Sicherheit

NIS-Richtlinie: EU-Kommission will Cyber-Sicherheit verbessern

© welcomia.com-Fotolia.com
Europäische Einigung auf Verbesserung der IT-Sicherheit

Vertreter von EU-Kommission, EU-Parlament und Mitgliedstaaten haben sich am 8. Dezember 2015 auf die sogenannte NIS-Richtlinie zu Netzwerk- und Informationssicherheit geeinigt.

Sie verpflichtet Firmen wie Strom- und Wasserkonzerne, Bahnen, Fluglinien, Banken und Krankenhausbetreiber dazu, erweiterte Sicherheitsmaßnahmen umzusetzen und schwere Hackerangriffe auf ihre Systeme den Behörden zu melden. Dies gilt auch für Suchmaschinen und Internetkonzerne  wie etwa Google und Amazon. Andernfalls drohen Strafen.

Ausnahme für kleine Unternehmen

Kleine und mittlere Unternehmen sind von den Bestimmungen noch ausgenommen um Bürokratiekosten zu senken. Das heißt aber nicht, dass sie massive Angriffe verschweigen dürfen. Im Falle eines Daten-Lecks, aus dem viele personenbezogene Informationen entweichen, müssen sie das unter anderem ihrem Landesdatenschutzbeauftragten mitteilen. Ebenfalls nicht betroffen von der NIS-Richtlinie sind soziale Netzwerke wie Facebook.

Durch die Richtlinie möchte die EU-Kommission für mehr Schutz vor Terrorangriffen durch das Internet sorgen. Dazu sollen die Mitgliedstaaten stärker in Hard- und Software investieren und besser untereinander kooperieren.

Jeder Mitgliedstaat wird verpflichtet, eine für die NIS zuständige nationale Behörde zu benennen, die die Anwendung dieser Richtlinie auf nationaler Ebene überwacht und zu ihrer einheitlichen Anwendung in der Union beiträgt.
Vorgesehen ist, dass jeder Mitgliedstaat ein IT-Notfallteam (Computer Emergency Response Team – CERT) einrichtet, das für die Bewältigung von Sicherheitsvorfällen und Risiken nach einem konkret festgelegten Ablauf zuständig sein soll. 
Ferner sollen die zuständigen mitgliedstaatlichen Behörden und die Europäische Kommission ein Kooperationsnetz zur Bewältigung von Sicherheitsrisiken und Vorfällen bilden. Die Europäische Agentur für Netz- und Informationssicherheit soll die Arbeit dieses Netzes auf Anfrage unterstützen.
Neben der Ausgabe von Frühwarnungen sollen sich die zuständigen Behörden nach einer Bewertung der einschlägigen Information auf eine koordinierte Reaktion auf Gefahren einigen. Außerdem soll die Europäische Kommission einen NIS-Kooperationsplan annehmen können.

Umsetzung in nationales Recht

Die Richtlinie wurde bereits 2013 von der EU-Kommission vorgeschlagen, die Verhandlungen gestalteten sich allerdings kompliziert.  Nach der jetzigen Einigung haben die Mitgliedstaaten 21 Monate Zeit, diese Richtlinie in nationales Recht umzusetzen.

In Deutschland wurde bereits in diesem Jahr ein Gesetz zur IT-Sicherheit beschlossen, das der NIS-Richtlinie relativ ähnlich ist: Firmen werden dadurch verpflichtet, Cyberangriffe an Behörden zu melden. Sofern kein Ausfall von Systemen droht, kann diese Meldung auch anonym erfolgen.

Das Gesetz gilt für circa 2.000 Unternehmen wie Energieversorger, Banken und Krankenhäuser – also Firmen, bei denen durch die Attacken Auswirkungen auf das Gemeinwohl zu befürchten sind. Wenn ein Angriff verschwiegen wird, drohen Strafen von bis zu 100.000 Euro.

 

Quellen:

http://eeas.europa.eu/policies/eu-cyber-security/cybsec_directive_de.pdf