EU-Richtlinie zur Netz- und Informationssicherheit in Kraft getreten
15. Mai 2018Als erstes EU-Recht, das sich speziell auf die Cybersicherheit konzentriert, besteht die NIS-Richtlinie aus drei Teilen:
Anforderungen an Unternehmen: Die Richtlinie legt Sicherheits- und Meldepflichten für „Betreiber wesentlicher Dienste“ (z.B. Energie-, Transport-, Gesundheits-, Trinkwasserversorger sowie einige Finanzdienstleister) und, in geringerem Umfang, „Anbieter von digitalen Diensten“ (Online-Marktplätze, Online-Suchmaschinen und Cloud-Service-Anbieter) fest. Die NIS-Richtlinie verpflichtet diese Unternehmen, „den neuesten Stand der Technik zu berücksichtigen“, um die Risiken für die Sicherheit der Netze und Informationssysteme, die zur Erbringung der erfassten Dienste verwendet werden, zu beherrschen und geeignete Maßnahmen zur Vermeidung und Minimierung der Auswirkungen von Zwischenfällen zu ergreifen.
Sicherheitsvorfälle bestimmter Größenordnung müssen den zuständigen nationalen Behörden gemeldet werden. Die oben genannten Verpflichtungen gelten unabhängig davon, ob die Betreiber wesentlicher Dienste oder Anbieter digitaler Dienste ihre eigenen Netz- und Informationssysteme betreiben und verwalten oder diese auslagert haben.
Nationale Aktivitäten: Die Richtlinie verpflichtet die Mitgliedstaaten, nationale Cybersicherheitsstrategien zu verabschieden, die zuständigen nationalen Behörden zu benennen und ein oder mehrere CSIRTs (Computer Security Incident Response Teams) einzurichten, die zumindest den von der Richtlinie erfassten Sektoren entsprechen, um Cybersicherheitsvorfälle und -risiken zu erkennen, zu verhindern und darauf zu reagieren.
EU-weite Zusammenarbeit: Die Richtlinie betont die Koordinierung zwischen den Mitgliedstaaten bei der Einrichtung eines CSIRT-Netzes (auch unter Einbeziehung von CERT-EU). Dies soll eine schnelle und wirksame operative Zusammenarbeit bei Bedrohungen und Zwischenfällen fördern. Zudem soll eine strategische „NIS-Kooperationsgruppe“ zur Unterstützung und Erleichterung der Zusammenarbeit und des Informationsaustauschs zwischen den Mitgliedstaaten eingerichtet werden.
Viele Länder haben nun zum ersten Mal ihre nationalen Cyber-Sicherheitsstrategien aktualisiert oder veröffentlicht. Es wurden CSIRTs eingerichtet und die Rechtsvorschriften zur Umsetzung der NIS vorbereitet. Die Europäische Kommission hat den Ländern Leitlinien für die wirksame Umsetzung der NIS vorgelegt. Die ENISA, die EU-Agentur für Netz- und Informationssicherheit, hat ebenfalls eine Reihe von Leitlinien herausgegeben, darunter Empfehlungen zur Verwendung und Verwaltung von CSIRTs und Empfehlungen zu Sicherheits- und Ereignisbenachrichtigungsmaßnahmen für Anbieter digitaler Dienste.
Die NIS-Kooperationsgruppe, bestehend aus Vertretern der Mitgliedstaaten, der Kommission und der ENISA, tritt regelmäßig zusammen, um die Bemühungen der EU-Länder zu koordinieren und Informationen darüber auszutauschen, wie die NIS so konsequent wie möglich umgesetzt werden kann. Zu diesem Zweck hat die Kooperationsgruppe unverbindliche Leitlinien für Sicherheitsmaßnahmen und Meldepflichten für „Betreiber wesentlicher Dienste“ herausgegeben. Dennoch steht die Umsetzung einiger Schritte noch aus. So müssen einige Länder die Umsetzung der NIS abschließen, denn nicht alle Länder haben die Frist eingehalten.
Ebenso wichtig ist, dass die von den NIS erfassten Unternehmen entscheiden, ob und wie sie ihre Sicherheitspraktiken ändern müssen, um den Anforderungen gerecht zu werden. Die Europäische Kommission geht davon aus, dass noch mehr getan werden muss, und kündigte am 4. Mai das Programm „Connecting Europe Facility“ an, um den Mitgliedstaaten bei der raschen Umsetzung der NIS-Richtlinie und dem Ausbau entsprechender Kapazitäten zu helfen. Hierbei sollen bis 2020 zur Unterstützung der nationalen CSIRTs und anderer NIS-Akteure 38 Millionen Euro bereitgestellt werden. (rhh)