https://dr-christian-knebel.de/tags/nis-richtlinie/Recent content in Nis-Richtlinie on Dr. Christian KnebelHugo -- gohugo.iode-deSat, 31 Dec 2016 20:00:00 +0100https://dr-christian-knebel.de/posts/2016-12-monatsrueckblick/Sat, 31 Dec 2016 20:00:00 +0100https://dr-christian-knebel.de/posts/2016-12-monatsrueckblick/<p>Das Jahr 2016 endet. Was das <a href="https://www.gesetze-im-internet.de/ozg/" target="_blank" rel="noopener noreferrer" > Onlinezugangsgesetz </a> betrifft: Es kommt. Im parlamentarischen Verfahren, angekündigt für 2017. Was dieses Jahr ohne OZG für die Verwaltungsdigitalisierung geleistet hat, ist trotzdem mehr als nichts.</p> <h2 id="was-2016-für-die-e-government-grundlagen-gebracht-hat">Was 2016 für die E-Government-Grundlagen gebracht hat</h2> <p>Die <a href="https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32016R0679" target="_blank" rel="noopener noreferrer" > DSGVO </a> ist in Kraft getreten. Was das für alle digitalen Verwaltungsdienste bedeutet, die bis Mai 2018 starten oder laufen: Sie müssen DSGVO-konform sein. Wer jetzt anfängt zu planen, hat die Übergangszeit auf seiner Seite.</p> <p>Die <a href="https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32016L1148" target="_blank" rel="noopener noreferrer" > NIS-Richtlinie </a> wurde beschlossen. IT-Sicherheit für kritische Infrastrukturen und digitale Dienste wird europaweit verbindlicher. Was Deutschland daraus macht, entscheidet die Umsetzung in nationales Recht.</p> <p>Was die geopolitischen Ereignisse, Brexit und Trump-Wahl, für die Verwaltungsdigitalisierung bedeuten: Die Frage der digitalen Souveränität ist vom Randthema zur strategischen Notwendigkeit geworden. Europäische digitale Infrastruktur ist nicht mehr nur ein ideologisches Anliegen, sondern eine praktische Resilienzanforderung.</p> <h2 id="was-2016-nicht-geleistet-hat">Was 2016 nicht geleistet hat</h2> <p>Das Onlinezugangsgesetz ist nicht beschlossen worden. Was das bedeutet: Die verbindliche gesetzliche Grundlage für das große Digitalisierungsprogramm fehlt noch. Was 2017 nachholen muss.</p> <p>Die Registermodernisierung ist nicht vorangekommen. Das Once-Only-Prinzip bleibt Wunsch. Was gelöst werden muss: die Frage einer einheitlichen Personenkennung und die rechtliche Grundlage für den Register-Datenaustausch.</p> <p>Die kommunale Kapazitätsfrage ist ungelöst. Was Kommunen brauchen, um die kommenden Digitalisierungsanforderungen zu erfüllen, steht in keinem Verhältnis zu dem, was ihnen strukturell zur Verfügung steht.</p> <h2 id="was-2017-leisten-muss">Was 2017 leisten muss</h2> <p>Das Onlinezugangsgesetz muss im ersten Halbjahr 2017 verabschiedet werden. Was danach sofort beginnen muss: Die operative Planung, die Themenfeld-Zuordnungen, der Start der <a href="https://www.fitko.de/" target="_blank" rel="noopener noreferrer" > FITKO </a>-Gründungsplanung.</p> <p>Was die Bundestagswahl im September bedeutet: Das Gesetz sollte vor der Wahl verabschiedet sein, damit die operative Planung nicht vollständig von der neuen Bundesregierung abhängt. Wer wartet, bis nach der Wahl eine neue Koalition steht, verliert ein weiteres halbes Jahr.</p> <p>Was 2016 hinterlässt: eine klarere Problemdiagnose als je zuvor, und den Druck, 2017 konkret zu liefern.</p> <h2 id="hat-sie-das-thema-interessiert">Hat Sie das Thema interessiert?</h2> <p>Wenn Sie die OZG-Planung für 2017 angehen wollen: Ich bin über das Kontaktformular unten erreichbar.