NIS-Richtlinie und IT-Sicherheitsgesetz sind eng verwandt. Sieht man einmal von Bezeichnungen ab, liegt der wesentliche Unterschied darin, welche Bereiche zu den kritischen Infrastrukturen gehören.
Am Anfang war das IT-Sicherheitsgesetz (IT-SiG, Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme). Im Jahr 2015 wurde es vom deutschen Bundestag verabschiedet mit dem Ziel, die Sicherheit informationstechnischer Systeme zu erhöhen und zum Schutz von kritischen Infrastrukturen (KRITIS) in Deutschland beizutragen. KRITIS-Betreiber müssen seither IT-Sicherheit nach dem „Stand der Technik“ umsetzen und „erhebliche“ IT-Sicherheitsvorfälle an das BSI melden.
IT-Sicherheit auf EU-Ebene
Was das IT-SiG für Deutschland ist, ist die NIS-Richtlinie (europäische Richtlinie zur Gewährleistung einer hohen Netzwerk- und Informationssicherheit) in anderer rechtlicher Form für die EU. Sie ist Teil der gemeinsamen Cybersicherheitsstrategie, soll die Mitgliedsstaaten beim Aufbau nationaler Kapazitäten für Cyber-Sicherheit unterstützen und EU-weit ein hohes Sicherheitsniveau bei Netz- und Informationssystemen sicherstellen – eine Art IT-Sicherheitsgesetz auf der Ebene der Europäischen Union also. Als EU-Richtlinie musste sie von den Mitgliedstaaten in nationales Recht umgesetzt werden. In Deutschland ist das im Sommer 2017 erfolgt, mit dem „Gesetz zur Umsetzung der europäischen Richtlinie zur Gewährleistung einer hohen Netzwerk- und Informationssicherheit“, seit Sommer 2018 wird es angewendet.
Digitale Dienste
Trotz weitgehender Übereinstimmung unterscheidet sich die NIS-Richtlinie in einigen Punkten vom IT-SiG. Der wichtigste Unterschied besteht darin, dass die Richtlinie auch die Anbieter digitaler Dienste zu den kritischen Infrastrukturen, in der Richtlinie als „wesentliche Dienste“ bezeichnet, zählt, während vom IT-SiG lediglich Organisationen ab einer bestimmten Größe aus den Sektoren Energie, ITK, Wasser, Ernährung Finanz- und Versicherungswesen, Gesundheit und Transport und Verkehr betroffen waren. Im Einzelnen fallen unter die Anbieter digitaler Dienste Anbieter von Online-Marktplätzen, Suchmaschinen und Cloud-Computing-Services. Auch sie müssen Sicherheitsmaßnahmen umsetzen und Störungen melden.
Stärkung EU-weiter Zusammenarbeit
Weitere Änderungen gegenüber dem IT-SiG betreffen, naheliegend bei einer EU-Richtlinie, Regelungen für die EU-weite Zusammenarbeit bei der Aufarbeitung von Sicherheitsvorfällen, die Erweiterung von Melde- und Nachweispflichten für die KRITIS-Betreiber und die Stärkung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) durch mehr Befugnisse gegenüber den Unternehmen, wenn es darum geht, die Einhaltung der Sicherheitsanforderungen zu überprüfen.
