Die NIS-Richtlinie der EU hält einige Überraschungen für Internetunternehmen aus den USA bereit

NIS-Richtlinie

Im Mai ist ein wichtiges Datenschutzgesetz in Kraft getreten, das Folgen für Unternehmen sowohl in der EU als auch in den USA haben wird, und das immer ein wenig im Schatten der Datenschutz-Grundverordnung (DSGVO), die wir schon etliche Male im IOSBlog thematisiert haben, stand: Die NIS-Richtlinie ist zwar enger auf die „kritische Infrastruktur“ in der EU zugeschnitten, sie hat aber auch einige überraschende Konsequenzen für Unternehmen außerhalb der EU, die überhaupt nichts mit dem Betrieb von Wasserkraftwerken oder anderen kritischen bzw. wesentlichen Diensten zu tun haben.

Es ist eine Richtlinie!

Wir sollten unbedingt im Blick behalten, dass diese neue Rechtsnorm eine Richtlinie ist. Wir wissen vom Vorgänger der DSGVO, der Datenschutzrichtlinie, dass im Sprachgebrauch der EU-Bürokraten eine Richtlinie ein Entwurf oder eine Vorlage für ein Gesetz ist.  Die einzelnen EU-Länder müssen bei der „Umsetzung“ der Richtlinie in lokales Recht die Einzelheiten klären.

Die NIS-Richtlinie hält nur fest, dass Unternehmen, die „wesentliche Dienste“ (ein EU-Ausdruck für kritische Infrastruktur) erbringen, „geeignete und verhältnismäßige technische und organisatorische Maßnahmen“ gegen Cyber-Angriffe ergreifen und erhebliche Sicherheitsereignisse „unverzüglich“ bei den Behörden melden müssen.

Und mehr steht nicht drin!

Weil die NIS-Richtlinie also extrem vage bleibt, hat die Legislative erheblichen Spielraum bei der Ausgestaltung der Details. Und ja, das bedeutet, dass sich die Umsetzung der NIS-Richlinie wie bei der alten Datenschutzrichtlinie von Land zu Land erheblich unterscheiden wird – wobei einige nationalen Aufsichtsbehörden wesentlich strikter im Hinblick auf Bußgelder und Durchsetzung sein werden als andere.

In einigen Ländern ist die NIS-Richtlinie bereits umgesetzt worden – zum Beispiel gibt es eine lokalisierte Fassung in Großbritannien – aber in den meisten läuft die Ausarbeitung noch. Wie sich herausstellt, haben die Nachzügler noch etwas mehr Zeit, ihre individuellen Gesetze zu erlassen. Die NIS-Richtlinie sieht vor, dass EU-Länder tatsächlich bis November 2018 die wesentlichen Betreiber identifizieren sollen.

Richtig gelesen! Anders als die DSGVO gilt die NIS-Richtlinie (zu großen Teilen) nur für eine ausdrücklich festgelegte Gruppe von Unternehmen in Branchen, die wesentliche Dienste erbringen, wozu Energieversorgung, Verkehrswesen, Gesundheitswesen, Finanz- und Bankendienstleitungen gehören.

Zu dem Zeitpunkt, an dem ich diesen Artikel schreibe, hat meines Wissens nach noch kein EU-Land diese Liste vorgelegt. De facto befindet sich die NIS-Richtlinie in der Warteschleife, bis wir mehr von den lokalen Regierungen über ihre Auswahl wesentlicher Dienste hören.

US-Anbieter digitaler Dienste fallen unter die NIS-Richtlinie

Die NISD schafft jedoch eine Ausnahme für digitale Dienstleister. Die EU-Länder müssen keine Liste der Unternehmen vorlegen, die die notwendige Online-Infrastruktur anbieten. Laut NIS-Richtline sind alle Unternehmen, die Cloud Computing, Online-Marktplätze, die Käufer mit Verkäufern verbinden, oder Suchmaschinendienste anbieten, automatisch entsprechende digitale Dienstleister!

Und für sie gelten die Bestimmungen der NIS-Richtlinie sofort. (Zur Information: Mikro- und Kleinanbieter digitaler Dienste mit weniger als 50 Mitarbeitern und weniger als 10 Mio. EUR Umsatz sind ausgenommen.)

US-Unternehmen aus dem Cloud- und Online-Marktplatzbereich – von denen es sehr viele gibt – werden Ihr EU-Geschäft auf jeden Fall überarbeiten müssen.

Aber es gibt noch einen weiteren Haken.

Erinnern Sie sich, dass die DSGVO sogar für Unternehmen außerhalb der EU gilt, die dort gar keinen physischen Standort haben?

Wie für die DSGVO gilt dieses Konzept eines erweiterten Geltungsbereichs auch für die NIS-Richtlinie. Wenn ein US-Unternehmen z. B. einen Online-Marktplatz für die Vermietung von Ferienapartments betreibt und diese Leistung in Großbritannien oder Frankreich bewirbt, fällt es in den Regelungsbereich der NIS-Richtlinie. Weitere Informationen über den geografischen Geltungsbereich der NIS-Richtlinie finden Sie in diesem juristischen Artikel.

Melden eines Cyber-Angriffs gemäß NIS-Richtlinie

Die NIS-Richtlinie führt ein paar Kriterien auf, die Anbieter digitaler Dienste bei der Entscheidung unterstützen sollen, ob sich ein Cyber-Angriff „wesentlich“ auf ihren Betrieb auswirkt. Dazu gehören die Anzahl der betroffenen Benutzer, die Dauer, der geografische Umfang und die wirtschaftlichen Kosten.

NIS-Richtlinie

Das Kleingedruckte der NIS-Richtlinie für die Meldung von Cyber-Vorfällen mit Auswirkungen auf einen Anbieter digitaler Dienste.

Unter die NIS-Richtlinie fallen Ransomware-, DDoS- oder sonstige betriebsstörende Cyber-Angriffe auch auf einen US-Online-Dienstleister, der zum Beispiel eine Apartment- oder Car-Sharing-Seite, Web-Hosting oder Suchmaschinen für den europäischen Markt anbietet, unabhängig davon, ob er physische Server in der EU betreibt. Dieser müsste den Vorfall der lokalen Aufsichtsbehörde melden, die in der NIS-Richtlinie als Computer-Notfallteam bzw. CIRT bezeichnet wird.

Bei Unterlassungen drohen Bußgelder!

Als Grundlage ist in der britischen Umsetzung der NIS-Richtlinie eine maximale Strafzahlung von 17 Mio. EUR vorgesehen. Das Ausmaß kann sich natürlich ändern, weil jedes EU-Land Bußgelder und Strafen nach eigenem Ermessen festlegen kann.

Auf jeden Fall müssen auch Anbieter digitaler Dienste aus den USA jetzt ein weiteres EU-Gesetz berücksichtigen. Kurz gesagt müssen sie nicht nur die Sicherheits- und Datenschutzvorschriften für personenbezogene Daten aus der DSGVO einhalten, sondern auch die allgemeineren Anforderungen der NIS-Richtlinie in Bezug auf die Absicherung der IT- und Netzwerkinfrastruktur gegen Betriebsstörungen.