</p>https://dr-christian-knebel.de/posts/2016-07-monatsrueckblick/Sun, 31 Jul 2016 20:00:00 +0200https://dr-christian-knebel.de/posts/2016-07-monatsrueckblick/<p>Am 6. Juli 2016 tritt die EU-Richtlinie zur Netz- und Informationssicherheit (NIS) in Kraft. Was sie bedeutet: Erstmals gibt es EU-weit verbindliche Anforderungen an die IT-Sicherheit für kritische Infrastrukturen und wesentliche digitale Dienste. Deutschland hat zwei Jahre Zeit, sie in nationales Recht umzusetzen.</p> <h2 id="was-die-nis-richtlinie-für-öffentliche-verwaltungen-bedeutet">Was die <a href="https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32016L1148" target="_blank" rel="noopener noreferrer" > NIS-Richtlinie </a> für öffentliche Verwaltungen bedeutet</h2> <p>Die NIS-Richtlinie adressiert primär Betreiber kritischer Infrastrukturen und Anbieter digitaler Dienste. Was öffentliche Verwaltungen betrifft: Sie sind sowohl Nutzer von IT-Infrastrukturen als auch, in manchen Fällen, Betreiber kritischer Systeme.</p> <p>Was das in der Praxis bedeutet: Behörden, die Infrastrukturen für Gesundheitsversorgung, Wasserversorgung, Transport oder Energie verwalten, sind direkt von der NIS-Richtlinie betroffen. Was für alle anderen gilt: Die NIS-Richtlinie hebt den allgemeinen IT-Sicherheitsstandard, an dem Behörden gemessen werden.</p> <p>Was die Verbindung zur Verwaltungsdigitalisierung ist: Wer digitale Dienste entwickelt und betreibt, entwickelt und betreibt auch angreifbare Systeme. Was die NIS-Richtlinie erzwingt: Security muss in den Betrieb digitaler Dienste eingebaut sein, nicht als nachträgliche Sicherheitsschicht.</p> <h2 id="was-das-bsi-in-diesem-rahmen-leistet">Was das <a href="https://www.bsi.bund.de/" target="_blank" rel="noopener noreferrer" > BSI </a> in diesem Rahmen leistet</h2> <p>Das Bundesamt für Sicherheit in der Informationstechnik ist die deutsche Fachbehörde für IT-Sicherheit. Was der <a href="https://www.bsi.bund.de/grundschutz" target="_blank" rel="noopener noreferrer" > IT-Grundschutz </a> des BSI leistet: eine praxisnahe Methodik für die Umsetzung von IT-Sicherheitsanforderungen in Behörden.</p> <p>Was viele Behörden mit dem IT-Grundschutz machen: ihn als Compliance-Instrument behandeln, das man einmalig durchläuft und dann zum Ruhen bringt. Was ihn wirkungsvoll macht: kontinuierliche Anwendung, regelmäßige Aktualisierung, und Verknüpfung mit dem laufenden IT-Betrieb.</p> <p>Was für OZG-Dienste relevant ist: Die BSI-Anforderungen sollten als Abnahmekriterium in die EfA-Dienst-Entwicklung eingebaut werden. Ein Dienst, der die IT-Grundschutz-Anforderungen nicht erfüllt, sollte nicht zur Nachnutzung freigegeben werden. Was das erfordert: BSI-Konformität als explizite Anforderung in der OZG-Entwicklungsplanung, die noch aussteht.</p> <h2 id="was-it-sicherheit-mit-bürgerinnenvertrauen-zu-tun-hat">Was IT-Sicherheit mit Bürger:innenvertrauen zu tun hat</h2> <p>Was häufig vergessen wird: IT-Sicherheit ist nicht nur ein technisches Problem. Sie ist ein Vertrauensproblem. Bürger:innen, die digitale Verwaltungsdienste nutzen, übergeben persönliche Daten. Was sie dafür erwarten: dass diese Daten nicht in falsche Hände geraten.</p> <p>Was ein Sicherheitsvorfall bei einem Verwaltungsdienst anrichtet: nicht nur operativen Schaden, sondern Vertrauensverlust in die digitale Verwaltung insgesamt. Ein Datenleck bei einem OZG-Dienst kann die Bereitschaft der Bürger:innen, andere Dienste zu nutzen, nachhaltig beschädigen.</p> <p>Was das für die Entwicklungsprioritäten bedeutet: Sicherheit und Vertrauenswürdigkeit sind keine Nachrangthemen. Sie sind Kernqualitäten eines digitalen Verwaltungsdienstes.</p> <h2 id="hat-sie-das-thema-interessiert">Hat Sie das Thema interessiert?</h2> <p>Wenn Sie IT-Sicherheitsanforderungen in Ihre Digitalisierungsprojekte strukturiert einbauen wollen: Das Kontaktformular unten ist der direkteste Weg zu mir.</p>