Neue Regulatorik aus Brüssel und Straßburg – Cyberabwehr soll aktiver werden
Marktteilnehmer und öffentliche Dienststellen mit einer entscheidenden und essenziellen Bedeutung für Wirtschaft und Gesellschaft in der EU bekommen neue Auflagen im Bereich Cybersicherheit. EU-Ministerrat, Parlament und die Kommission haben sich auf eine Novelle der Richtlinie über die Netzwerk- und Informationssicherheit (NIS) verständigt.
Was regelt der Kompromiss der EU?
Der Kompromiss sieht u.a. vor, die Leitenden (obere Führungskräfte) der erfassten Unternehmen, Staatsbetriebe und möglicherweise auch Behörden für etwaige Verstöße zum Einhalten der Cybersicherheit verantwortlich zu machen. Betroffene Betreiber wesentlicher Dienste müssen mit Geldbußen in Höhe von 2 Prozent des Jahresumsatzes rechnen, Anbieter wichtiger Services mit 1,4 Prozent.
Welche Basis hat die Höhe der Geldbußen?
Die Werte sind angelegt an die Lösegeldforderungen, die Ransomware-Banden in der Regel bei Erpressungsversuchen mit Verschlüsselungstrojanern verlangen. Man möchte die Verantwortlichen motivieren, diese Summen besser präventiv vor Hackerangriffen in Cybersicherheit zu investieren. Grundsätzlich sind die Strafen auch an die in 2018 in Kraft getretenen DSGVO Artikel 83 Absatz 4 (2%) und 5 (4%) angelehnt.
Was genau soll dadurch erreicht werden?
Die überarbeitete NIS-Richtlinie (NIS 2.0 – 2022) zielt darauf ab, noch bestehende Unterschiede bei den Anforderungen und in der Umsetzung von Maßnahmen zur Netz- und Informationssicherheit in den einzelnen Mitgliedstaaten aufzuheben.
Sie soll angesichts zunehmender Cyberbedrohungen die Widerstandsfähigkeit und die Reaktionsfähigkeit des öffentlichen und privaten Sektors sowie der EU insgesamt weiter verbessern. Enthalten sind etwa Mindestvorschriften für Maßnahmen zum Risikomanagement im Bereich der Cybersicherheit und für Meldepflichten bei Online-Attacken sowie daraus resultierenden Datenpannen.
Für wen soll die NIS 2.0 gelten?
Die NIS2 soll nun auch mittlere und große Einrichtungen aus einer erweiterten Zahl von Sektoren erfassen, zu denen nicht mehr nur die sogenannten kritischen Infrastrukturen (KRITIS) gehören. Die Vorgaben schließen künftig etwa Anbieter öffentlicher elektronischer Kommunikationsdienste und digitaler Dienste, die Abwasser- und Abfallwirtschaft, Hersteller kritischer Produkte, Post- und Kurierdienste und die öffentliche Verwaltung sowohl auf zentraler als auch regionaler Ebene ein. Ferner können die Mitgliedstaaten beschließen, dass sie auch für einschlägige Stellen auf kommunaler Ebene gelten.
Ursprünglich sollten die Auflagen auch Root-Server und andere Anbieter von Diensten rund um das Domain Name System (DNS) betreffen. Das Parlament hatte sich von diesem Ansatz der Kommission in seiner Position aber verabschiedet.
Angesichts zunehmender Sicherheitsrisiken, die während der Coronapandemie offenbar wurden, wird auch der Gesundheitssektor – etwa durch die Einbeziehung der Medizinproduktehersteller – breiter erfasst. Der Einbezug der öffentlichen Verwaltung war lange umstritten. Der Rat setzte hier einige Ausnahmen durch: Die Richtlinie erstreckt sich so nicht auf Einrichtungen, die Tätigkeiten in Bereichen wie Verteidigung oder nationaler und öffentlicher Sicherheit, Strafverfolgung und Justiz ausüben. Polizeien und Geheimdienste bleiben so etwa außen vor. Parlamente und Zentralbanken sind ebenfalls vom Anwendungsbereich ausgenommen.
Das EU-Parlament geht grundsätzlich davon aus, dass insgesamt EU-weit über 100.000 Einrichtungen betroffen sind. Betriebe mit über 250 Mitarbeitern und über zehn Millionen Jahresumsatz müssten künftig gemeinsame Cybersicherheits-Standards wie Audits, Risikoabschätzungen, das zeitnahe Einspielen von Sicherheitsupdates und Zertifizierungen beachten. Die Behörden sind innerhalb von 24 Stunden grob über Cybersicherheitsvorfälle zu informieren.
Innerhalb von drei Tagen muss ein ausführlicher Bericht mit Details folgen. So soll dem Rat zufolge „eine übermäßige Belastung der betroffenen Stellen“ vermieden werden.
Wo konkret setzt die NIS 2.0 an?
Die EU muss auf „industrielle Angriffe“ entsprechend reagieren und spricht von einer „aktiven Cyber-Antwort“ und einer „neuen Verteidigungsphase“. Die erfassten Stellen werden künftig dazu verpflichtet proaktiv einschlägige Informationen zu teilen. Die zuständigen Behörden erhielten zudem erstmals eine Rechtsgrundlage, um Netzwerke auf Systeme mit Sicherheitslücken zu scannen.
Inwieweit auch die umstrittenen „Hackbacks“ (sog. aktiver Rückschlag bei Cyberangriffen) zum Arsenal der Reaktionsmöglichkeiten gehören sollen, ist bislang unklar, da der ausgehandelte Text erst noch finalisiert werden muss. Offiziell eingerichtet wird mit der Übereinkunft jedenfalls das European Cyber Crises Liaison Organisation Network (EU-Cyclone). Es soll die Bewältigung großflächiger Cybersicherheitsvorfälle unterstützen.
Was sind die nächsten Schritte?
Die erzielte vorläufige Einigung muss nun noch vom Rat und vom Parlament formal gebilligt werden. Die Mitgliedstaaten haben dann ab Inkrafttreten der Richtlinie 21 Monate Zeit, um die Bestimmungen in nationales Recht umzusetzen. Hierzulande hatte der Bundestag voriges Jahr nach langen Auseinandersetzungen das IT-Sicherheitsgesetz 2.0 verabschiedet. Es wird wohl erneut überarbeitet werden müssen. Noch mehr hätte sich der ein oder andere beim Absichern von Lieferketten und von 5G-Netzwerken gewünscht. Dort fehlt es noch in der Harmonisierung auf europäischer Ebene.
Dr. Gerd Grimberger, 31. Mai 2022
Rechtsinformatiker