26.04.2024 13:39

NIS2 – Richtlinie: Ein zweiter Blick auf den Text

Beim Schreiben unserer Stellungnahmen zum Entwurf des NISG 2024 habe ich mir die Paragrafen, die uns betreffen, genauer angesehen. Diesmal nicht mit dem Blickwinkel „macht das Sinn“, sondern mit Fokus auf die Formulierungen. Das erinnert mich ein bisschen an die Zeit, als ich bei der Erstellung von RFCs mitgearbeitet habe und da auch bei Reviews jedes Wort genau auf mögliche Fehldeutungen abgeklopft habe.

Ich hatte beim Lesen drei Dokumente offen: den Gesetzesentwurf, die Richtlinie in der deutschen Version und auch die englische Fassung. Und viele der schlechten Formulierungen waren keine Erfindungen aus Wien, sondern wurden schon in Brüssel erfunden. Ich will das hier dokumentieren:

Domain vs. Domäne

Der Zug ist bei Gesetzestexten wahrscheinlich schon abgefahren, aber englische Begriff „domain“ im Kontext des DNS wird normalerweise nicht eingedeutscht, sondern als „Domain“ verwendet (Siehe Webseiten der Registries [at, de, ch] oder Webhostern  [1, 2, 3]), während das Wort „Domäne“ primär im Kontext von Windows und Active Directory verwendet wird.

DNS-Diensteanbieter

§ 3 Z 12 definiert sie als

"Einrichtung, die b) autoritative Dienste zur Auflösung von Domänennamen zur Nutzung durch Dritte, mit Ausnahme von Root-Namenservern, anbietet";

„Dritte“ ist hier nicht eindeutig, das könnte sich auf Domaininhaber beziehen, die ihre Domains auf den autoritative Nameservern eines DNS-Diensteanbieter hosten lassen, oder auf die Personen, die Anfragen an diese Nameserver stellen. Die erstere Deutung ist hoffentlich die gewünschte, wenn man „Dritte“ durch „Domaininhaber“ ersetzt, ist das eindeutig. Das Original „authoritative domain name resolution services for third-party use“ hat das gleiche Problem.

Definition von „Einrichtung, die Domänennamen-Registrierungsdienste erbringt“

Hier ist schon in der deutschen Version der Richtlinie ein Fehler drinnen, indem „Anbieter“ und „Wiederverkäufer“ vertauscht wurden.

Aus dem englischen „(22) ‘entity providing domain name registration services’ means a registrar or an agent acting on behalf of registrars, such as a privacy or proxy registration service provider or reseller;“ wurde in in der deutschen Version „Einrichtung, die Domänennamen-Registrierungsdienste erbringt“ ein Registrar oder eine Stelle, die im Namen von Registraren tätig ist, wie etwa ein Anbieter oder Wiederverkäufer von Datenschutz- oder Proxy-Registrierungsdiensten;".

Korrekt wäre aber

„Einrichtung, die Domänennamen-Registrierungsdienste erbringt“ ein Registrar oder eine Stelle, die im Namen von Registraren tätig ist, wie etwa ein Anbieter von Datenschutz- oder Proxy-Registrierungsdiensten oder Wiederverkäufer;“,

oder (besser)

„Einrichtung, die Domänennamen-Registrierungsdienste erbringt“ ein Registrar oder eine Stelle, die im Namen von Registraren tätig ist, wie etwa Wiederverkäufer oder Anbieter von Datenschutz- oder Proxy-Registrierungsdiensten;"

Aufgaben der CSIRTs

Der erste Absatz lautet hier

§8 (1) 1. die Überwachung und die Analyse von Cyberbedrohungen, Schwachstellen und Cybersicherheitsvorfällen auf nationaler Ebene und gegebenenfalls die Unterstützung betreffender wesentlicher und wichtiger Einrichtungen hinsichtlich der Überwachung ihrer Netz- und Informationssysteme in Echtzeit oder nahezu in Echtzeit;

Ja, das ist fast 1:1 der Text aus der Direktive, in dem wurde das schon holprige englische „concerned“ als „betreffende“ übersetzt. Was das Wort im Gesetzestext aussagen soll, erschließt sich mir nicht. Besser wäre „betroffener“: damit ist klar die Einrichtungen gemeint, die von den Bedrohungen, Schwachstellen und Vorfällen betroffen sind. Da viele Cyberbedrohungen aber generisch sind, und daher eine gezielte Hilfe nicht immer machbar ist, oder die Hilfe proaktiv ist, könnte man auch das Wort „betreffender“ einfach weglassen.

Domaininhberinformationen

§30 (1) Die TLD-Namenregister und die Einrichtungen, die Domänennamen-Registrierungsdienste erbringen, haben in einer eigenen Datenbank genaue und vollständige Domänennamen-Registrierungsdaten zu sammeln

In der englischen Direktive steht hier „accurate and complete“, was besser mit „korrekt und vollständig“ zu übersetzen wäre. Das Wort „genau“ hat zwei Bedeutungen: es kann „exakt richtig“ meinen, aber auch nur dass die Angabe sehr spezifisch – aber nicht notwendigerweise korrekt – ist. Da mit dem zweiten Adjektiv „vollständig“ klar ist, dass etwa nur die Angabe des Nachnamens nicht reicht, ist bei „genau“ die Bedeutung „korrekt“ die relevante, worauf es mehr Sinn macht, gleich dieses Wort zu verwenden.

Meldepflichten bei lang anhaltenden Vorfällen

§34 (2) 5. im Falle eines andauernden Cybersicherheitsvorfalls zum Zeitpunkt der Vorlage des Abschlussberichts gemäß Z 4 haben die betreffenden Einrichtungen zu diesem Zeitpunkt einen Fortschrittsbericht und einen Abschlussbericht innerhalb eines Monats nach Behandlung des Cybersicherheitsvorfalls zu übermitteln.

Auch hier ist schon die Textvorlage der Direktive nicht verständlich formuliert („Behandlung des Cybersicherheitsvorfalls“ ist kein Zeitpunkt, sondern ein lange dauernder Vorgang). Eine bessere Formulierung wäre etwa

Falls der Cybersicherheitsvorfalls zum Zeitpunkt der Fälligkeit der Vorlage des Abschlussberichts gemäß Z 4 noch andauert, haben die betreffenden Einrichtungen bis zu diesem Zeitpunkt einen Fortschrittsbericht zu übermitteln. Der Abschlussbericht muss bis maximal ein Monat nach Beendigung der Vorfallsbehandlung übermittelt werden.

Oder aber (ganz verstehen wir die Intention hinter der Formulierung in der Direktive nicht):

Falls der Cybersicherheitsvorfalls zum Zeitpunkt der Fälligkeit der Vorlage des Abschlussberichts gemäß Z 4 noch andauert, haben die betreffenden Einrichtungen bis zu diesem Zeitpunkt einen Fortschrittsbericht zu übermitteln, wodurch sich die Frist für die Vorlage des Abschlussberichts um ein Monat nach hinten verschiebt.

Verfasst von: Otmar Lendl