ENISA zieht Bilanz zu bisherigem Cybersecurity-Reporting
Hat die bestehende EU-Regulierung für mehr Cybersicherheit und Transparenz von Sicherheitsproblemen gesorgt? Jein, meint die European Network and Information Security Agency.
(Bild: Screenshot)
- Monika Ermert
Die bisherige EU-Regulierung zu Cybersicherheit hat für etwas mehr Sicherheit in Europas Netzen gesorgt, bilanziert die European Network and Information Security Agency (ENISA). Gleichzeitig sieht die Agentur aber auch einigen Nachholbedarf: Mitteilungen an die Opfer von Sicherheitspannen gibt es häufig nur auf deren direkte Nachfrage bei den Providern.
Mit der Einführung des Artikels 13a in der 2009 novellierten Zugangsrichtlinie verordnete der europäische Gesetzgeber seinen Mitgliedsstaaten erstmals eine wohl dosierte Portion Cybersecurity. Deren Effekte und Nebenwirkungen hat jetzt die ENISA in ihrer Studie "Impact evaluation on the implementation of Article 13a incident reporting scheme within EU" unter die Lupe genommen. Eine gewisse Angleichung der Sicherheitsanforderungen an Netzbetreiber in den 28 Mitgliedsstaaten und ein "zufriedenstellendes" Maß an Harmonisierung verbucht die ENISA auf der Habenseite und stellt sich selbst ein gutes Zeugnis bei der Koordination aus.
Viele Sicherheits-Statistiken unter Verschluss
Kritisch beurteilt man dagegen das Thema Transparenz: Die Statistiken zu Sicherheitsvorfällen bleiben häufig interne Dokumente der nationalen Regulierungsbehörden. Die Kapazitäten für eigenes Monitoring sind bescheiden, nur 19 Prozent der Telekomregulierer haben eine Hotline, um rund um die Uhr Meldungen über sicherheitsrelevante Fälle live entgegenzunehmen.
Vor allem aber empfiehlt die ENISA mehr Transparenz für die Öffentlichkeit und für direkt von Hacks und Ausfällen Betroffene. Provider geben laut der ENISA-Studie Informationen häufig erst preis, wenn die Nutzer nach einen Störfall selbst bei ihnen vorstellig werden. Allerdings verzichtet auch die ENISA selbst in ihren jährlichen Situationsberichten auf Details, aus welchen Mitgliedsländern Hacks und Lecks gemeldet wurden.
Erweiterte Meldepflichten laut Sicherheitsgesetz
Der deutsche Gesetzgeber hat versucht, mit dem neuen IT Sicherheitsgesetz für ein Mehr an Aufklärung zu Sicherheitsproblemen zu sorgen. Der ergänzte Artikel 109 Telekommunikationsgesetz sieht vor, dass Telekommunikationsbetreiber künftig schon Sicherheitsstörungen – und nicht nur Ausfälle – an die Bundesnetzagentur melden müssen. Meldefaulheit wird mit empfindlichen Bußen von bis zu 50.000 Euro geahndet. Wenn persönliche Daten kompromittiert wurden, können es auch 100.000 Euro Strafe werden. Generell wurde der Kreis der Verpflichteten auch auf Betreiber kritischer Infrastrukturen erweitert.
Die EU will ebenso nachlegen: Die zwischen Kommission, Parlament und Rat abgestimmte Richtlinie zur Cybersicherheit soll noch vor der Sommerpause endgültig das Parlament passieren. Die schärfste Waffe gegen Datenlecks in der EU dürfte allerdings die neue Datenschutzverordnung werden. Diese sieht erstmals EU-weit empfindliche Geldstrafen vor, wenn der Abfluss persönlicher Daten nicht gemeldet wird. (des)
