In Sachen Cybersicherheit
Mehr EU-weite Kooperation und Zentralisierung?
Fortsetzung des Artikels von Teil 1
"Es muss etwas passieren"
Erste Entwicklungen in diesem Bereich gibt es bereits. Die NIS-Richtlinie (ein europäischer Leitfaden für die Netzwerk- und Informationssicherheit) trat vor fast drei Jahren – im August 2016 – in Kraft. Das Gesetz zur Umsetzung der Richtlinie wurde im Juni 2017 verkündet und gilt im Wesentlichen der Umsetzung des Leitfadens. Dieser definiert Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Europäischen Union. Bis Mai 2018 hatten die Mitgliedstaaten schließlich Zeit, das Gesetz in nationales Recht umzusetzen. Die Richtlinie sollte einen einheitlichen Rechtsrahmen für den EU-weiten Aufbau nationaler Kapazitäten im Bereich IT-Sicherheit, stärkere Kooperation der EU-Länder sowie Mindestsicherheitsanforderungen an und Meldepflichten für kritische Infrastrukturen, sowie für bestimmte Anbieter digitaler Dienste wie Cloud-Services und Online-Marktplätze schaffen.
Obwohl es die NIS-Richtlinie für Cybersicherheit in KRITIS-Unternehmen gibt, muss sie kontinuierlich überprüft und aktualisiert werden, um sicherzustellen, dass die Umsetzung in allen Mitgliedstaaten einheitlich erfolgt. Cyberkriminelle fokussieren sich immer auf das schwächste Glied in der Kette, daher ist Konsistenz so entscheidend. Während NIS auf KRITIS-Betreiber abzielt, ist es selbstverständlich auch nötig, über einen ähnlichen Schutz zu verfügen, um andere kritische Informationen abzudecken. Hier sei etwa diplomatische Korrespondenz als Beispiel genannt – aber auch andere Daten, die zu potenziell weitreichenden Datenschutzverletzungen führen könnten. Hier geht es um Informationen, die Länder in Verlegenheit bringen könnten, diplomatische Konflikte auslösen oder schlimmstenfalls sogar zum Verlust von Menschenleben führen könnten.
Auch hatte das EU-Parlament im März dieses Jahres einen Rechtsakt zur EU-Cybersicherheit verabschiedet. Dieser soll die europäische Antwort auf die wachsende Zahl der Bedrohungen verbessern, indem die Rolle der Europäischen Agentur für Netz- und Informationssicherheit (ENISA) stärkt und ein gemeinsamer Zertifizierungsrahmen im Bereich IT-Sicherheit geschaffen wird. Das Parlament bringt damit ein System von EU-Sicherheitsnachweisen für Produkte, Verfahren und Dienstleistungen auf den Weg. In dem Rechtsakt wird auch wird die Bedeutung der Zertifizierung kritischer Infrastrukturen betont. Bis 2023 prüft die Kommission, ob eines der neuen freiwilligen Systeme verpflichtend gemacht werden sollte.
Es sollte grundsätzlich nicht unterschätzt werden, wie schwierig es sein wird, den Austausch von Cyberinformationen in der EU (und mit der breiteren Gruppe von Ländern, die derzeit Cyberinformationen austauschen) zu beschleunigen, aber es muss passieren – und es muss schneller als bisher geschehen.
- Mehr EU-weite Kooperation und Zentralisierung?
- "Es muss etwas passieren"
Lesen Sie mehr zum Thema
