EU beschließt Entwurf für neue Cybersecurity-Richtlinie
Mit ihr werden bestimmte Branchen und wichtige Diensteanbieter zur Offenlegung von Cyberangriffen und Datenverlusten verpflichtet. Außerdem wird mit dem Beschluss auch die engere Zusammenarbeit der Mitgliedstaaten bei der Cybersicherheit vereinbart.
Europaparlament und EU-Ministerrat haben eine neue Cybersecurity-Richtlinie für die Europäische Union beschlossen. “Die Mitgliedstaaten müssen im Bereich Cybersecurity enger zusammenarbeiten – was angesichts der aktuellen Sicherheitslage in Europa noch wichtiger ist”, wird Andres Schwab, der zuständige Berichterstatter des EU-Parlaments, in einer Pressemeldung zitiert.
Außerdem sieht die neue Cybersecurity-Richtlinie vor, dass Firmen wie Google, Microsoft, Ebay und Amazon unter gewissen Voraussetzungen Cyberangriffe und Datenverluste künftig melden müssen. In den USA ist das schon länger gängige Praxis. Andernfalls drohen ihnen künftig auch in der Europa Sanktionen.
Die als “Network and Information Security Directive” bezeichnete Cybersecurity-Richtlinie verpflichtet die EU-Mitgliedstaaten zudem, Anbieter in den Bereichen Energie, Transport, Gesundheit, Wasserversorgung und Finanzwesen zu benennen, die für das Funktionieren und die Sicherheit des Gemeinwesen unverzichtbar sind. Sie müssen dann Mindeststandards bei der IT-Sicherheit erfüllen und erfolgte Angriffe den Behörden melden. Diese Regeln gelten zudem für einige Internetfirmen wie Online-Marktplätze, Suchmaschinen und Cloud-Anbieter. Kleinunternehmen sind von den Regeln jedoch generell ausgenommen.
“Vertrauen und Sicherheit sind die Grundlage eines einheitlichen digitalen Markts”, sagte der dafür zuständige EU-Kommissar Andrus Ansip. “Das Internet kennt keine Grenzen – ein Problem in einem Land kann sich auf den Rest von Europa auswirken. Deswegen brauchen wir EU-weite Sicherheitslösungen.” Die EU plane zudem eine Partnerschaft mit der Industrie, um dazu beizutragen, dasss sicherere Produkte und Dienste entwickeltz werden.
Die Network and Information Security Directive ist allerdings erst ein Entwurf. Ihr müssen nun EU-Parlament und Ministerrat noch formell zustimmen. Erst danach wird die Richtlinie veröffentlicht und kann in Kraft treten. Die Mitgliedstaaten haben danach 21 Monate Zeit, die Richtlinie in nationale Gesetze umzusetzen und weitere sechs Monate.
Die Cybersecurity-Richtlinie war schon lange in Vorbereitung und erwartet worden. Daher wurde von Kritikern auch die eile beim deutschen IT-Sicherheitsgesetz bemängelt. Sie befürchten, dass nach Inkrafttreten der EU-Richtlinie erneut Änderungen am deutschen Gesetz erforderlich werden.
[mit Material von Stefan Beiersmann, ZDNet.de]