USU World 2018
06.06.18 - 07.06.18
In World Conference Center Bonn

CEBIT 2018
11.06.18 - 15.06.18
In Hannover

ERP Tage Aachen
19.06.18 - 21.06.18
In Aachen

next IT Con
25.06.18 - 25.06.18
In Nürnberg

XaaS Evolution 2018
01.07.18 - 03.07.18
In H4 Hotel Berlin Alexanderplatz

Thorsten HenningDie Verabschiedung der EU-NIS-Richtlinie ist ein Meilenstein für die Cybersicherheit, aber die nächsten Schritte sind noch wichtiger. Eine Stellungnahme von Thorsten Henning, Senior Systems Engineering Manager bei Palo Alto Networks.

Mit der Plenarabstimmung des Europäischen Parlaments am 6. Juli 2016 hat die EU den nahezu finalen Schritt für ihre neuen Rechtsvorschriften bezüglich Cybersicherheit vollzogen. Die Netz- und Informationssicherheit (NIS)-Richtlinie ist das Ergebnis von mehr als drei Jahren Engagement seitens der Europäischen Kommission, des Rats und des Parlaments sowie der Zusammenarbeit mit Akteuren aus Europa und der ganzen Welt.

Initiiert wurden die Aktivitäten in Reaktion auf zunehmende Cyberbedrohungen. Ziel war es, die Cybersicherheit und Stabilität von Netzen und Informationssystemen in den EU-Mitgliedsstaaten zu erhöhen. Dies ist das erste Mal, dass die EU eigene Rechtsvorschriften speziell für Cybersicherheit erlassen hat. Insbesondere widmet sich die Richtlinie der Sicherheit im Internet in einem wirtschaftlichen und gesellschaftlichen Kontext. So soll das Vertrauen der Nutzer in Online-Aktivitäten gefestigt und damit auch der Austausch im EU-Binnenmarkt erleichtert werden. Die NIS-Richtlinie soll in Kürze im Amtsblatt der Europäischen Union veröffentlicht werden und wird 20 Tage danach in Kraft treten. Den EU-Mitgliedstaaten bleiben dann 21 Monate, um die Richtlinie in nationales Recht umzusetzen.

Die NIS-Richtlinie hat Auswirkungen sowohl auf wirtschaftlicher als auch auf staatlicher Seite. So sind Meldepflichten bezüglich Sicherheitsstatus und Vorfällen für „Betreiber von wesentlichen Diensten“ (z.B. Energieversorger, Verkehrsbetriebe, Gesundheitsdienstleistungen) vorgesehen. Gleiches gilt – etwas weniger streng – für „Anbieter digitaler Dienste“ (Online-Marktplätze, Online-Suchmaschinen und Cloud-Service-Provider). Die Mitgliedstaaten müssen nationale NIS-Strategien verabschieden und zuständige nationale Behörden benennen. Zudem sollen sie „gut funktionierende“ Computer Security Incident Response Teams (CSIRTs) im Einsatz haben – für die Erkennung, Prävention und Reaktion auf Sicherheitsvorfälle und -risiken. Einen großen Stellenwert hat auch die Koordination zwischen den Mitgliedstaaten. Durch die Einrichtung eines CSIRT-Netzwerks – einschließlich des bisherigen CERT-EU (Computer Emergency Response Team) – soll die operative Zusammenarbeit gefördert und der Informationsaustausch erleichtert werden.

Obwohl die heutige Abstimmung ein Meilenstein ist, sind die nächsten Schritte noch wichtiger. Die Betreiber von grundlegenden Dienstleistungen und digitale Dienstleister müssen einen Sinn dafür entwickeln, wie sich die Regulierung auswirken wird. Gemäß der Richtlinie bestimmen die Mitgliedstaaten zunächst, welche Unternehmen die Kriterien als „Betreiber von grundlegenden Dienstleistungen“ erfüllen. Hier ist Zusammenarbeit gefragt, um eine Fehlleitung von Sicherheitsressourcen zu verhindern. Das Gleiche gilt für die Behörden der Mitgliedstaaten, die die Meldepflicht für die Betreiber von wesentlichen Dienstleistungen weiter definieren sollen: Trotz der vorgesehenen Flexibilität bei der Umsetzung der Richtlinie sollte Konsistenz das Ziel sein.

Harmonisierte Ansätze sind ein wesentlicher Bestandteil, um die Cybersicherheit ​​weltweit zu verbessern. ​​Ressourcen für Cybersicherheit sind knapp in Regierungsbehörden und in der Wirtschaft. Jegliche redundanten oder inkonsistenten Aktivitäten oder Anforderungen sollten daher von vornherein vermieden werden. Koordination ist also notwendig – und das nicht nur innerhalb der EU. Wir fordern daher die Mitgliedstaaten, die Kommission, das Parlament und die EU-Agentur für Netz- und Informationssicherheit (ENISA) auf, weiterhin mit Regierungen und der Industrie außerhalb der EU und Europas zusammenzuarbeiten. Ziel muss es sein, weltweit an einem Strang zu ziehen, wenn die NIS-Richtlinie konkret realisiert wird.

