor, wenn eine IT-Infrastruktur oder IT-Leistungen über das Internet („die Cloud“) bereitstellt werden. Demnach sind insbesondere Unternehmen von der Regelung betroffen, die Digitale Dienste anbieten. Dies gilt insbesondere für die Bereitstellung von

  • Software,
  • Server,
  • Speicher,
  • Netzwerkkomponenten sowie
  • Datenbanken,

sofern sie über das Internet angeboten werden.

Die Durchführungsverordnung gilt unmittelbar und legt nun in Artikel 2 Absatz 1 bis 5 die Vorgaben näher fest, welche Anbieter Digitaler Dienste im Rahmen der Bereitstellung ihrer Dienste zu berücksichtigen haben, wenn sie Maßnahmen ermitteln und ergreifen, die ein bestimmtes Sicherheitsniveau der Netz- und Informationssysteme gewährleisten sollen. Anbieter digitaler Dienste, welche Online-Marktplätze, Online-Suchmaschinen oder Cloud-Computing-Dienste bereitstellen, müssen demzufolge die dort genannten Sicherheitselemente einhalten und für eine angemessene Dokumentation über die Einhaltung dieser Elemente sorgen. Beispielsweise müssen Vorkehrungen zum Schutz vor Schäden vorhanden sein und es müssen Notfallpläne zur Gewährleistung der Kontinuität der erbrachten Leistungen erstellt und anwendet werden.

Darüber hinaus legt die Verordnung in Artikel 3 die Parameter fest, die bei der Feststellung zugrunde zu legen sind, ob ein Sicherheitsvorfall erhebliche Auswirkungen auf die Bereitstellung der Dienste hat. Diese Parameter sowie die in Artikel 4 genannten Fallgruppen, nach denen Auswirkungen eines Sicherheitsvorfalls erheblich sind, müssen Anbieter digitaler Dienste bei der Feststellung erheblicher Auswirkungen eines Sicherheitsvorfalls beachten. Zu berücksichtigen sind dabei insbesondere die Zahl der von dem Sicherheitsvorfall betroffenen Nutzer sowie die Dauer des Sicherheitsvorfalls.

Diese Vorgaben sind von Anbietern Digitaler Dienste ab dem 10. Mai 2018 zu erfüllen.

Gerne stehen wir für Rückfragen zur Verfügung.

Mit freundlichen Grüßen

Stefanie Schönfeld
Rechtsanwältin
Tel.: +49 40 / 360066543
E-Mail: schoenfeld@dr-poppe-rae.de