EU-Parlament beschließt Cybersicherheitsgesetz mit Meldepflicht
Die europäischen Abgeordneten haben den lange umstrittenen Richtlinienentwurf zur Netz- und Informationssicherheit verabschiedet. Damit kommen auf größere Online-Anbieter und Betreiber kritischer Infrastrukturen Auflagen zu.
(Bild: dpa, Ole Spata/Archiv)
In abschließender Lesung hat das EU-Parlament am Mittwoch mit großer Mehrheit für neue Vorschriften für eine bessere Sicherheit von Netzwerk- und Informationssystemen gestimmt. Die Abgeordneten bestätigten damit einen Kompromissvorschlag für eine Richtlinie zur erhöhten Cybersicherheit, auf den sich ihre Verhandlungsführer im Dezember mit Vertretern der Mitgliedsstaaten und der EU-Kommission nach langen Auseinandersetzungen verständigt hatten. Der Entwurf erweitert die Verantwortlichkeit von Betreibern kritischer Infrastrukturen und großer Online-Dienstleister.
Die betroffenen Unternehmen werden unter anderem dazu verpflichtet, den Behörden Sicherheits- und Datenschutzpannen sowie IT-Angriffe auf eigene Systeme zu melden. Sie müssen zudem eingesetzte Hard- und Software auf mögliche Lücken überprüfen und gegebenenfalls härten.
Gilt auch für eBay, Amazon und Google
Die Auflagen gelten für Betreiber und Anbieter "essenzieller Dienste" etwa in den Bereichen Energie, Wasserversorgung, Transport, Finanzwesen, Gesundheit und Internet. Im Netz fallen Verkehrsknoten, Domain-Registrierungsstellen, Online-Marktplätze wie eBay oder Amazon sowie andere Plattformen in Form von Suchmaschinen wie Google und Cloud-Anbieter unter das Gesetz. Betreiber sozialer Netzwerke wie Facebook und kleine Digitalfirmen bleiben außen vor.
Die Kommission hatte ursprünglich angestrebt, dass die Meldeauflagen auch für den öffentlichen Sektor gelten sollten, konnte sich damit aber nicht durchsetzen. Die Mitgliedsstaaten werden dazu angehalten, nationale Meldesysteme einzurichten und Informationen untereinander auszutauschen. Beteiligt werden sollen "kompetente Behörden" wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) sowie spezielle "Computer Security Incident Response Teams" (CSIRTs). Der Rat möchte damit bestehende "Computer Emergency Response Teams" (CERTs) ergänzen.
Zwei Jahre für Umsetzung in nationales Recht
Der EU-Rat hat den Kompromiss bereits befürwortet. Die Richtlinie kann so 20 Tage nach ihrer Publikation im EU-Amtsblatt in Kraft treten, also voraussichtlich Anfang August. Die EU-Länder haben zwei Jahre Zeit, sie in nationales Recht umzusetzen. Hierzulande gilt seit knapp einem Jahr das IT-Sicherheitsgesetz. Es verpflichtet Betreiber kritischer Anlagen bereits, einen Mindeststandard an IT-Sicherheit einzuhalten und erhebliche einschlägige Vorfälle an das BSI zu melden. Allgemeine größere Online-Plattformen sind davon noch nicht erfasst, sodass das Gesetz vermutlich ergänzt werden muss. (axk)
