Foto: European Union 2014

Neue Maßnahmen zu IT-Sicherheit werden endlich geltendes EU-Recht

Ein kleiner Schritt hin zu mehr Cybersicherheit: Eine neue Richtlinie soll den EU-Mitgliedstaaten zu mehr Netz- und Informationssicherheit (NIS) verhelfen.

Erstellt am 14.06.2016

 

Die NIS-Richtlinie kann nur ein Anfang sein auf dem Weg in Richtung sicherer IT-Infrastrukturen in der Europäischen Union. Die EU-Kommission muss deshalb nachliefern und generelle gesetzliche Rahmenbedingungen auf den Weg bringen. VerbraucherInnen wird die NIS-Richtlinie etwas, aber nicht viel mehr Schutz vor Angriffen und Datenverlusten bieten. Noch immer fehlt ein genereller Mindeststandard für die Sicherheit bei Soft- und Hardware sowie die Haftung bei fehlerhaften oder gar gänzlich fehlenden Sicherheitsstandards. Bestenfalls dokumentieren die vorgeschlagenen Maßnahmen erfolgte Angriffe anonym und reagieren auf diese. Präventive Maßnahmen – etwa die verantwortungsvolle Veröffentlichung bekannter Sicherheitslücken oder die Schaffung von Anreizen für Hersteller von IT-Systemen, in mehr Sicherheit zu investieren – enthält die Richtlinie nicht. Die Verhandlungen zur NIS-Richtlinie haben gezeigt, dass IT-Sicherheit in der EU eine Vertrauensfrage ist. Leider scheint das Vertrauen der Mitgliedstaaten untereinander nicht sehr groß zu sein. Internationaler Zusammenarbeit in puncto IT-Sicherheit und dem Austausch von Sicherheitslücken stehen sie sehr zögernd gegenüber und sehen darin eine zu starke Einmischung in ihre eigene nationale Sicherheit.

 

Was bisher geschah und wie es weitergeht: Zwei Jahre lang liefen die Dreiergespräche zwischen Parlament, Ministerrat und Kommission. Am 7. Dezember 2015 erlangte das Verhandlungsteam des Parlaments mit Jan Philipp Albrecht als Schattenberichterstatter eine politische Einigung auf die Richtlinie zu Netzwerk- und Informationssicherheit. Der abgestimmte Text wurde am 14. Januar 2016 durch eine Wahl im Binnenmarktausschuss IMCO unterstützt. Seitdem wurde die Gesetzesvorschlag einer juristisch-sprachlichen Überarbeitung unterzogen und daraufhin vom Ministerrat am 17. Mai 2016 angenommen („Standpunkt in erster Lesung“). Ein letztes Mal wurde im Binnenmarktausschuss (IMCO) am 14.6. 2016 abgestimmt. IMCO empfiehlt, den vereinbarten Text ohne weitere Änderungen anzunehmen. Die Richtlinie wird voraussichtlich ab August in Kraft treten, nachdem das Europäische Parlament den Text in der Juli-Plenarsitzung billigt.

 

Was steht drin:

-Die Mitgliedsstaaten müssen eine nationale NIS-Strategie festlegen.

 

-Die Mitgliedsstaaten konnten sich darauf einigen, dass es IT-Sicherheitsstandards für „Betreiber wesentlicher Dienste“ wie Energiekonzerne, Wasserversorger und Flughäfen geben muss. Wann ein Betreiber ein „wesentlicher Dienst“ ist, soll allerdings von jedem Mitgliedstaat selbst definiert werden. Diese Einschränkung geht daher zu Lasten einer einheitlichen Regelung für alle EU-Mitgliedstaaten.

 

-Auch „Anbieter digitaler Dienste“ wie Cloud-Computing-Dienste und Suchmaschinen sind nach langen Verhandlungen wieder in die Richtlinie aufgenommen worden. Das EU-Gesetz schafft für letztere einen einheitlichen Standard, allerdings auf niedrigerem Niveau als für „Betreiber wesentlicher Dienste“.

 

-Zuständige nationale Behörden müssen benannt werden, um die Umsetzung der Richtlinie auf nationaler Ebene zu überwachen.

 

-Eine zentrale Anlaufstelle für die Sicherheit von Netzen und Informationssystemen muss benannt werden, die als Verbindungsstelle zur Gewährleistung der Zusammenarbeit der Behörden der Mitgliedstaaten untereinander und der grenzüberschreitenden Zusammenarbeit dient.

 

-Die Mitgliedsstaaten sollen ein oder mehrere Computer-Notfallteams benennen.

 

-Im Bereich der internationalen Zusammenarbeit wird eine Kooperationsgruppe eingesetzt Netz der nationalen Computer-Notfallteams errichtet.

 

-Die Mitgliedsstaaten müssen diese Richtlinie spätestens 21 Monate nach ihrem Inkrafttreten umsetzen 

 

 

Mehr zur NIS-Richtlinie:

Cyber Cyber: Die Richtlinie zu Netzwerk- und Informationssicherheit & das IT-Sicherheitsgesetz, Blogpost vom 21. Dezember 2015

 

NIS – keine Einigung unter lettischer Ratspräsidentschaft absehbar, Blogpost vom 17. Juni 2015

 

NIS-Richtlinie: Verhandlungen wieder aufgenommen, Blogpost vom 26. März 2015

 

Verhandlungsstand zur NIS-Richtlinie der EU, Blogpost vom 15. Dezember 2014

Kommentare

Keine Kommentare

Kommentar hinzufügen
*
*

*
CAPTCHA-Bild zum Spam-Schutz Wenn Sie das Wort nicht lesen können, bitte hier klicken.

*