Anzeige

Thorsten HenningDie Verabschiedung der EU-NIS-Richtlinie ist ein Meilenstein für die Cybersicherheit, aber die nächsten Schritte sind noch wichtiger. Eine Stellungnahme von Thorsten Henning, Senior Systems Engineering Manager bei Palo Alto Networks.

Mit der Plenarabstimmung des Europäischen Parlaments am 6. Juli 2016 hat die EU den nahezu finalen Schritt für ihre neuen Rechtsvorschriften bezüglich Cybersicherheit vollzogen. Die Netz- und Informationssicherheit (NIS)-Richtlinie ist das Ergebnis von mehr als drei Jahren Engagement seitens der Europäischen Kommission, des Rats und des Parlaments sowie der Zusammenarbeit mit Akteuren aus Europa und der ganzen Welt.

Initiiert wurden die Aktivitäten in Reaktion auf zunehmende Cyberbedrohungen. Ziel war es, die Cybersicherheit und Stabilität von Netzen und Informationssystemen in den EU-Mitgliedsstaaten zu erhöhen. Dies ist das erste Mal, dass die EU eigene Rechtsvorschriften speziell für Cybersicherheit erlassen hat. Insbesondere widmet sich die Richtlinie der Sicherheit im Internet in einem wirtschaftlichen und gesellschaftlichen Kontext. So soll das Vertrauen der Nutzer in Online-Aktivitäten gefestigt und damit auch der Austausch im EU-Binnenmarkt erleichtert werden. Die NIS-Richtlinie soll in Kürze im Amtsblatt der Europäischen Union veröffentlicht werden und wird 20 Tage danach in Kraft treten. Den EU-Mitgliedstaaten bleiben dann 21 Monate, um die Richtlinie in nationales Recht umzusetzen.

Die NIS-Richtlinie hat Auswirkungen sowohl auf wirtschaftlicher als auch auf staatlicher Seite. So sind Meldepflichten bezüglich Sicherheitsstatus und Vorfällen für „Betreiber von wesentlichen Diensten“ (z.B. Energieversorger, Verkehrsbetriebe, Gesundheitsdienstleistungen) vorgesehen. Gleiches gilt – etwas weniger streng – für „Anbieter digitaler Dienste“ (Online-Marktplätze, Online-Suchmaschinen und Cloud-Service-Provider). Die Mitgliedstaaten müssen nationale NIS-Strategien verabschieden und zuständige nationale Behörden benennen. Zudem sollen sie „gut funktionierende“ Computer Security Incident Response Teams (CSIRTs) im Einsatz haben – für die Erkennung, Prävention und Reaktion auf Sicherheitsvorfälle und -risiken. Einen großen Stellenwert hat auch die Koordination zwischen den Mitgliedstaaten. Durch die Einrichtung eines CSIRT-Netzwerks – einschließlich des bisherigen CERT-EU (Computer Emergency Response Team) – soll die operative Zusammenarbeit gefördert und der Informationsaustausch erleichtert werden.

Obwohl die heutige Abstimmung ein Meilenstein ist, sind die nächsten Schritte noch wichtiger. Die Betreiber von grundlegenden Dienstleistungen und digitale Dienstleister müssen einen Sinn dafür entwickeln, wie sich die Regulierung auswirken wird. Gemäß der Richtlinie bestimmen die Mitgliedstaaten zunächst, welche Unternehmen die Kriterien als „Betreiber von grundlegenden Dienstleistungen“ erfüllen. Hier ist Zusammenarbeit gefragt, um eine Fehlleitung von Sicherheitsressourcen zu verhindern. Das Gleiche gilt für die Behörden der Mitgliedstaaten, die die Meldepflicht für die Betreiber von wesentlichen Dienstleistungen weiter definieren sollen: Trotz der vorgesehenen Flexibilität bei der Umsetzung der Richtlinie sollte Konsistenz das Ziel sein.

Harmonisierte Ansätze sind ein wesentlicher Bestandteil, um die Cybersicherheit ​​weltweit zu verbessern. ​​Ressourcen für Cybersicherheit sind knapp in Regierungsbehörden und in der Wirtschaft. Jegliche redundanten oder inkonsistenten Aktivitäten oder Anforderungen sollten daher von vornherein vermieden werden. Koordination ist also notwendig – und das nicht nur innerhalb der EU. Wir fordern daher die Mitgliedstaaten, die Kommission, das Parlament und die EU-Agentur für Netz- und Informationssicherheit (ENISA) auf, weiterhin mit Regierungen und der Industrie außerhalb der EU und Europas zusammenzuarbeiten. Ziel muss es sein, weltweit an einem Strang zu ziehen, wenn die NIS-Richtlinie konkret realisiert wird.

