Cyber Cyber

Die Richtlinie zu Netzwerk- und Informationssicherheit & das IT-Sicherheitsgesetz

Erstellt am 22.07.2015

Aktualisiert am 21.12.2015

Am 7. Dezember 2015 gab es nach langen Verhandlungen eine Einigung zwischen EU-Parlament, Rat und Kommission über das erste EU-Gesetz zur Cybersicherheit. Voraussichtlich am 14. Januar 2016 wird der Binnenmarkt-Ausschuss des Parlaments über die Netzwerk- und Informationssicherheitsrichtlinie (NIS) abstimmen. Jan Philipp Albrecht ist hierzu der Schattenberichterstatter der Grünen-Fraktion. 

Die EU macht damit immerhin einen kleinen Schritt hin zu mehr Cybersicherheit im Bereich kritischer Infrastrukturen und bei großen Anbietern digitaler Dienste. Verbraucherinnen und Verbrauchern wird die NIS-Richtlinie etwas, aber nicht viel mehr Schutz ihrer Daten bieten.

Verpflichtende Meldungen und Austausch über Vorfälle wird das Gesetz aber bringen. Die NIS-Richtlinie verpflichtet Betreiber kritischer Infrastrukturen, sich vor Cyberattacken besser zu schützen – Energiekonzerne, Banken und Finanzdienstleister, Kliniken, Flughäfen, Wasserversorger. Unternehmen müssen Sicherheitslücken und Angriffe auf ihre Systeme schneller melden, die Mitgliedstaaten müssen sich besser austauschen. Ein Netzwerk von IT-Sicherheitsbehörden wie dem Bundesamt für Sicherheit in der Informationstechnik soll grenzüberschreitende Vorfälle untersuchen und auf diese reagieren. 

Digitale Diensteanbieter wie Suchmaschinen, Cloud Services und e-commerce-Plattformen sind nach langen Verhandlungen ebenfalls in die Richtlinie aufgenommen worden. Das EU-Gesetz schafft für letztere einen einheitlichen Standard, allerdings auf niedrigem Niveau. Kleine Unternehmen sollen von der Regelung gänzlich ausgenommen sein. 

Nach der NIS-Richtlinie fehlt weiterhin ein genereller Mindeststandard für die Sicherheit von Hard- und Software. Wir brauchen eine Produkthaftung in diesem Bereich. Jede fehlerhafte App kann schwerwiegende Konsequenzen bedeuten, für die genannten kritischen Infrastrukturen, aber auch in allen anderen Lebensbereichen. Die EU-Kommission muss hierzu neue und sehr viel weitgehendere Vorschläge machen.

 


Während auf europäischer Ebene die Richtlinie über Netzwerk- und Informationssicherheit diskutiert wurde, hat der Bundestag im Juni 2015 das so genannte IT-Sicherheitsgesetz verabschiedet, das bereits mehrfach für seine Simulation von Sicherheit und unklare Begriffsverwendungen kritisiert wurde.

Mit dem IT-Sicherheitsgesetz werden Betreiber kritischer Infrastrukturen verpflichtet, Sicherheitsvorfälle an das Bundesamt für Sicherheit und Informationstechnik (BSI) zu melden. Darüber hinaus erhalten die Branchenverbände den Auftrag, Mindeststandards für die Infrastruktursicherheit zu erarbeiten, die zukünftig für verbindlich erklärt werden sollten und die Aufsichts- und Sicherheitsbehörden, also das BSI, aber auch das Bundeskriminalamt, der Bundesnachrichtendienst und das Bundesamt für Verfassungsschutz sollen im „Cyber-Bereich“ gestärkt werden.

Ein Video zur Bundestags-Anhörung zum IT-Sicherheitsgesetz findet Ihr hier.

Am IT-Sicherheitsgesetz wird unter anderem kritisiert, dass dieses nicht mit der NIS-Richtlinie harmonisiert wurde. So fallen auf europäischer Ebene künftig auch digitale Diensteanbieter in den Anwendungsbereich der NIS-Richtlinie, während das IT-Sicherheitsgesetz diese nicht einschließt. Der engere Anwendungsbereich des IT-Sicherheitsgesetzes zeigt, dass es sich hier wohl um einen Schnellschuss handelt, der die europäischen Entwicklungen in diesem Bereich nicht berücksichtigt und nun nachgebessert werden muss.

Mehr Datensicherheit für alle?

