Alexander Koch

CER, DNA, GEREK, NIS, TKG – Bahnhof?

,

Der Telekommunikationssektor weist für das Gemeinwesen eine besondere Kritikalität auf. Fallen hier kritische Infrastrukturen aus, hat dies unmittelbare Folgen für die übrigen (kritischen und unkritischen) Infrastrukturen. Praktisch alle Lebensbereiche sind auf funktionierende Telekommunikationsdienstleistungen angewiesen, um ihrerseits funktionieren zu können. Hinzu kommt, dass der TK-Sektor europaweit im wahrsten Sinne des Wortes vernetzt ist.

Der unionale Gesetzgeber nimmt sich seit einiger Zeit der (IT-) Sicherheit im TK-Sektor an.

Zu nennen ist hier an erster Stelle die NIS-2-Richtlinie. Diese stellt umfangreiche Anforderungen an die IT-Sicherheit in wichtigen und wesentlichen Einrichtungen. Hierzu zählen die Anbieter von öffentlichen elektronischen Kommunikationsnetzen und -diensten. Diese werden – anders als die meisten anderen Einrichtungen – unabhängig von ihrer Größe erfasst. Das zeigt deutlich, welche herausgehobene Stellung der TK-Sektor insoweit einnimmt! Der unionale Gesetzgeber dürfte hier sogar über das beabsichtigte Ziel hinausgeschossen sein. Erfasst werden nämlich auch alle DNS-Anbieter – und hiervon gibt es unionsweit tausende, die für das Gemeinwesen völlig unkritisch sind. Hier plant der Unionsgesetzgeber derzeit Einschränkungen auf „große“ DNS-Anbieter. Zu den Details der geplanten Novellierung erscheint in Heft 5 der K&R ein Aufsatz von mir.

Die NIS-2-Richtlinie regelt – wie der Name „Network Information Security“ deutlich macht – die Sicherheit der Netzwerke oder neudeutsch: die Cybersicherheit. Die NIS-2-Richtlinie zielt also vorrangig auf einen Schutz vor „Hackern“ oder – allgemeiner – vor Gefahren, bei denen das Einfallstor die Netze sind.

Während der Fokus – sowohl in der öffentlichen Wahrnehmung wie auch in der Gesetzgebung – lange auf Cybergefahren lag, ist in den letzten Jahren immer deutlicher geworden, dass kritische Infrastrukturen – weiterhin! – physischen Gefahren ausgesetzt sind. Während der Corona-Krise ist unmittelbar sichtbar geworden, wie verletzlich unsere Infrastrukturen sind, wenn etwa plötzlich in großem Umfang Mitarbeitende krankheitsbedingt ausfallen oder ein Arbeiten in Großraumbüros aus Infektionsschutzgründen nicht mehr möglich ist. Spätestens seit dem Angriff Russlands auf die Ukraine ist zudem – erneut! – in Erinnerung gerufen worden, dass auch in Europa Bomben und Raketen die kritische Infrastruktur bedrohen. Und seit dem Angriff der USA auf den Iran und den hierdurch ausgelösten Vergeltungsschlägen ist deutlich, dass Rechenzentren nicht nur durch „Cyberangriffe“ bedroht sind, sondern auch für konventionelle Angriffe ein interessantes Ziel darstellen.

Die CER-Richtlinie bzw. Resilienz-Richtlinie wählt deshalb einen wesentlich breiteren Ansatz als die NIS-2-Richtlinie und erfasst alle Arten von Gefahren – bis hin zum (ausdrücklich genannten) Klimawandel. Im Fokus stehen hier physische Maßnahmen, etwa ein angemessener physischer Schutz von Räumlichkeiten, aber auch Zuverlässigkeitsüberprüfungen des Personals.

Mit den konkreten Anforderungen nach der NIS-2- und CER-Richtlinie habe ich mich in einem Aufsatz in der N&R 2026, 13, befasst – der Aufsatz ist hier abrufbar.

Die NIS-2- und die CER-Richtlinie haben also unterschiedliche Zielrichtungen. Sehr stark vereinfacht sind dies: Cybersicherheit (NIS-2) und physische Sicherheit (CER).

