Foto: Europäisches Parlament 2013

Verhandlungsstand zur NIS-Richtlinie der EU

Erstellt am 15.12.2014

Im März 2013 stellte die Kommission ihren Vorschlag für eine EU-Richtlinie zur Netz- und Informationssicherheit (NIS) vor. Die Richtlinie ist Teil der Cyber-Sicherheitsstrategie der EU und zielt darauf ab, Angriffe auf die Netz- und Informationssicherheit zu bekämpfen. Seit März 2014 gibt es eine Position des Europäischen Parlaments. Eine Einigung im Ministerrat steht noch immer aus. Obwohl kein vollständiges Mandat des Rats vorliegt, laufen seit diesem Oktober die Trilogverhandlungen zwischen Parlament, Rat und Kommission. Diese gestalten sich allerdings äußerst zäh. Seit 2 Monaten laufen "Sondierungsgespräche", in denen das Parlament versucht, die Ratsposition zu erraten. Der Rat ist nicht in der Lage, einen konkreten Text für die gesamte Richtlinie vorzulegen. Auch deshalb müssen weitere Verhandlungen auf nächstes Jahr verschoben werden. Die Hauptprobleme sind der Anwendungsbereich, das Kooperationsnetzwerk und die Meldeverpflichtungen im Falle eines Angriffs.

Die Mitgliedstaaten sollen sicherstellen, dass "Marktteilnehmer" die Sicherheitsrisiken für Netz- und Informationssysteme minimieren. Der Begriff "Marktteilnehmer" ist im Kommissionsvorschlag sehr weit gefasst und betrifft Informationsdienstleister, wie z.B. soziale Netzwerke oder Suchmaschinen, aber auch Energieversorger, Finanzmarktinfrastruktur und Gesundheitsdienstleister. Das Europäische Parlament will Informationsdienstleister nicht in den Anwendungsbereich der Richtlinie aufnehmen, sondern sich auf "wahre kritische Infrastrukturen" beschränken. Die Frage, ob Internetdienste in NIS geregelt sein sollen, bestimmt die Verhandlungen und ist einer der Hauptkonflikte sowohl innerhalb des Rats als auch zwischen Rat und Parlament. Der Wille, im Bereich der Netz- und Informationssicherheit zusammenzuarbeiten, scheint in vielen Mitgliedstaaten kaum vorhanden.

Aus Grüner Sicht verdient der Vorschlag zu NIS in der Sache Unterstützung, geht aber nicht weit genug. Die vorgeschlagenen Maßnahmen dokumentieren nur erfolgte Angriffe und reagieren auf diese. Präventive Maßnahmen – etwa die verantwortungsvolle Veröffentlichung bekannter Sicherheitslücken oder aber die Schaffung von Anreizen für Hersteller von IT-Systemen, in mehr Sicherheit zu investieren – enthalten die vorgeschlagenen Maßnahmen nicht.

Ausführlichere Informationen und weitere Kritikpunkte

Cybersecurity? Nothing to do with us, mate – Google and Facebook, Artikel dazu in The Register

Kommentare

Keine Kommentare

Kommentar hinzufügen
*
*

*
CAPTCHA-Bild zum Spam-Schutz Wenn Sie das Wort nicht lesen können, bitte hier klicken.

*