EU-Cybersicherheit: Firmenchefs sollen für Datenpannen haften

Inhaltsverzeichnis

Auf Unternehmen und Behörden in der EU, die für die Wirtschaft und Gesellschaft von entscheidender und essenzieller Bedeutung sind, kommen neue Auflagen im Bereich Cybersicherheit zu. Verhandlungsführer des EU-Ministerrats, des Parlaments und der Kommission haben sich dazu in der Nacht zum Freitag auf eine Novelle der Richtlinie über die Netzwerk- und Informationssicherheit (NIS) verständigt.

Der Kompromiss sieht vor, die Führungskräfte der erfassten Unternehmen, Staatsbetriebe und möglicherweise auch Behörden für etwaige Verstöße gegen die erweiterten Pflichten zum Einhalten der Cybersicherheit verantwortlich zu machen. "Die Chefs sollen persönlich haften", erklärte der Berichterstatter des EU-Parlaments, Bart Groothuis, gegenüber dem Portal "Euractiv". Betroffene Betreiber wesentlicher Dienste müssen mit Geldbußen in Höhe von 2 Prozent des Jahresumsatzes rechnen, Anbieter wichtiger Services mit 1,4 Prozent.

Lösegeldforderungen als Maßstab

Die Werte sind laut Groothuis angelegt an die Lösegeldforderungen, die Ransomware-Banden in der Regel bei Erpressungsversuchen mit Verschlüsselungstrojanern verlangen. Es handle sich um eine "symbolische" Größe, die die Verantwortlichen motivieren solle, die Summen besser präventiv vor Hackerangriffen in Cybersicherheit zu investieren.

Die überarbeitete NIS-Richtlinie zielt darauf ab, noch bestehende Unterschiede bei den Anforderungen an und der Umsetzung von Maßnahmen rund um die Netz- und Informationssicherheit in den einzelnen Mitgliedstaaten zu beseitigen. Sie soll angesichts zunehmender Cyberbedrohungen die Widerstandsfähigkeit und die Reaktionsfähigkeit des öffentlichen und privaten Sektors sowie der EU insgesamt weiter verbessern. Enthalten sind etwa Mindestvorschriften für Maßnahmen zum Risikomanagement im Bereich der Cybersicherheit und für Meldepflichten bei Online-Attacken sowie daraus resultierenden Datenpannen.

Richtlinie gilt künftig für einen größeren Kreis

Die NIS2 soll nun auch mittlere und große Einrichtungen aus einer erweiterten Zahl von Sektoren erfassen, zu denen nicht mehr nur die sogenannten kritischen Infrastrukturen (Kritis) gehören. Die Vorgaben schließen künftig etwa Anbieter öffentlicher elektronischer Kommunikationsdienste und digitaler Dienste, die Abwasser- und Abfallwirtschaft, Hersteller kritischer Produkte, Post- und Kurierdienste und die öffentliche Verwaltung sowohl auf zentraler als auch regionaler Ebene ein. Ferner können die Mitgliedstaaten beschließen, dass sie auch für einschlägige Stellen auf kommunaler Ebene gelten.

Ursprünglich sollten die Auflagen auch Root-Server und andere Anbieter von Diensten rund um das Domain Name System (DNS) betreffen. Das Parlament hatte sich von diesem Ansatz der Kommission in seiner Position aber verabschiedet.

Angesichts zunehmender Sicherheitsrisiken, die während der Coronapandemie offenbar wurden, wird auch der Gesundheitssektor – etwa durch die Einbeziehung der Medizinproduktehersteller – breiter erfasst. Der Einbezug der öffentlichen Verwaltung war lange umstritten. Der Rat setzte hier einige Ausnahmen durch: Die Richtlinie erstreckt sich so nicht auf Einrichtungen, die Tätigkeiten in Bereichen wie Verteidigung oder nationaler und öffentlicher Sicherheit, Strafverfolgung und Justiz ausüben. Polizeien und Geheimdienste bleiben so etwa außen vor. Parlamente und Zentralbanken sind ebenfalls vom Anwendungsbereich ausgenommen.

Empfohlener redaktioneller Inhalt

Mit Ihrer Zustimmmung wird hier eine externe Umfrage (Opinary GmbH) geladen.

Umfragen immer laden Umfrage jetzt laden

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Opinary GmbH) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.

Das müssen die Einrichtungen künftig erfüllen

Groothuis geht davon aus, dass insgesamt EU-weit über 100.000 Einrichtungen betroffen sind. Betriebe mit über 250 Mitarbeitern und über zehn Millionen Jahresumsatz müssten künftig gemeinsame Cybersicherheits-Standards wie Audits, Risikoabschätzungen, das zeitnahe Einspielen von Sicherheitsupdates und Zertifizierungen beachten. Die Behörden sind innerhalb von 24 Stunden grob über Cybersicherheitsvorfälle zu informieren. Innerhalb von drei Tagen muss ein ausführlicher Bericht mit Details folgen. So soll dem Rat zufolge "eine übermäßige Belastung der betroffenen Stellen" vermieden werden.

"Wir werden im industriellen Maßstab angegriffen"

"Wir werden im industriellen Maßstab angegriffen", gab der Berichterstatter zu bedenken. Die EU müsse daher entsprechend reagieren. Der Ex-IT-Sicherheitsexperte im niederländischen Verteidigungsministerium sprach von einer "aktiven Cyber-Antwort" und einer "neuen Verteidigungsphase": Die erfassten Stellen würden daher auch verpflichtet, proaktiv einschlägige Informationen zu teilen. Die zuständigen Behörden erhielten zudem erstmals eine Rechtsgrundlage, um Netzwerke auf ungepatchte Systeme zu scannen.

Inwieweit auch die umstrittenen Hackbacks zum Arsenal der Reaktionsmöglichkeiten gehören sollen, ist bislang unklar, da der ausgehandelte Text erst noch finalisiert werden muss. Offiziell eingerichtet wird mit der Übereinkunft jedenfalls das European Cyber Crises Liaison Organisation Network (EU-Cyclone). Es soll eine "koordinierte Bewältigung großflächiger Cybersicherheitsvorfälle unterstützen".

Das sind die nächsten Schritte

Die erzielte vorläufige Einigung muss nun noch vom Rat und vom Parlament formal gebilligt werden. Die Mitgliedstaaten haben dann ab Inkrafttreten der Richtlinie 21 Monate Zeit, um die Bestimmungen in nationales Recht umzusetzen. Hierzulande hatte der Bundestag voriges Jahr nach langen Auseinandersetzungen das IT-Sicherheitsgesetz 2.0 verabschiedet. Es wird überarbeitet werden müssen. Mehr gewünscht hätte sich Groothuis beim Absichern von Lieferketten und von 5G-Netzwerken, wo trotz eines europäischen Instrumentenkoffers noch zu wenig Harmonisierung erfolgt sei.

(mki)