NIS-Richtlinie in Kraft. Was IT-Sicherheit für Verwaltung bedeutet. – Juli 2016 im E-Government-Rückblick.
Am 6. Juli 2016 tritt die EU-Richtlinie zur Netz- und Informationssicherheit (NIS) in Kraft. Was sie bedeutet: Erstmals gibt es EU-weit verbindliche Anforderungen an die IT-Sicherheit für kritische Infrastrukturen und wesentliche digitale Dienste. Deutschland hat zwei Jahre Zeit, sie in nationales Recht umzusetzen.
Was die NIS-Richtlinie für öffentliche Verwaltungen bedeutet
Die NIS-Richtlinie adressiert primär Betreiber kritischer Infrastrukturen und Anbieter digitaler Dienste. Was öffentliche Verwaltungen betrifft: Sie sind sowohl Nutzer von IT-Infrastrukturen als auch, in manchen Fällen, Betreiber kritischer Systeme.
Was das in der Praxis bedeutet: Behörden, die Infrastrukturen für Gesundheitsversorgung, Wasserversorgung, Transport oder Energie verwalten, sind direkt von der NIS-Richtlinie betroffen. Was für alle anderen gilt: Die NIS-Richtlinie hebt den allgemeinen IT-Sicherheitsstandard, an dem Behörden gemessen werden.
Was die Verbindung zur Verwaltungsdigitalisierung ist: Wer digitale Dienste entwickelt und betreibt, entwickelt und betreibt auch angreifbare Systeme. Was die NIS-Richtlinie erzwingt: Security muss in den Betrieb digitaler Dienste eingebaut sein, nicht als nachträgliche Sicherheitsschicht.
Was das BSI in diesem Rahmen leistet
Das Bundesamt für Sicherheit in der Informationstechnik ist die deutsche Fachbehörde für IT-Sicherheit. Was der IT-Grundschutz des BSI leistet: eine praxisnahe Methodik für die Umsetzung von IT-Sicherheitsanforderungen in Behörden.
Was viele Behörden mit dem IT-Grundschutz machen: ihn als Compliance-Instrument behandeln, das man einmalig durchläuft und dann zum Ruhen bringt. Was ihn wirkungsvoll macht: kontinuierliche Anwendung, regelmäßige Aktualisierung, und Verknüpfung mit dem laufenden IT-Betrieb.
Was für OZG-Dienste relevant ist: Die BSI-Anforderungen sollten als Abnahmekriterium in die EfA-Dienst-Entwicklung eingebaut werden. Ein Dienst, der die IT-Grundschutz-Anforderungen nicht erfüllt, sollte nicht zur Nachnutzung freigegeben werden. Was das erfordert: BSI-Konformität als explizite Anforderung in der OZG-Entwicklungsplanung, die noch aussteht.
Was IT-Sicherheit mit Bürger:innenvertrauen zu tun hat
Was häufig vergessen wird: IT-Sicherheit ist nicht nur ein technisches Problem. Sie ist ein Vertrauensproblem. Bürger:innen, die digitale Verwaltungsdienste nutzen, übergeben persönliche Daten. Was sie dafür erwarten: dass diese Daten nicht in falsche Hände geraten.
Was ein Sicherheitsvorfall bei einem Verwaltungsdienst anrichtet: nicht nur operativen Schaden, sondern Vertrauensverlust in die digitale Verwaltung insgesamt. Ein Datenleck bei einem OZG-Dienst kann die Bereitschaft der Bürger:innen, andere Dienste zu nutzen, nachhaltig beschädigen.
Was das für die Entwicklungsprioritäten bedeutet: Sicherheit und Vertrauenswürdigkeit sind keine Nachrangthemen. Sie sind Kernqualitäten eines digitalen Verwaltungsdienstes.
Hat Sie das Thema interessiert?
Wenn Sie IT-Sicherheitsanforderungen in Ihre Digitalisierungsprojekte strukturiert einbauen wollen: Das Kontaktformular unten ist der direkteste Weg zu mir.