Cybersicherheit - EU-Regeln zum Schutz vor Gefahren des Internets

Firmen, die wesentliche Dienste wie zum Beispiel im Energie-, Verkehrs-, Banken- und Gesundheitsbereich anbieten, oder Internetdienste wie Suchmaschinen oder Cloud-Dienste, werden Maßnahmen ergreifen müssen, um ihre Widerstands­fähigkeit gegen Cyberangriffe zu verbessern. Darauf zielen die ersten EU-weiten Vorschriften für Cybersicherheit ab, die das Parlament angenommen hat.

Die Festlegung gemeinsamer Cybersicher­heits­standards und Verstärkung der Zusammenarbeit zwischen EU-Ländern werden Unternehmen dabei unterstützen, sich zu schützen, und ebenso dabei helfen, Angriffe auf die verknüpften Infrastrukturnetze der EU-Mitgliedstaaten zu vermeiden, sagen die Abgeordneten.

EU-Mitglieder müssen Anbieter "wesentlicher Dienste" bestimmen

Die neuen EU-Vorschriften legen verbindliche Sicherheits­be­stimmungen und Berichts­pflichten für "Betreiber wesentlicher Dienste" im Energie-, Verkehrs-, Banken- und Gesundheitsbereich oder bei der Trinkwas­ser­versorgung fest. Die EU-Mitglieder müssen diese Betreiber bzw. Dienste im Einklang mit bestimmten Kriterien feststellen, zum Beispiel ob der betreffende Dienst für die Aufrecht­erhaltung kritischer gesellschaftlicher oder wirtschaftlicher Tätigkeiten wesentlich ist, und ob ein Sicherheitsvorfall eine erhebliche Störung seiner Bereitstellung bewirken würde.

Einige Anbieter digitaler Dienste – Online-Marktplätze, Online-Suchmaschinen und Cloud-Computing-Dienste – müssen ebenfalls Maßnahmen ergreifen, um die Sicherheit ihrer Infrastruktur zu gewährleisten, und werden verpflichtet, größere Zwischenfälle den nationalen Behörden zu melden. Die Sicherheits- und Berichts­pflichten sind für diese Anbieter jedoch weniger streng. Kleinst- und Kleinunternehmen sind von diesen Pflichten ausgenommen.

Mechanismen für EU-weite Zusammenarbeit

Mit den neuen Vorschriften wird eine strategische "Kooperati­onsgruppe" geschaffen, um Informationen auszutauschen und Mitgliedstaaten beim Kapazitätsaufbau im Bereich Cybersicherheit zu unterstützen. Jedes EU-Land wird verpflichtet, eine nationale NIS-Strategie festzulegen.

Die EU-Länder müssen ebenfalls ein Netz von Computer-Notfallteams (CSIRT – Computer Security Incident Response Teams) schaffen, um Sicherheitsvorfälle und -risiken zu bewältigen, grenzüber­greifende Sicherheitsfragen zu erörtern und gemeinsame Antworten zu finden. Die Agentur der Europäischen Union für Netz- und Informati­ons­sicherheit (ENISA) wird bei der Umsetzung dieser Richtlinie eine Schlüsselrolle spielen, insbesondere in Bezug auf die Zusammenarbeit. Auf die Notwendigkeit, Datenschutz­vor­schriften zu respektieren, wird an mehreren Stellen in der Richtlinie hingewiesen.