Es ist deshalb zunächst erstaunlich, dass die CER-Richtlinie den TK-Sektor in weiten Teilen aus dem Anwendungsbereich ausklammert. Zur Begründung verweist Erwägungsgrund 9 der CER-Richtlinie darauf, dass die „digitale Infrastruktur“ bereits von der NIS-2-Richtlinie erfasst wird. Es soll offensichtlich eine Doppelregulierung vermieden werden. So sinnvoll das Ziel ist, die betroffenen Unternehmen vor Doppelbelastungen zu schützen, so zweifelhaft ist hier aber, ob das vorliegend sinnvoll gelungen ist.

Der unionale Gesetzgeber geht offensichtlich davon aus, dass die NIS-2-Richtlinie bereits für ein umfassendes Schutzniveau im Bereich der digitalen Infrastruktur sorgt. Hierfür spricht, dass in Art. 21 Abs. 2 ausdrücklich Maßnahmen gefordert werden, die auf einem „gefahrenübergreifenden Ansatz beruhen“. Das kann man so verstehen, dass bei allen Cyberabwehrmaßnahmen auch immer die physische Seite umfassend mitgedacht werden muss. Allerdings gilt das nicht nur für die digitale Infrastruktur, sondern für alle Infrastrukturen. Während sich die Verpflichtung, ein Kraftwerk physisch abzusichern, ausdrücklich aus der CER-Richtlinie ergibt, würde diese für ein Rechenzentrum eines TK-Unternehmens aus dem „gefahrübergreifenden“ Ansatz der NIS-2-Richtlinie folgen. Das ist keine überzeugende Regelungstechnik!

Zu NIS und CER tritt demnächst DNA. Die Kommission arbeitet derzeit an einem Digital Networks Act – DNA. Anders als NIS und CER handelt es sich also nicht um eine Richtlinie, die in nationales Recht umgesetzt werden muss, sondern um eine unmittelbar geltende Verordnung. Der DNA-Entwurf betrifft unmittelbar den TK-Sektor. Im Kern geht es um den Übergang von Altnetzen zu Glasfaser, 5G- und 6G-Mobilfunk etc. Adressiert werden sollen aber auch Resilienzrisiken.

Hierzu enthält der DNA-Entwurf zunächst eine Generalklausel, wonach Unternehmen und Behörden zur Resilienz elektronischer Kommunikationsnetze beitragen sollen. Gefahren sollen antizipiert, Präventionsmaßnahmen ergriffen und Reaktionsmechanismen etabliert werden (Art. 4 DNA-Entwurf).

Das GEREK – also das Gremium Europäischer Regulierungsstellen für elektronische Kommunikation – erarbeitet einen „Bereitschaftsplan der Union für digitale Infrastrukturen“ (Art. 6 DNA-Entwurf). Der Plan umfasst unter anderem eine Reihe operativer Empfehlungen zu Netzresilienzmaßnahmen (Art. 5 DNA-Entwurf). Dieser Plan muss sodann von den TK-Unternehmen berücksichtigt werden.

Das (IT-) Sicherheitsrecht wird auf Unionsebene immer bedeutender. Damit verbunden ist allerdings auch eine Vielzahl von unterschiedlichen Rechtsakten, die es immer schwieriger macht, einen Überblick zu behalten. Gerade im TK-Sektor wird dies zusätzlich durch das schwierige Verhältnis zwischen NIS-2- und CER-Richtlinie verstärkt. Deutlich komplexer wird die Lage, wenn man die Durchführungsrechtsakte der Kommission – genannt sei hier die Verordnung 2024/2690 zur Ergänzung der NIS-2-Richtlinie für verschiedene digitale Infrastrukturen – und die nationalen Umsetzungen – insbesondere im BSIG, dem TKG, dem KRITISDachG – mit in den Blick nimmt. Hinzu treten dann noch diverse Verordnungen sowie ein Sicherheitskatalog der Bundesnetzagentur.

Post Views: 5
/von
Das könnte Dich auch interessieren
Letzte Änderungen bei der Umsetzung der NIS-2-Richtlinie im BSIG
Rückseiten von Aktenordner auf Regal.EuGH: Sonderkündigungsrecht für Telekommunikationsverträge bei einseitiger Vertragsanpassung
Vertragsklausel zur Vertragslaufzeit.BGH: zeitliche Höchstgrenze beim erstmaligen Abschluss von Telekommunikationsverträgen
Der Schutz (besonders) wichtiger und kritischer Netzinfrastrukturen
Cyber und resilient: das IT-Sicherheitsrecht im Überblick
Bundesnetzagentur startet Konsultation des Katalogs von Sicherheitsanforderungen nach § 167 TKG