ENISA-Empfehlungen zu Sicherungsmaßnahmen und Meldung von Sicherheitsvorfällen bei DSPs

Die European Union Agency for Network and Information Security (ENISA) hat im Februar zwei Veröffentlichungen zu Fragen der Implementierung minimaler Sicherheitsvorkehrungen und zum Umgang mit Sicherheitsvorfällen bei Digitalen Service Providern (DSPs) vorgestellt. Studie und Guideline sollen den Anbietern digitaler Dienste bei der Prozessanalyse und Einschätzungen der notwendigen Schritte im Falle erheblicher Sicherheitsvorfälle unterstützen.

NIS-Richtlinie und IT-Sicherheitsgesetz

Die am 08. August 2016 in Kraft getretene NIS-Richtlinie muss in den EU-Mitgliedsstaaten bis zum 09. Mai 2018 umgesetzt werden. Von da an müssen Unternehmen diese bzw. nationale Bestimmungen zur IT-Sicherheit beachten. Ab 25. Mai 2018 gelten darüber hinaus die neuen europäischen Datenschutzregeln, an welche ebenfalls die Unternehmensprozesse anzupassen sind.

Viele Maßnahmen aus der NIS-Richtlinie sind in Deutschland in dem bereits im Juli 2015 in Kraft getretenen IT-Sicherheitsgesetz enthalten. Der BVDW hatte dazu eine entsprechende Stellungnahme veröffentlicht. Der erste Teil zugehörigen KRITIS-Verordnung zur Umsetzung des IT-Sicherheitsgesetzes ist am 3. Mai 2016 in Kraft getreten und betrifft die Sektoren Energie, Informationstechnik und Telekommunikation, Wasser sowie Ernährung.

Das Kabinett hat am 30.Januar 2017 zusätzlich Entwurf des Gesetzes zur weiteren Umsetzung der NIS-Richtlinie  beschlossen. Das Gesetz eine Rechtsgrundlage für den Einsatz sog. Mobiler Incident Response Teams ("MIRTs") bieten. Ebenso wird das Bundesamt für Sicherheit in der Informationstechnik (BSI) zukünftig die Verwaltung und Betreiber kritischer Infrastrukturen auf deren Ersuchen hin bei herausgehobenen Sicherheitsvorfällen unterstützen können. In Deutschland bestand allerdings relativ geringer zusätzlicher Umsetzungsbedarf.

Security Measures for Digital Service Providers

In ihrer am 16. Februar 2017 veröffentlichten Studie beschreibt die ENISA die hochrangigen Sicherheitsziele durch die Bereitstellung von Sicherheitsmaßnahmen und Beispiele für die Umsetzung in Bezug auf DSPs insbesondere Cloud Computing Service Provider, Online-Marktplätze, Online-Suchmaschinen.

Incident Notification for Digital Service Providers

Am 27. Februar 2017 wurden zudem eine umfassende Guideline zum Umgang mit Sicherheitsvorfällen und  deren Meldung. Gemäß der NIS-Richtlinie müssen Service Provider die unverzüglich ihre zuständige Aufsichtsbehörde im Falle von Vorfällen, die einen erheblichen Einfluss auf den zur Verfügung gestellten Service hat,  informieren. Dies gilt auch nach dem IT-Sicherheitsgesetz. Das Papier beschreibt den Kreis der Adressaten, nennt Kriterien zur Einschätzung der Erheblichkeit eines Vorfalls und gibt Hinweise zum Prozessmanagement bei Sicherheitsvorfällen.