Net.Law.S 2018
20.02.18 - 21.02.18
In Nürnberg, Messezentrum

CESIS 2018
20.02.18 - 21.02.18
In München

SAMS 2018
26.02.18 - 27.02.18
In Berlin, Maritim proArte

Plentymarkets Online-Händler-Kongress
03.03.18 - 03.03.18
In Kassel

Search Marketing Expo 2018
20.03.18 - 21.03.18
In München, ICM – Internationales Congress Center

Thorsten HenningDie Verabschiedung der EU-NIS-Richtlinie ist ein Meilenstein für die Cybersicherheit, aber die nächsten Schritte sind noch wichtiger. Eine Stellungnahme von Thorsten Henning, Senior Systems Engineering Manager bei Palo Alto Networks.

Mit der Plenarabstimmung des Europäischen Parlaments am 6. Juli 2016 hat die EU den nahezu finalen Schritt für ihre neuen Rechtsvorschriften bezüglich Cybersicherheit vollzogen. Die Netz- und Informationssicherheit (NIS)-Richtlinie ist das Ergebnis von mehr als drei Jahren Engagement seitens der Europäischen Kommission, des Rats und des Parlaments sowie der Zusammenarbeit mit Akteuren aus Europa und der ganzen Welt.

Initiiert wurden die Aktivitäten in Reaktion auf zunehmende Cyberbedrohungen. Ziel war es, die Cybersicherheit und Stabilität von Netzen und Informationssystemen in den EU-Mitgliedsstaaten zu erhöhen. Dies ist das erste Mal, dass die EU eigene Rechtsvorschriften speziell für Cybersicherheit erlassen hat. Insbesondere widmet sich die Richtlinie der Sicherheit im Internet in einem wirtschaftlichen und gesellschaftlichen Kontext. So soll das Vertrauen der Nutzer in Online-Aktivitäten gefestigt und damit auch der Austausch im EU-Binnenmarkt erleichtert werden. Die NIS-Richtlinie soll in Kürze im Amtsblatt der Europäischen Union veröffentlicht werden und wird 20 Tage danach in Kraft treten. Den EU-Mitgliedstaaten bleiben dann 21 Monate, um die Richtlinie in nationales Recht umzusetzen.

Die NIS-Richtlinie hat Auswirkungen sowohl auf wirtschaftlicher als auch auf staatlicher Seite. So sind Meldepflichten bezüglich Sicherheitsstatus und Vorfällen für „Betreiber von wesentlichen Diensten“ (z.B. Energieversorger, Verkehrsbetriebe, Gesundheitsdienstleistungen) vorgesehen. Gleiches gilt – etwas weniger streng – für „Anbieter digitaler Dienste“ (Online-Marktplätze, Online-Suchmaschinen und Cloud-Service-Provider). Die Mitgliedstaaten müssen nationale NIS-Strategien verabschieden und zuständige nationale Behörden benennen. Zudem sollen sie „gut funktionierende“ Computer Security Incident Response Teams (CSIRTs) im Einsatz haben – für die Erkennung, Prävention und Reaktion auf Sicherheitsvorfälle und -risiken. Einen großen Stellenwert hat auch die Koordination zwischen den Mitgliedstaaten. Durch die Einrichtung eines CSIRT-Netzwerks – einschließlich des bisherigen CERT-EU (Computer Emergency Response Team) – soll die operative Zusammenarbeit gefördert und der Informationsaustausch erleichtert werden.

Obwohl die heutige Abstimmung ein Meilenstein ist, sind die nächsten Schritte noch wichtiger. Die Betreiber von grundlegenden Dienstleistungen und digitale Dienstleister müssen einen Sinn dafür entwickeln, wie sich die Regulierung auswirken wird. Gemäß der Richtlinie bestimmen die Mitgliedstaaten zunächst, welche Unternehmen die Kriterien als „Betreiber von grundlegenden Dienstleistungen“ erfüllen. Hier ist Zusammenarbeit gefragt, um eine Fehlleitung von Sicherheitsressourcen zu verhindern. Das Gleiche gilt für die Behörden der Mitgliedstaaten, die die Meldepflicht für die Betreiber von wesentlichen Dienstleistungen weiter definieren sollen: Trotz der vorgesehenen Flexibilität bei der Umsetzung der Richtlinie sollte Konsistenz das Ziel sein.

Harmonisierte Ansätze sind ein wesentlicher Bestandteil, um die Cybersicherheit ​​weltweit zu verbessern. ​​Ressourcen für Cybersicherheit sind knapp in Regierungsbehörden und in der Wirtschaft. Jegliche redundanten oder inkonsistenten Aktivitäten oder Anforderungen sollten daher von vornherein vermieden werden. Koordination ist also notwendig – und das nicht nur innerhalb der EU. Wir fordern daher die Mitgliedstaaten, die Kommission, das Parlament und die EU-Agentur für Netz- und Informationssicherheit (ENISA) auf, weiterhin mit Regierungen und der Industrie außerhalb der EU und Europas zusammenzuarbeiten. Ziel muss es sein, weltweit an einem Strang zu ziehen, wenn die NIS-Richtlinie konkret realisiert wird.

