Die Verabschiedung der EU-NIS-Richtlinie ist ein Meilenstein für die Cybersicherheit, aber die nächsten Schritte sind noch wichtiger. Eine Stellungnahme von Thorsten Henning, Senior Systems Engineering Manager bei Palo Alto Networks.
Mit der Plenarabstimmung des Europäischen Parlaments am 6. Juli 2016 hat die EU den nahezu finalen Schritt für ihre neuen Rechtsvorschriften bezüglich Cybersicherheit vollzogen. Die Netz- und Informationssicherheit (NIS)-Richtlinie ist das Ergebnis von mehr als drei Jahren Engagement seitens der Europäischen Kommission, des Rats und des Parlaments sowie der Zusammenarbeit mit Akteuren aus Europa und der ganzen Welt.
Initiiert wurden die Aktivitäten in Reaktion auf zunehmende Cyberbedrohungen. Ziel war es, die Cybersicherheit und Stabilität von Netzen und Informationssystemen in den EU-Mitgliedsstaaten zu erhöhen. Dies ist das erste Mal, dass die EU eigene Rechtsvorschriften speziell für Cybersicherheit erlassen hat. Insbesondere widmet sich die Richtlinie der Sicherheit im Internet in einem wirtschaftlichen und gesellschaftlichen Kontext. So soll das Vertrauen der Nutzer in Online-Aktivitäten gefestigt und damit auch der Austausch im EU-Binnenmarkt erleichtert werden. Die NIS-Richtlinie soll in Kürze im Amtsblatt der Europäischen Union veröffentlicht werden und wird 20 Tage danach in Kraft treten. Den EU-Mitgliedstaaten bleiben dann 21 Monate, um die Richtlinie in nationales Recht umzusetzen.
Die NIS-Richtlinie hat Auswirkungen sowohl auf wirtschaftlicher als auch auf staatlicher Seite. So sind Meldepflichten bezüglich Sicherheitsstatus und Vorfällen für „Betreiber von wesentlichen Diensten“ (z.B. Energieversorger, Verkehrsbetriebe, Gesundheitsdienstleistungen) vorgesehen. Gleiches gilt – etwas weniger streng – für „Anbieter digitaler Dienste“ (Online-Marktplätze, Online-Suchmaschinen und Cloud-Service-Provider). Die Mitgliedstaaten müssen nationale NIS-Strategien verabschieden und zuständige nationale Behörden benennen. Zudem sollen sie „gut funktionierende“ Computer Security Incident Response Teams (CSIRTs) im Einsatz haben – für die Erkennung, Prävention und Reaktion auf Sicherheitsvorfälle und -risiken. Einen großen Stellenwert hat auch die Koordination zwischen den Mitgliedstaaten. Durch die Einrichtung eines CSIRT-Netzwerks – einschließlich des bisherigen CERT-EU (Computer Emergency Response Team) – soll die operative Zusammenarbeit gefördert und der Informationsaustausch erleichtert werden.
Obwohl die heutige Abstimmung ein Meilenstein ist, sind die nächsten Schritte noch wichtiger. Die Betreiber von grundlegenden Dienstleistungen und digitale Dienstleister müssen einen Sinn dafür entwickeln, wie sich die Regulierung auswirken wird. Gemäß der Richtlinie bestimmen die Mitgliedstaaten zunächst, welche Unternehmen die Kriterien als „Betreiber von grundlegenden Dienstleistungen“ erfüllen. Hier ist Zusammenarbeit gefragt, um eine Fehlleitung von Sicherheitsressourcen zu verhindern. Das Gleiche gilt für die Behörden der Mitgliedstaaten, die die Meldepflicht für die Betreiber von wesentlichen Dienstleistungen weiter definieren sollen: Trotz der vorgesehenen Flexibilität bei der Umsetzung der Richtlinie sollte Konsistenz das Ziel sein.
Harmonisierte Ansätze sind ein wesentlicher Bestandteil, um die Cybersicherheit weltweit zu verbessern. Ressourcen für Cybersicherheit sind knapp in Regierungsbehörden und in der Wirtschaft. Jegliche redundanten oder inkonsistenten Aktivitäten oder Anforderungen sollten daher von vornherein vermieden werden. Koordination ist also notwendig – und das nicht nur innerhalb der EU. Wir fordern daher die Mitgliedstaaten, die Kommission, das Parlament und die EU-Agentur für Netz- und Informationssicherheit (ENISA) auf, weiterhin mit Regierungen und der Industrie außerhalb der EU und Europas zusammenzuarbeiten. Ziel muss es sein, weltweit an einem Strang zu ziehen, wenn die NIS-Richtlinie konkret realisiert wird.
Viele der erforderlichen EU-weiten Aktivitäten hätten – optimal umgesetzt – ein großes Potenzial, um das globale Sicherheitsniveau zu erhöhen. Zum Beispiel ist das CSIRT-Netzwerk eine wichtige Ergänzung zur internationalen CSIRT (CERT) Community. Palo Alto Networks arbeitet mit vielen CSIRTs in der EU und der NATO zusammen. Wir freuen uns darauf, mit anderen CSIRTs zusammenzuarbeiten, um sie zu unterstützen. Die NIS-Richtlinie fordert die CSIRTs der Mitgliedstaaten aus gutem Grund zur internationalen Zusammenarbeit auf: Cyberbedrohungen sind global und die Zusammenarbeit zwischen den CSIRTs auf der ganzen Welt hilft, Wissen und Ressourcen zu sammeln, um diesen Bedrohungen zu begegnen. Die Richtlinie fordert von den Mitgliedstaaten auch die Umsetzung nationaler NIS-Strategien für Bildung und Sensibilisierung, damit sich Benutzer besser schützen, wenn sie online sind.
Die Richtlinie weist die Mitgliedstaaten an, zuständige Behörden zu benennen, die über ausreichende technische, finanzielle und personelle Ressourcen verfügen, um ihre Aufgaben effektiv und effizient erfüllen zu können. Entsprechende Ressourcen sind überall knapp, aber wir hoffen, dass die EU-Staaten ihr Möglichstes tun können. Hierbei sind Partnerschaften der richtige Weg. Die Richtlinie überträgt der ENISA eine Vielzahl von Rollen, wie zum Beispiel bei Bedarf die Staaten dabei zu unterstützen, ihre Strategien zu entwickeln und CSIRTs zu etablieren. Wenn die Mitgliedstaaten zudem die vorhandene Expertise der Sicherheitsbranche in Anspruch nehmen, können wir die Cybersicherheit für alle schneller verbessern.
Wir würdigen das Engagement der europäischen Politik, die richtigen Schritte an der Cybersicherheitsfront voranzutreiben. Die Umsetzung der Richtlinie in den einzelnen Staaten dürfte variieren. Einige EU-Staaten, vor allem Deutschland, Frankreich und die Niederlande, arbeiten bereits seit Jahren an der Cybersicherheit und haben bereits ihre eigenen Gesetze im Vorfeld der NIS-Richtlinie umgesetzt. Sie müssen wohl nur noch kleine Anpassungen vornehmen, um den Mindestanforderungen der Richtlinie zu entsprechen, wenn überhaupt. Andere Mitgliedstaaten werden mehr substantiell von der Umsetzung der Richtlinie profitieren. Je mehr alle EU-Mitgliedstaaten das kollektive Sicherheitsniveau erhöhen, desto stärker wird letztlich die globale digitale Infrastruktur davon profitieren.
Das könnte Sie ebenfalls interessieren:
Security Framework: Ein Leitfaden für Führungskräfte (kostenlos)