Die EU-Richtlinie zur Netz- und Informationssicherheit (NIS) tritt in Kraft – zentrale Inhalte und Aufgaben

Illustration: Absmeier, TheDigitalArtist

Monatelang hat die Einführung der DSGVO zum Schutz der Daten- und Informationssicherheit die Aufmerksamkeit auf sich gezogen. Dabei ging eine zweite, wichtige Neuerung im Lärm beinahe unter: Am 9. Mai 2018 war das »Go-Live«-Datum für die EU-Richtlinie zur Netz- und Informationssicherheit, kurz »NIS«. Die NIS-Richtlinie legt Ziele und Maßnahmen fest, die durch Rechtsvorschriften zur Cybersicherheit auf der Ebene der EU-Mitgliedstaaten innerhalb eines bestimmten Zeitrahmens erreicht werden sollen.

 

Als erstes EU-Recht, das sich speziell auf die Cybersicherheit konzentriert, besteht die NIS-Richtlinie aus drei Teilen. Palo Alto Networks nennt die zentralen Inhalte:

 

  • Anforderungen an Unternehmen: Die Richtlinie legt Sicherheits- und Meldepflichten für »Betreiber wesentlicher Dienste« (etwa Energie-, Transport-, Gesundheits-, Trinkwasserversorger sowie einige Finanzdienstleister) und, in geringerem Umfang, »Anbieter von digitalen Diensten« (Online-Marktplätze, Online-Suchmaschinen und Cloud-Service-Anbieter) fest. Die NIS-Richtlinie verpflichtet diese Unternehmen, »den neuesten Stand der Technik zu berücksichtigen«, um die Risiken für die Sicherheit der Netze und Informationssysteme, die zur Erbringung der erfassten Dienste verwendet werden, zu beherrschen und geeignete Maßnahmen zur Vermeidung und Minimierung der Auswirkungen von Zwischenfällen zu ergreifen. Sicherheitsvorfälle bestimmter Größenordnung müssen den zuständigen nationalen Behörden gemeldet werden. Die oben genannten Verpflichtungen gelten unabhängig davon, ob die Betreiber wesentlicher Dienste oder Anbieter digitaler Dienste ihre eigenen Netz- und Informationssysteme betreiben und verwalten oder diese auslagert haben.
  • Nationale Aktivitäten: Die Richtlinie verpflichtet die Mitgliedstaaten, nationale Cybersicherheitsstrategien zu verabschieden, die zuständigen nationalen Behörden zu benennen und ein oder mehrere CSIRTs (Computer Security Incident Response Teams) einzurichten, die zumindest den von der Richtlinie erfassten Sektoren entsprechen, um Cybersicherheitsvorfälle und -risiken zu erkennen, zu verhindern und darauf zu reagieren.
  • EU-weite Zusammenarbeit: Die Richtlinie betont die Koordinierung zwischen den Mitgliedstaaten bei der Einrichtung eines CSIRT-Netzes (auch unter Einbeziehung von CERT-EU). Dies soll eine schnelle und wirksame operative Zusammenarbeit bei Bedrohungen und Zwischenfällen fördern. Zudem soll eine strategische »NIS-Kooperationsgruppe« zur Unterstützung und Erleichterung der Zusammenarbeit und des Informationsaustauschs zwischen den Mitgliedstaaten eingerichtet werden.

 

Viele Länder haben nun zum ersten Mal ihre nationalen Cybersicherheitsstrategien aktualisiert oder veröffentlicht. Es wurden CSIRTs eingerichtet und die Rechtsvorschriften zur Umsetzung der NIS vorbereitet. Die Europäische Kommission hat den Ländern Leitlinien für die wirksame Umsetzung der NIS vorgelegt. Die ENISA, die EU-Agentur für Netz- und Informationssicherheit, hat ebenfalls eine Reihe von Leitlinien herausgegeben, darunter Empfehlungen zur Verwendung und Verwaltung von CSIRTs und Empfehlungen zu Sicherheits- und Ereignisbenachrichtigungsmaßnahmen für Anbieter digitaler Dienste. Die NIS-Kooperationsgruppe, bestehend aus Vertretern der Mitgliedstaaten, der Kommission und der ENISA, tritt regelmäßig zusammen, um die Bemühungen der EU-Länder zu koordinieren und Informationen darüber auszutauschen, wie die NIS so konsequent wie möglich umgesetzt werden kann. Zu diesem Zweck hat die Kooperationsgruppe unverbindliche Leitlinien für Sicherheitsmaßnahmen und Meldepflichten für »Betreiber wesentlicher Dienste« herausgegeben.

Dennoch steht die Umsetzung einiger Schritte noch aus. So müssen einige Länder die Umsetzung der NIS abschließen, denn nicht alle Länder haben die Frist eingehalten.