Viele der erforderlichen EU-weiten Aktivitäten hätten – optimal umgesetzt – ein großes Potenzial, um das globale Sicherheitsniveau zu erhöhen. Zum Beispiel ist das CSIRT-Netzwerk eine wichtige Ergänzung zur internationalen CSIRT (CERT) Community. Palo Alto Networks arbeitet mit vielen CSIRTs in der EU und der NATO zusammen. Wir freuen uns darauf, mit anderen CSIRTs zusammenzuarbeiten, um sie zu unterstützen. Die NIS-Richtlinie fordert die CSIRTs der Mitgliedstaaten aus gutem Grund zur internationalen Zusammenarbeit auf: Cyberbedrohungen sind global und die Zusammenarbeit zwischen den CSIRTs auf der ganzen Welt hilft, Wissen und Ressourcen zu sammeln, um diesen Bedrohungen zu begegnen. Die Richtlinie fordert von den Mitgliedstaaten auch die Umsetzung nationaler NIS-Strategien für Bildung und Sensibilisierung, damit sich Benutzer besser schützen, wenn sie online sind.

Die Richtlinie weist die Mitgliedstaaten an, zuständige Behörden zu benennen, die über ausreichende technische, finanzielle und personelle Ressourcen verfügen, um ihre Aufgaben effektiv und effizient erfüllen zu können. Entsprechende ​​Ressourcen sind überall knapp, aber wir hoffen, dass die EU-Staaten ihr Möglichstes tun können. Hierbei sind Partnerschaften der richtige Weg. Die Richtlinie überträgt der ENISA eine Vielzahl von Rollen, wie zum Beispiel bei Bedarf die Staaten dabei zu unterstützen, ihre Strategien zu entwickeln und CSIRTs zu etablieren. Wenn die Mitgliedstaaten zudem die vorhandene Expertise der Sicherheitsbranche in Anspruch nehmen, können wir die Cybersicherheit für alle ​​schneller verbessern.

Wir würdigen das Engagement der europäischen Politik, die richtigen Schritte an der Cybersicherheitsfront voranzutreiben. Die Umsetzung der Richtlinie in den einzelnen Staaten dürfte variieren. Einige EU-Staaten, vor allem Deutschland, Frankreich und die Niederlande, arbeiten bereits ​​seit Jahren an der Cybersicherheit und haben bereits ihre eigenen Gesetze ​​im Vorfeld der NIS-Richtlinie umgesetzt. Sie müssen wohl nur noch kleine Anpassungen vornehmen, um den Mindestanforderungen der Richtlinie zu entsprechen, wenn überhaupt. Andere Mitgliedstaaten werden mehr substantiell von der Umsetzung der Richtlinie profitieren. Je mehr alle EU-Mitgliedstaaten das kollektive Sicherheitsniveau erhöhen, desto stärker wird letztlich die globale digitale Infrastruktur davon profitieren.

www.paloaltonetworks.com

Das könnte Sie ebenfalls interessieren:
Security Framework: Ein Leitfaden für Führungskräfte (kostenlos)

GRID LIST
mobile Security

Jeder dritte Smartphone-Nutzer hatte Sicherheitsprobleme

E-Mails, Kontaktdaten, die Online-Banking-App oder Fotos: Auf dem Smartphone befinden…
Tb W190 H80 Crop Int 09dfa399a4a7e8c6b7042604b55c67a8

Zögerliche Umsetzung industrieller Cyber Security Maßnahmen

Honeywell veröffentlichte eine neue Studie, nach der industrielle Unternehmen nur…
Tb W190 H80 Crop Int 109e3084b0929762241ecb84c531ae9e

Mehrheit hat noch nie etwas von Ransomware gehört

Der Computer startet, doch statt der gewohnten Oberfläche erscheint ein roter Bildschirm…
Vertrauensverlust

Vertrauensverlust kann Kunden kosten

Ein persönlicher Betrugsfall (62 Prozent), eine Datenpanne (49,9 Prozent) oder…
Gehaltserhöhung

Steigende Gehälter im Projektmanagement

Die aktuelle Studie „Gehalt und Karriere im Projektmanagement 2017“ sieht in der…
Hierarchie

Moderne Führung? Von wegen!

Die Unzufriedenheit der Mitarbeiter mit ihren Chefs wächst – vor allem in hierarchischen…
Smarte News aus der IT-Welt

IT Newsletter


Hier unsere Newsletter bestellen:

 IT-Management

 IT-Security