Viele der erforderlichen EU-weiten Aktivitäten hätten – optimal umgesetzt – ein großes Potenzial, um das globale Sicherheitsniveau zu erhöhen. Zum Beispiel ist das CSIRT-Netzwerk eine wichtige Ergänzung zur internationalen CSIRT (CERT) Community. Palo Alto Networks arbeitet mit vielen CSIRTs in der EU und der NATO zusammen. Wir freuen uns darauf, mit anderen CSIRTs zusammenzuarbeiten, um sie zu unterstützen. Die NIS-Richtlinie fordert die CSIRTs der Mitgliedstaaten aus gutem Grund zur internationalen Zusammenarbeit auf: Cyberbedrohungen sind global und die Zusammenarbeit zwischen den CSIRTs auf der ganzen Welt hilft, Wissen und Ressourcen zu sammeln, um diesen Bedrohungen zu begegnen. Die Richtlinie fordert von den Mitgliedstaaten auch die Umsetzung nationaler NIS-Strategien für Bildung und Sensibilisierung, damit sich Benutzer besser schützen, wenn sie online sind.

Die Richtlinie weist die Mitgliedstaaten an, zuständige Behörden zu benennen, die über ausreichende technische, finanzielle und personelle Ressourcen verfügen, um ihre Aufgaben effektiv und effizient erfüllen zu können. Entsprechende ​​Ressourcen sind überall knapp, aber wir hoffen, dass die EU-Staaten ihr Möglichstes tun können. Hierbei sind Partnerschaften der richtige Weg. Die Richtlinie überträgt der ENISA eine Vielzahl von Rollen, wie zum Beispiel bei Bedarf die Staaten dabei zu unterstützen, ihre Strategien zu entwickeln und CSIRTs zu etablieren. Wenn die Mitgliedstaaten zudem die vorhandene Expertise der Sicherheitsbranche in Anspruch nehmen, können wir die Cybersicherheit für alle ​​schneller verbessern.

Wir würdigen das Engagement der europäischen Politik, die richtigen Schritte an der Cybersicherheitsfront voranzutreiben. Die Umsetzung der Richtlinie in den einzelnen Staaten dürfte variieren. Einige EU-Staaten, vor allem Deutschland, Frankreich und die Niederlande, arbeiten bereits ​​seit Jahren an der Cybersicherheit und haben bereits ihre eigenen Gesetze ​​im Vorfeld der NIS-Richtlinie umgesetzt. Sie müssen wohl nur noch kleine Anpassungen vornehmen, um den Mindestanforderungen der Richtlinie zu entsprechen, wenn überhaupt. Andere Mitgliedstaaten werden mehr substantiell von der Umsetzung der Richtlinie profitieren. Je mehr alle EU-Mitgliedstaaten das kollektive Sicherheitsniveau erhöhen, desto stärker wird letztlich die globale digitale Infrastruktur davon profitieren.

www.paloaltonetworks.com

Das könnte Sie ebenfalls interessieren:
Security Framework: Ein Leitfaden für Führungskräfte (kostenlos)

GRID LIST
Tb W190 H80 Crop Int 7c3a0db6439506da0e222f161e4a26c2

Informatik-Hörsäle werden langsam weiblicher

Frauen entscheiden sich zunehmend für ein Informatik-Studium, sind in den Hörsälen aber…
Digital Car

Informationssicherheit der Automotive-Branche im roten Bereich

Die Informationssicherheit der deutschen Firmen tritt seit letztem Jahr auf der Stelle…
Tb W190 H80 Crop Int 389a09c7656acc1c7d7e5e7e63199d3e

Keine Automatisierungs-Strategie in deutschen Büros

Wunsch und Wirklichkeit klaffen beim Thema Automatisierung in Unternehmen weit…
Tb W190 H80 Crop Int 3cdf0b608358ed23f127e2b56d94ed50

Google und Amazon werden nicht als Wettbewerber erkannt

Die digitale Transformation zählt aktuell in fast zwei Drittel (62 Prozent) der deutschen…
Tb W190 H80 Crop Int 83e42abf2c83bc3b81052b099644a410

Großunternehmen erwarten mehr Jobs durch die Digitalisierung

Führt die Digitalisierung in Deutschlands Großunternehmen zu einem Verschwinden oder…
Tb W190 H80 Crop Int 9d587fe1bc77601d0710fd138365b11b

Botnetze zählen zu den hartnäckigsten Cyberbedrohungen

2017 haben die CenturyLink Threat Research Labs im Durchschnitt 195.000 auf…
Smarte News aus der IT-Welt

IT Newsletter


Hier unsere Newsletter bestellen:

 IT-Management

 IT-Security