 

Ebenso wichtig ist, dass die von den NIS erfassten Unternehmen entscheiden, ob und wie sie ihre Sicherheitspraktiken ändern müssen, um den Anforderungen gerecht zu werden. Die Europäische Kommission geht davon aus, dass noch mehr getan werden muss, und kündigte am 4. Mai das Programm »Connecting Europe Facility« an, um den Mitgliedstaaten bei der raschen Umsetzung der NIS-Richtlinie und dem Ausbau entsprechender Kapazitäten zu helfen. Hierbei sollen bis 2020 zur Unterstützung der nationalen CSIRTs und anderer NIS-Akteure 38 Millionen Euro bereitgestellt werden.

 

Im Rahmen der oben genannten Ankündigung vom 4. Mai gaben der für den digitalen Binnenmarkt zuständige Vizepräsident der Europäischen Kommission, Andrus Ansip, der für Migration, Inneres und Unionsbürgerschaft zuständige Kommissar Dimitris Avramopoulos, der für die Sicherheitsunion zuständige Kommissar Julian King und die für die digitale Wirtschaft und Gesellschaft zuständige Kommissarin Mariya Gabriel eine Erklärung ab. Darin stellten sie fest, dass die Annahme der NIS-Richtlinie vor zwei Jahren ein Wendepunkt für die Bemühungen der EU war, ihre Cybersicherheitskapazitäten zu erhöhen. Das ist wahr. Dennoch ist die NIS nur eine von vielen Aktivitäten, die von Brüssel aus vorangetrieben werden, um die Cybersicherheit zu verbessern. Viele Menschen, die mit den bisherigen Aktivitäten in Brüssel zu tun hatten, berichteten, dass die Aufmerksamkeit für Cybersicherheit nach dem Ransomware-Angriff von WannaCry im Mai 2017 rapide gestiegen sei.

 

Im September 2017 hat die Europäische Kommission ein Paket von Rechtsvorschriften und anderen Vorschlägen zur Internetsicherheit vorgelegt. Dieses umfasst eine neue EU-Strategie für Cybersicherheit mit dem Titel »Abwehrfähigkeit, Abschreckung und Abwehr: Die Cybersicherheit in der EU wirksam erhöhen«, mit Schwerpunkt auf Schutz und Prävention von Cyberangriffen. Ferner kündigte die Kommission die Absicht an, ein »Cybersicherheitskompetenznetz« und ein »Europäisches Forschungs- und Kompetenzzentrum für Cybersicherheit« einzurichten. Hinzu kommt die Empfehlung, eine EU-weite »koordinierte Reaktion auf große Cybersicherheitsvorfälle und -krisen« zu erarbeiten. Außerdem schlug die EU-Kommission ein neues Gesetz, den »Rechtsakt zur Cybersicherheit«, vor, um das Mandat der ENISA zu erweitern und zu festigen sowie ein EU-weites Zertifizierungssystem zu entwickeln.

 

All diese Bemühungen der EU sind von wesentlicher Bedeutung. Dazu gehören wichtige Pläne und Aktivitäten: Verbesserung der Aus- und Weiterbildung im Bereich der Cybersicherheit, Intensivierung der Strafverfolgungsmaßnahmen und Beschleunigung des Informationsaustauschs zu Cyberbedrohungen, um nur einige zu nennen. Sie ergänzen natürlich auch eine Reihe von Maßnahmen, die von den einzelnen Mitgliedstaaten ergriffen werden.

 

Palo Alto Networks lobt die europäische Politik dafür, dass sie die Cybersicherheit in den Mittelpunkt stellt. Mit der NIS-Richtlinie wurde ein wichtiger Meilenstein erreicht, aber dies ist nur eine Etappe auf dem Weg. Die EU ist sich bewusst, dass Cybersicherheit für die Wirtschaftstätigkeit und das Wirtschaftswachstum sowie für das Vertrauen der Nutzer in Online-Aktivitäten von wesentlicher Bedeutung ist. Die europäischen Unternehmen in allen Branchen, die sich die digitale Welt zunutze machen, müssen sicherstellen, dass ihr Geschäft gegen Cyberangriffe resistent ist. Die EU-Regierungen sind auf sichere Online-Betriebsabläufe angewiesen und die Verbraucher müssen Vertrauen in ihre Online-Erfahrungen haben. Je mehr alle EU-Mitgliedsstaaten die kollektive Bewusstseinsschwelle anheben können, desto mehr wird die globale digitale Infrastruktur davon profitieren.

 


 

Unbemerkt im Schatten der DSGVO – Handlungsbedarf bei der NIS-Richtlinie

Gesetz zur Umsetzung der NIS-Richtlinie und BSI-Kritisverordnung in Kraft getreten

Branchen nach ihrer Abhängigkeit von kritischen IT-Infrastrukturen klassifiziert

Informationssysteme in der Industrie: Sicherheit ist ein absolutes Muss

EU-NIS-Richtlinie für mehr Cybersicherheit: Auf dem richtigen Weg

Die EU-DSGVO ist ein ganz großer Wurf

SOC als Sicherheitszentrale – Gefahr erkannt, Gefahr gebannt

Weitere Artikel zu