EU stellt Entwurf für neues Internet-Sicherheitsgesetz vor

Vertreter von EU-Rat und Parlament haben sich auf eine neue „Richtlinie zur Netzwerk- und Informationssicherheit“ verständigt und präsentieren diesen Entwurf jetzt der Öffentlichkeit.

Die Verhandlungen zur neuen Regelung wurden demnach nach zwei Jahren mit einem Regelwerk beendet, das vor für bei Unternehmen und Online-Firmen mit großen Netzwerken neue und wichtige Vorschriften beinhaltet. Die IT-affinen Unternehmen sollen verpflichtet werden, Cyberangriffe und Sicherheitspannen umgehend zu melden und vorhandene oder durch Hackerangriffe entstandene Sicherheitslücken umgehen und wirksam zu schließen.

Keine Auflagen für soziale Netzwerke
Die Parlamentarier haben in dem Entwurf zur neuen Richtlinie genau aufgeführt, welche Unternehmen und Betreiber mit Auflagen zur Datenübermittlung und Erweiterung der Sicherheitseinrichtungen der IT-Netzwerke verpflichtet sind. Dazu gehören Unternehmen, die „essenzielle Dienste“ ausführen, wie Strom- und Wasserversorger, Unternehmen in den Transport-, Finanz- und Gesundheitsbranchen sowie Online-Marktplätze, Internet-Suchmaschinen und Cloud Services. Ausgenommen von den neuen Vorschriften sind vorerst kleine IT-Unternehmen und soziale Netzwerke.

Der Forderung einiger EU-Abgeordneter, die Vorschriften auch für Behörden und Unternehmen im öffentlichen Sektor auszugeben, scheiterte am Veto des Rates.

EU-Staaten sollen Meldesysteme einführen
Das IT-Regelwerk muss noch formell von EU-Rat und Parlament bestätigt werden und kann dann Inkrafttreten. Danach sind alle EU-Mitgliedsstaaten aufgerufen, nationale Meldesysteme aufzubauen und sich international austauschen. Koordiniert wird dieser Informationsaustausch von stattlichen Behörden.

In Deutschland wird dafür das Bundesamt für Sicherheit in der Informationstechnik (BSI) zuständig sein. Das BSI arbeitet mit einem speziellen „Computer Security Incident Response Team„ (CSIRT) zusammen. Diese Teams ergänzen die Arbeit der bereits bestehenden „Computer Emergency Response Teams„ (CERTs), die weltweit zur Abwehr von Cyberkriminalität gebildet wurden.

Der Verband der Internetwirtschaft eco sieht das neue Regelwerk als guten Fortschritt im Kampf gegen die internationale Cyberkriminalität. Positiv wird gewertet, dass kleine Unternehmen nicht mit zusätzlichen Auflagen zur IT-Sicherheit belegt werden. Die Umsetzung wäre für viele dieser kleinen IT-Firmen zu aufwendig und teuer. Der Verband eco weist zusätzlich darauf hin, dass bei der Umsetzung der neuen Richtlinie auch das nationale IT-Sicherheitsgesetz beachtet werden muss, das vor kurzem von der Bundesregierung verabschiedet wurde.