Die bevorstehende Aktivierung der beiden für Mai 2016 geplanten Regulierungsinstrumente für Cybersicherheit und Datenschutz im Jahr 2018 erfordert eine Reflexion der komplexen Logik und der zugrunde liegenden Anwendungsüberschneidungen, die zu einer Revolution auf dem nationalen und europäischen digitalen Markt führen könnten, wie wir ihn kennen. Das quantitative Szenario von Angriffen signalisiert besorgniserregende Trends: 80 Prozent der europäischen Unternehmen erlitten 2015 und im selben Jahr mindestens einen Cybersicherheitsvorfall. Die Anzahl der Sicherheitsvorfälle in allen Branchen der Welt ist um 38 Prozent gestiegen. Für den Zeitraum 2016-2017 informiert uns der CLUSIT-Bericht darüber, dass der Trend dramatisch abwertend ist. In diesem Szenario greifen die EU-Richtlinie 2016/1148 vom 6. Juli 2016 (der Kürze halber NIS, Sicherheit von Netzen und Informationssystemen) und die Allgemeine Datenschutzverordnung (DSGVO) ein, um einerseits den Umfang der Wirtschaft zu regeln digital schwerwiegender aufgrund der Folgen von Cyber-Angriffen, der sogenannten „kritischen Infrastrukturen“, mit denen die Anbieter digitaler Lösungen in Verbindung stehen, mit entsprechenden Verpflichtungen und Strafen konfrontiert; auf der anderen Seite die in Bezug auf "personenbezogene" Daten von Organisationen, Unternehmen, professionellen Unternehmen usw. heute im Lichte des Datenmarktes überarbeitet, der auch mit der Verpflichtung zur Cyberabwehr verbunden ist. Zunächst fassen wir die Implementierungslogik für Niš zusammen: Fristen, Implementierungsthemen, Fähigkeiten und Arten von Unternehmensthemen, zu denen Compliance-Verpflichtungen führen, d. H. Betreiber wesentlicher Dienste und Anbieter digitaler Dienste.
Erinnern wir uns zunächst an die Fristen: Die NIS-Richtlinie ist seit August 2016 in Kraft und wartet auf die Umsetzung durch die EU-Mitgliedstaaten. Die Mitgliedstaaten haben 21 Monate Zeit, um die erforderlichen nationalen Umsetzungsmaßnahmen für Rechtsvorschriften zu treffen, und weitere 6 Monate, um die Betreiber der nationalen kritischen Infrastruktur zu ermitteln. Umsetzungsfrist ist 9 im Mai 2018, im Übergang sind die Kooperationsgruppe und das CSIRT-Netzwerk seit dem 9 Februar 2017 in Betrieb. Es sollte sofort die grundlegende Rolle der Kooperationsgruppe zur Kenntnis genommen werden, die die Mitgliedstaaten bei der Ermittlung der Betreiber wesentlicher Dienste und der negativen Auswirkungen in einem neu abgelaufenen Zeitraum oder von 9 Februar 2017 bis 9 November 2018 unterstützen sollte / sollte. Die technische Unterstützung von Enisa für die Kommission sowie für die Koordinierungsstellen, dh die Kooperationsgruppe und das CSIRT-Netzwerk, muss noch erwähnt werden. Es müssen jedoch die nationale (n) Referenzbehörde (n), die nationale (n) CSIRT (s) und die einzige nationale Kontaktstelle benannt werden. Es ist zwar bekannt, dass einige Mitgliedstaaten das förmliche Verfahren zur Umsetzung der NIS bereits abgeschlossen haben, wir stellen jedoch fest, dass die jüngste Delegation bei der Regierung eine deutliche Verzögerung bei der Umsetzung der europäischen Richtlinien verzeichnet hat, die im vergangenen November auf 21 in Kraft getreten sind. Die nationale Situation enthält eine Aktualisierung des Nationalen Strategischen Rahmens im Februar 2017 und des Operationsplans, die jedoch nicht die in den beiden genannten Bestimmungen vorgesehene Umsetzung aufweisen. Zu den Zweifeln der Kommission hinsichtlich der Anwendung der NIS sollten meines Erachtens die verschiedenen Bestimmungen zur Überprüfung der Richtlinie zur Kenntnis genommen werden.
