Die EU-Richtlinie für Netz- und Informationssicherheit

Wir haben uns in letzter Zeit vor allem mit der EU-Datenschutz-Grundverordnung (DS-GVO) beschäftigt, doch es gibt noch eine weitere erwähnenswerte EU-Sicherheitsinitiative.

Die Richtlinie für Netz- und Informationssicherheit (NIS-RL) soll für mehr Cyber-Sicherheit bei „unverzichtbaren Diensten“ sorgen.

Die NIS-RL ist nicht ansatzweise so ausführlich wie die DS-GVO. Sie zielt auf die Umsetzung von Mindestvorgaben für die Cybersicherheit und eine verbesserte Zusammenarbeit zwischen den Mitgliedstaaten im Hinblick auf Cyberangriffe auf entscheidende Wirtschaftssektoren ab: das Gesundheitswesen, Banken, Energie- und Telekommunikationssektor, Transport und bestimmte Online-Dienste.

So unterscheiden sich NIS-RL und DS-GVO

Gemäß der NIS-RL müssen Unternehmen in diesen Branchen Maßnahmen ergreifen, um Angriffe zu verhindern beziehungsweise deren Folgen zu minimieren, und Vorfälle mit signifikanten Auswirkungen auf die Fortführung der unverzichtbaren Dienste, die sie erbringen, melden.

Würden Hacker also beispielsweise Verbraucherdaten eines Energieversorgungsunternehmens entwenden, käme nicht die NIS-RL zur Anwendung sondern die DS-GVO. Würden die Angreifer aber die Steuerungssysteme eines Generators per Fernzugriff manipulieren und auf diese Weise für einen Systemabsturz sorgen, dann müsste die örtlich zuständige Behörde oder das jeweilige IT-Notfallteam (Computer Emergency Response Team, CERT) benachrichtigt werden.

Die NIS-RL sieht vor, dass die EU-Länder CERTs gründen, die solche Vorfälle erfassen und sich untereinander austauschen. Die CERTs sollen auch für die Umsetzung der NIS-RL zuständig sein. Während es bei der NIS-RL eher um Systeme und Ausfälle geht, regelt die DS-GVO den Umgang mit Verbraucherdaten und die Datensicherheit.

Die EU verfolgt mit der NIS-RL ähnliche Ziele wie die USA mit dem Rahmenwerk zur Computer- und Netzsicherheit kritischer Infrastrukturen (Critical Infrastructure Cybersecurity, CIS), bei dem es ebenfalls um den Schutz unverzichtbarer Dienste geht. Ein wichtiger Unterschied besteht allerdings darin, dass die US-Initiative (bislang) freiwillig ist.

Was die NIS-RL für Betreiber digitaler Dienste bedeutet

Die Betreiber von bestimmten digitalen Services und Webdiensten fallen ebenfalls unter die Regelungen der NIS-RL. Dazu gehören Online-Marktplätze (für Konsumgüter und Finanzdienstleistungen), Online-Suchmaschinen und Cloud-Computing-Dienste.

Wenn Amazon Web Services oder Airbnb in der EU Opfer einer DoS-Attacke würden, müssten sie wohl das örtliche CERT informieren. Diese Unternehmen unterliegen natürlich den derzeit geltenden EU-Rechtsvorschriften zum Schutz personenbezogener Daten sowie der DS-GVO sobald sie 2018 vollständig in Kraft tritt.

Somit müssen diese Betreiber digitaler Dienste künftig zwei Gesetzen zur Cybersicherheit gleichzeitig gerecht werden. Keine ganz einfache Situation.

Der aktuelle Stand der NIS-RL

Das EU-Parlament hat die NIS-RL soeben gebilligt, sodass sie voraussichtlich noch in diesem Sommer in Kraft treten wird. Die Mitgliedstaaten haben anschließend 21 Monate Zeit, um die Richtlinie in nationale Gesetzgebung umzusetzen. Im Anschluss bleiben ihnen weitere sechs Monate, um zu ermitteln, wer im jeweiligen Land die in der Richtlinie genannten unverzichtbaren Dienste anbietet.