Einheitliche Regeln zur Netz- und Informationssicherheit
EU bringt Cybersecurity-Richtlinie auf den Weg
Das EU-Parlament hat sich mit dem Ministerrat auf eine Richtlinie zur Cybersecurity geeinigt. Die sieht nicht nur Auflagen für Betreiber kritischer Infrastrukturen vor, sondern auch für große Internet-Konzerne wie Amazon und Google.
Nach langen Verhandlungen haben sich Vertreter des EU-Parlaments Anfang der Woche mit dem Ministerrat auf den Entwurf einer Cybersecurity-Richtlinie für die Europäische Union geeinigt. Diese soll den Wildwuchs in den verschiedenen Ländern beenden und einheitliche Regeln vorgeben. Sie sieht vor, dass Betreiber kritischer Infrastrukturen aus den Bereichen Energie, Transport, Bank- und Finanzwesen, Gesundheit sowie Wasserversorgung sicherstellen müssen, dass ihre Systeme Cyberangriffen widerstehen können. Außerdem sind sie verpflichtet, Angriffe und Datenverluste zu melden.
Für den öffentlichen Sektor gilt das, anders als ursprünglich mal angestrebt, nicht. Dafür aber für große Internet-Unternehmen, wozu die EU neben Suchmaschinen und Online-Marktplätzen auch Cloud-Anbieter und Internet Service Provider zählt. Namentlich genannt werden Amazon, Ebay und Google. Kleine Digitalfirmen werden explizit ausgenommen.
»Heute wurde ein Meilenstein erreicht: Wir haben uns auf die ersten EU-weiten Cybersecurity-Regeln verständigt, um die sich das Parlament schon seit Jahren bemüht«, so Andreas Schwab, Mitglied und Berichterstatter des EU-Parlaments. Man habe stark auf eine einheitliche Identifizierung von Betreibern kritischer Infrastrukturen gedrängt, die Sicherheitsmaßnahmen erfüllen und Sicherheitsvorfälle melden müssen. Zudem müssten die Mitgliedsstaaten noch enger im Bereich Cybersecurity zusammenarbeiten, was angesichts der aktuellen Sicherheitslage in Europa noch wichtiger sei.
Um das zu erreichen, ist im Entwurf der Aufbau einer Arbeitsgruppe vorgesehen, die sich um den Informationsaustausch zwischen den Ländern kümmert sowie die Entwicklung von Best Practices und die Erarbeitung von Leitlinien. Außerdem sollen nationale Computer Security Incidents Response Teams (CSIRTs) aufgebaut werden, die bei Sicherheitsvorfällen die grenzübergeifenden Abwehrmaßnahmen koordinieren.
»Das Internet kennt keine Grenzen – ein Problem in einem Land kann einen Folgeeffekt im Rest Europas haben. Darum brauchen wir EU-weite Sicherheitslösungen«, sagte der für den digitalen Binnenmarkt zuständige EU-Kommissar Andrus Ansip. Die Einigung sei ein wichtiger Schritt in die richtige Richtung, aber man könne an dieser Stelle nicht aufhören und strebe Partnerschaften mit der Industrie an, um sichere Produkte und Services zu entwickeln.
Bei der Internet-Wirtschaft kam der Richtlinien-Entwurf gut an. »Es ist gut für den digitalen Binnenmarkt, dass wir nun ein gemeinsames Regelwerk zur Harmonisierung der gesetzlichen Verpflichtungen zur IT-Sicherheit haben«, so Oliver Süme vom Branchenverband eco. Er begrüßte vor allem, dass Kleinunternehmer ausgenommen sind und dass zwischen Betreibern kritischer Infrastrukturen und digitalen Plattformen unterschieden wird. »So können unnötigen Belastungen ohne Sicherheitsgewinn vermieden werden.« Die Bundesregierung müsse sicherstellen, dass es bei der nationalen Umsetzung nicht zu größeren Differenzen mit dem kürzlich verabschiedeten IT-Sicherheitsgesetz kommt.
Lesen Sie mehr zum Thema