Artikel. 23 erwartet von der Kommission, dass sie dem Europäischen Parlament und dem Rat von 9 einen Bericht über die Kohärenz bei der Ermittlung der Betreiber wesentlicher Dienste vorlegt. Zwei Jahre nach Inkrafttreten der NIS-Richtlinie und jedes weiteren 2018 erstellt das CSIRT-Netzwerk einen Bericht, in dem die Erfahrungen mit der operativen Zusammenarbeit einschließlich der Schlussfolgerungen und Empfehlungen ausgewertet werden. Der Bericht wird der Kommission übermittelt, und eine regelmäßige Überprüfung der Richtlinie ist geplant. Die erste Beobachtung des Systems betrifft das Verhältnis zwischen der NIS - Richtlinie und den damit zusammenhängenden Kontextregeln, nämlich dem BIP und dem Datenschutz im Allgemeinen, den sektoralen Regeln der EU, beispielsweise im Seeverkehr und im Financial Banking, den nationalen Normen und dem internationale Regeln und Vereinbarungen, einschließlich des Datenschutzschildes. Es ist beispielsweise nicht klar, wie das Problem der Einhaltung der NIS- und DSGVO-Bestimmungen und der in Bezug auf den Datenschutzschild vorgesehenen Sanktionen, die europäischen Standards unterliegen sollten, gelöst werden soll. Lassen Sie uns in der Zwischenzeit die Verpflichtungen und Strafen für die Betreiber der wesentlichen Dienste sehen. „Die Betreiber wesentlicher Dienstleistungen sind private Unternehmen oder öffentliche Einrichtungen mit einer wichtigen Rolle für die Gesellschaft und die Wirtschaft in den folgenden Sektoren: Energie: Strom, Öl und Gas. Transport: Luft, Schiene, Meer und Straße. Banking: Kreditinstitute. Finanzmarktinfrastrukturen: Handelsplätze und zentrale Gegenparteien. Gesundheit: Gesundheitsumgebung. Wasser: Trinkwasserversorgung und -verteilung. Digitale Infrastruktur: Insbesondere Internet Exchange-Punkte, DNS-Dienstanbieter (Domain Name System) und TLD-Register (Top Level Domain).
In den Erwägungsgründen der Richtlinie wird jedoch darauf hingewiesen, dass Branchen wie das Finanzwesen und der Seeverkehr Industrienormen haben, die zur Anwendung des neuen Standards bewertet und gegebenenfalls integriert werden müssen. Ausgehend von der Annahme, dass die Fristen eingehalten werden, hätten die Mitgliedstaaten bereits im vergangenen November die Listen der Betreiber der für die 9 erbrachten wesentlichen Dienste erstellen müssen (Art. 23). Zu diesem Zweck heißt es im Gesetz: „1. Bis 9 November 2018 ermitteln die Mitgliedstaaten für jeden Sektor und jeden Teilsektor die Betreiber wesentlicher Dienste mit einer Niederlassung in ihrem Hoheitsgebiet. Die Kriterien für die Identifizierung der Betreiber wesentlicher Dienste sind folgende: Ein Subjekt stellt einen Dienst bereit, der für die Aufrechterhaltung grundlegender sozialer und / oder wirtschaftlicher Aktivitäten wesentlich ist; Die Bereitstellung dieses Dienstes hängt von den Netz- und Informationssystemen ab. Ein Unfall hätte erhebliche negative Auswirkungen auf die Erbringung dieser Dienstleistung. Jeder Mitgliedstaat erstellt eine Liste der Dienstleistungen. "So formuliert würde der Text vorschlagen, dass die Betreiber wesentlicher Dienste mit einem bestimmten" Vor- und Nachnamen "gekennzeichnet werden sollten. Abgesehen von der Tautologie des „Wesentlichen“ verstehen wir sofort die Zartheit des Themas, das erste potenzielle Problem bzw. die erste potenzielle Sicherheitslücke, für die die möglicherweise selektive Identifizierung von Betreibern wesentlicher Dienste, einschließlich europäischer