Viele der erforderlichen EU-weiten Aktivitäten hätten – optimal umgesetzt – ein großes Potenzial, um das globale Sicherheitsniveau zu erhöhen. Zum Beispiel ist das CSIRT-Netzwerk eine wichtige Ergänzung zur internationalen CSIRT (CERT) Community. Palo Alto Networks arbeitet mit vielen CSIRTs in der EU und der NATO zusammen. Wir freuen uns darauf, mit anderen CSIRTs zusammenzuarbeiten, um sie zu unterstützen. Die NIS-Richtlinie fordert die CSIRTs der Mitgliedstaaten aus gutem Grund zur internationalen Zusammenarbeit auf: Cyberbedrohungen sind global und die Zusammenarbeit zwischen den CSIRTs auf der ganzen Welt hilft, Wissen und Ressourcen zu sammeln, um diesen Bedrohungen zu begegnen. Die Richtlinie fordert von den Mitgliedstaaten auch die Umsetzung nationaler NIS-Strategien für Bildung und Sensibilisierung, damit sich Benutzer besser schützen, wenn sie online sind.

Die Richtlinie weist die Mitgliedstaaten an, zuständige Behörden zu benennen, die über ausreichende technische, finanzielle und personelle Ressourcen verfügen, um ihre Aufgaben effektiv und effizient erfüllen zu können. Entsprechende ​​Ressourcen sind überall knapp, aber wir hoffen, dass die EU-Staaten ihr Möglichstes tun können. Hierbei sind Partnerschaften der richtige Weg. Die Richtlinie überträgt der ENISA eine Vielzahl von Rollen, wie zum Beispiel bei Bedarf die Staaten dabei zu unterstützen, ihre Strategien zu entwickeln und CSIRTs zu etablieren. Wenn die Mitgliedstaaten zudem die vorhandene Expertise der Sicherheitsbranche in Anspruch nehmen, können wir die Cybersicherheit für alle ​​schneller verbessern.

Wir würdigen das Engagement der europäischen Politik, die richtigen Schritte an der Cybersicherheitsfront voranzutreiben. Die Umsetzung der Richtlinie in den einzelnen Staaten dürfte variieren. Einige EU-Staaten, vor allem Deutschland, Frankreich und die Niederlande, arbeiten bereits ​​seit Jahren an der Cybersicherheit und haben bereits ihre eigenen Gesetze ​​im Vorfeld der NIS-Richtlinie umgesetzt. Sie müssen wohl nur noch kleine Anpassungen vornehmen, um den Mindestanforderungen der Richtlinie zu entsprechen, wenn überhaupt. Andere Mitgliedstaaten werden mehr substantiell von der Umsetzung der Richtlinie profitieren. Je mehr alle EU-Mitgliedstaaten das kollektive Sicherheitsniveau erhöhen, desto stärker wird letztlich die globale digitale Infrastruktur davon profitieren.

www.paloaltonetworks.com

Das könnte Sie ebenfalls interessieren:
Security Framework: Ein Leitfaden für Führungskräfte (kostenlos)


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Weitere Artikel

DDoS

DDoS-Attacken in Q4 2019 gegenüber Vorjahr fast verdoppelt

Die Anzahl der durch Kaspersky DDoS Protection blockierten Angriffe im vierten Quartal 2018 macht nur 56 Prozent der im selben Quartal 2019 entdeckten und blockierten Angriffe aus. Mehr als ein Viertel (27,65 Prozent) der Attacken fand dabei am Wochenende…
Offenes Schloss

IT-Schwachstellen nehmen weiter zu und es ist keine Lösung in Sicht

Um kontinuierlich neue Sicherheitslücken ausfindig zu machen, verwenden Sicherheitsunternehmen häufig interne Softwarelösungen, die Informationen aus verschiedenen Datenquellen wie Schwachstellendatenbanken, Newslettern, Foren, sozialen Medien und mehr…
Apps Digital

Apps treiben digitalen Wandel in Europa voran

Gemäß der sechsten Ausgabe des „State of Application Services“ (SOAS) Reports haben 91 Prozent der befragten Unternehmen der EMEA-Region explizite Pläne für die digitale Transformation in Arbeit. Im Vergleich dazu sind es 84 Prozent in den USA und 82 Prozent…
DDoS

DDoS-Report: Steigende Komplexität und Volumen der Attacken

Der Anteil komplexer Multivektor-Attacken ist auf 65 % gestiegen, der größte abgewehrte Angriff erreichte ein Maximum von 724 Gbps, so der Bericht der IT-Sicherheitsexperten.
Businessman Kämpfer

Was ist der beste Schutz vor Sabotage, Diebstahl oder Spionage?

Die deutsche Wirtschaft ist sich einig: Wenn es künftig um den Schutz vor Sabotage, Datendiebstahl oder Spionage geht, braucht es vor allem qualifizierte IT-Sicherheitsspezialisten. Praktisch alle Unternehmen (99 Prozent) sehen dies als geeignete…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!