Sicherheitsrichtlinie: EU-Rat billigt Meldepflicht bei Cyberangriffen
Die EU-Mitgliedsstaaten haben den Kompromiss zur geplanten Richtlinie über Netz- und Informationssicherheit angenommen, den Verhandlungsführer zuvor mit dem EU-Parlament ausgehandelt hatten. Es geht um Sicherheitsauflagen für Online-Anbieter.
Neue Vorschriften für eine bessere Sicherheit von Netz- und Informationssystemen hat der EU-Rat ohne weitere Aussprache abgenickt. Der einschlägige Richtlinienentwurf zur Cybersicherheit, auf den sich Vertreter der Mitgliedsstaaten und des EU-Parlaments im Dezember geeinigt hatten, legt Betreibern kritischer Infrastrukturen und großen Online-Dienstleistern erweiterte Vorgaben auf.
Die betroffenen Firmen werden etwa verpflichtet, Sicherheits- und Datenschutzpannen sowie IT-Angriffe auf eigene Systeme zu melden. Sie müssen zudem eingesetzte Hard- und Software auf mögliche Lücken überprüfen und gegebenenfalls härten.
Kritische Infrasturkturen
Die nach langem Hin und Her festgezurrten Auflagen sollen generell für Betreiber und Anbieter "essenzieller Dienste" etwa in den Bereichen Energie, Wasserversorgung, Transport, Finanzwesen, Gesundheit und Internet gelten. Im Netz sind Verkehrsknoten, Domain-Registrierungsstellen, Online-Marktplätze wie eBay oder Amazon sowie andere Plattformen in Form von Suchmaschinen wie Google und Cloud-Anbieter betroffen, nicht jedoch Betreiber sozialer Netzwerke wie Facebook. Kleine Digitalfirmen sollen ebenfalls außen vor bleiben.
Der niederländische Ratsvorsitz hat zusammen mit der EU-Agentur für Netz- und Informationssicherheit (Enisa) nach Angaben der Mitgliedsstaaten bereits damit begonnen, die Richtlinie umzusetzen. Erste Tagungen des neuen CSIRTs-Netzwerks hätten im April und Mai schon stattgefunden.
Umsetzung
Der Rechtsakt muss vom Parlament noch in 2. Lesung gebilligt werden, was als Formsache gilt. Die Richtlinie wir dann voraussichtlich im August in Kraft treten. Die EU-Länder haben zwei Jahre Zeit, sie in nationales Recht umzusetzen.
In Deutschland ist das IT-Sicherheitsgesetz am 25. Juli 2015 in Kraft getreten; es ist Teil eines Gesamtpaketes der Bundesregierung zur Erhöhung der Cyber-Sicherheit kritischer Infrastrukturen. Es verpflichtet Betreiber kritischer Anlagen aus den Bereichen Energie, Informations- und Telekommunikationstechnik, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen, einen Mindeststandard an IT-Sicherheit einzuhalten und erhebliche IT-Sicherheitsvorfälle an das Bundesamt für Sicherheit in der Informationstechnik (BSI) zu melden. (jk)