Neben der fehlenden Abstimmung zwischen beiden Gesetzen wird kritisiert, dass lediglich der Bestand kritischer Infrastrukturen geschützt werden soll, aber darüber hinaus keine Präventionsmaßnahmen ergriffen werden sollen. Weder die NIS-Richtlinie noch das IT-Sicherheitsgesetz sehen vor, dass Anreizstrukturen geschaffen werden, die einen Ausbau der Sicherheit in Unternehmen über die Mindeststandards hinaus vorantreiben könnten. Auch wird die Frage, wie entdeckte Sicherheitslücken an andere Unternehmen weiter gegeben werden können, überhaupt nicht thematisiert.

Aktuell steht zu befürchten, dass mit dem verengten Fokus auf die Sicherheit von Infrastrukturen die gespeicherten Daten der NutzerInnen bei Unternehmen nicht prioritär geschützt werden und dementsprechend auch zukünftig mit Datendiebstählen in großem Ausmaß zu rechnen ist.

Auch finden sich im IT-Sicherheitsgesetz keine Regelungen zur internationalen Kooperation. Lediglich wird festgeschrieben, dass das BSI auch als internationaler Ansprechpartner fungieren soll. In der NIS-Richtlinie ist immer noch umstritten, inwiefern sich Staaten gegenseitig über entdeckte Sicherheitslücken und Sicherheitsvorfälle informieren sollen. Offenbar herrscht hier bei den Mitgliedstaaten die Idee vor, der Austausch über Sicherheitsvorfälle gefährde die nationalen Interessen. Zudem besteht zumindest der Verdacht, dass man Kenntnisse über mögliche Software-Schwachstellen für eigene Überwachungsmaßnahmen nutzen möchte.

 

Mehr zur NIS-Richtlinie:

NIS – keine Einigung unter lettischer Ratspräsidentschaft absehbar, Blogpost vom 17. Juni 2015

NIS-Richtlinie: Verhandlungen wieder aufgenommen, Blogpost vom 26. März 2015

Verhandlungsstand zur NIS-Richtlinie der EU, Blogpost vom 15. Dezember 2014

 

Verhandlungsteam NIS:

- Vicky Ford, Ausschussvorsitzende, Schattenberichterstatterin, ECR

- Andreas Schwab, Berichterstatter, EPP

- Nicola Danti, Schattenberichterstatter, S&D

- Antanas Guoga, Schattenberichterstatter, ALDE

- Jan Phillip Albrecht, Schattenberichterstatter, Greens/EFA and LIBE-Berichterstatter für die Stellungnahme

- Pilar del Castillo Vera, ITRE-Berichterstatterin für die Stellungnahme, EPP

VertreterInnen der Ratspräsidentschaft und VertreterInnen der Europäischen Kommission

 

Zeitplan - was bisher geschah: 

14.01.2016: voraussichtlich Abstimmung im Binnenmarkt-Ausschuss des EP

07.12.2015: Einigung in den Trilogverhandlungen

14.10.2014: Beginn der Trilogverhandlungen

13.3.2014: Parlamentsposition im Plenum

7.2.2013: Vorschlag der Kommission Richtlinie für gemeinsame Netz- und Informationssicherheit

 

Veranstaltungen:

POLITICO: Annual Cybersecurity Summit - Identifying Challenges, Finding Solutions, 10. Juni 2015

Interessant: Panel II: Cyberthreats and Cyberresponse: Who’s Getting It Right?

u.a. mit Zoran Stancic (@ZoranStancic), Stellvertretender Generaldirektor von DG Connect der Europäischen Kommission, der sagt, dass die Kommission den Gesetzesentwurf zur NIS-Richtlinie immer noch zurückziehen könne, wenn kein angemessen hohes Niveau im Bereich NIS erreicht würde.

Auch sehenswert: Panel III: Encryption: A Boost for Civil Liberties or the Terrorist’s Friend and Shield?

• Marietje Schaake, Member, European Parliament (video message)

• Christian Horchert (@fukami), Member, Chaos Computer Club

• Judith Lichtenberg, Executive Director, The Global Network Initiative

• Rob Wainwright, Director, Europol

 

 

ALDE Anhörung im Europäischen Parlament, “#cybersecurity: what’s the plan?”, 4. Juni 2015

Spannender Redebeitrag von Axel Arnbak (@axelarnbak). Sein Thema ist die Neuorientierung der EU-"Cyber"-Politik hin zu besserem Grundrechtsschutz und weg von nationaler Sicherheit, die immer mehr den Diskurs bestimmt. (ab Minute 33:09)

Kommentare

Keine Kommentare

Kommentar hinzufügen
*
*

*
CAPTCHA-Bild zum Spam-Schutz Wenn Sie das Wort nicht lesen können, bitte hier klicken.

*