und internationaler multinationaler Unternehmen, zu Ausnahmebehandlungen führen könnte gemäß den Listen der verschiedenen Mitgliedstaaten, der ständigen Organisation und / oder dem territorialen Standort des „Vertreters“ desselben, wie von den NUS gefordert. Denn große Dienstleistungsunternehmen nutzen Netzwerke von Vermittlungsunternehmen für die Dienstleistungen selbst, in Kaskaden, beispielsweise in den Bereichen Energie, Wasser, Telekommunikation usw. Wie verhalten sich die Behörden bei Unfällen mit diesen Personen und nicht mit den Muttergesellschaften? Und wie ist die Verpflichtung zur Einhaltung von Sicherheitsstandards zu verstehen? Und bis zu welchem Grad sollten Risikobewertung und Risikobewertung durchgeführt werden? Die quantitative und qualitative Unbestimmtheit der signifikanten negativen Auswirkungen macht die Definition der Wirkungsschwelle sehr unsicher. Das Gesetz sieht daher branchenübergreifende Faktoren vor, um die "erheblichen negativen Auswirkungen" zu definieren: die Anzahl der Nutzer, die von der von der betroffenen Partei erbrachten Dienstleistung abhängig sind; die Abhängigkeit anderer in Anhang II genannter Sektoren von der von diesem Subjekt erbrachten Dienstleistung; die Auswirkungen, die Unfälle in Bezug auf Größe und Dauer auf wirtschaftliche und soziale Tätigkeiten oder auf die öffentliche Sicherheit haben könnten; der Marktanteil des Fachs; die geografische Verteilung in Bezug auf das Gebiet, das von einem Unfall betroffen sein könnte; die Bedeutung des Themas für die Aufrechterhaltung eines ausreichenden Serviceniveaus unter Berücksichtigung der Verfügbarkeit alternativer Tools für die Bereitstellung dieses Services. "Sowie" sektorale Faktoren: wo angemessen ". Man fragt sich, wer als einer der Ersten in der europäischen Klasse bereits ökonometrische und soziale Daten und Schätzungen dieser Größenordnung in Bezug auf sein Hoheitsgebiet und / oder seine anderen Niederlassungen vorgelegt hat oder dessen Vertreter im Falle multinationaler Unternehmen Dienstleistungen auf dem Hoheitsgebiet des Landes erbringen. aber woanders sein. Wenn man nicht daran denkt, bei Unfällen von Fall zu Fall zu handeln, würde es in diesem Fall jedoch an den klaren Annahmen für die Meldung der Vorfälle selbst mangeln.
Wir kommen nun zu der Konformität, die sich wie folgt zusammenfassen lässt. Die Verpflichtungen zur Risikobewertung und -bewertung müssen mit der Einhaltung von EU- und internationalen Standards korrelieren: um Richtlinien und Standards wie das NIST-, COBIT-, ISO-, ISA- usw. Framework zu verstehen. Aber welche der Dutzenden von Normen werden in den einzelnen Mitgliedstaaten bevorzugt? Und hier öffnet sich der dritte Anwendungsfehler, der einen "Krieg" der Standards für Anbieter digitaler Produkte und Dienstleistungen auslösen könnte, da sich europäische und US-amerikanische Standards unterscheiden und unterschiedliche Auswirkungen auf die Produkte und Dienstleistungen selbst haben. Der Lobbydruck von Unternehmen, die digitale Dienste in einzelnen Mitgliedstaaten anbieten, ist offensichtlich denkbar. Obligatorische Mitteilungen, an die die Mitgliedstaaten gegebenenfalls die Strafen anpassen müssen. Alle müssen objektiven objektivierbaren Kriterien oder gemeinsamen Risikobewertungskriterien sowie der Zuständigkeit und territorialen Überprüfung entsprechen. Kurz gesagt, eine nette rechtliche und pragmatische Hornisse oder ein vierter Anwendungsfehler.
Nova Quelle