EU-Richtlinie zur Cybersicherheit

Einheitliche Standards im Netz?

Robert Korherr ist CEO/Managing Partner bei ProSoft Software Vertriebs GmbH.
Das IT-Sicherheitsgesetz, die EU-Richtlinie zur Cybersicherheit - das Thema IT-Security beschäftigt Europa.

Die EU-Richtlinie zur Cybersicherheit ist in den Medien derzeit omnipräsent. Kein Wunder: die Regierungen Deutschlands und Frankreichs - aber auch anderer EU-Mitgliedsstaaten - verweisen immer wieder nach Brüssel, wenn es um Policies für mehr Sicherheit in der digitalen Welt geht. Daran ändert auch das jüngst beschlossene IT-Sicherheitsgesetz nicht viel. Einheitliche Standards auf dem europäischen Binnenmarkt liegen im Kompetenzbereich der EU, daher erscheint es nur logisch, dass sie um eine entsprechende Gesetzgebung bemüht sein sollte.

IT-Sicherheit ist derzeit in aller Munde. Trotz des kürzlich beschlossenen IT-Sicherheitsgesetzes fehlen in Europa weiterhin einheitliche Cybersecurity-Standards.
IT-Sicherheit ist derzeit in aller Munde. Trotz des kürzlich beschlossenen IT-Sicherheitsgesetzes fehlen in Europa weiterhin einheitliche Cybersecurity-Standards.
Foto: wk1003mike / shutterstock.com

Das IT-Sicherheitsgesetz und die EU

Seit März 2013 brütet die EU bereits über dem Vorschlag für eine sogenannte EU-Cybersicherheitsrichtlinie - nun scheint es langsam ernst zu werden. Bis zum Sommer 2015 soll eine Entscheidung getroffen werden. Die Herausforderung dabei ist die Vielzahl der individuellen Besonderheiten in den Mitgliedsstaaten. Dort warten Regierungen gebannt auf die Richtlinie denn nach ihrer Verabschiedung gilt es für die EU-Mitglieder, sie in die nationale Gesetzgebung zu implementieren. Vorher besitzt die Richtlinie zur Cybersicherheit keine rechtliche Gültigkeit.

Gesetzliche Verpflichtungen auf EU-Ebene werden also noch etwas auf sich warten lassen, denn es ist eine Übergangsfrist von zwei Jahren geplant. Dieser Zeitraum ist für die Regierungen üblich und wird von einigen Ländern gerne auch etwas ausgedehnt. Bevor die Uhr überhaupt anfängt zu ticken, müssen sich EU-Kommissare und Regierungen der Mitgliedsstaaten zunächst auf einen Entwurf einigen, um diesen anschließend dem Europäischen Parlament vorzulegen. Momentan sind die Sitzungen zwischen Kommission und Rat für den Juli dieses Jahres angesetzt. Doch selbst wenn alle Akteure großen Einigungswillen an den Tag legen und das Parlament eilig prüft und zustimmt - die Verabschiedung der Richtlinie wird sich voraussichtlich über den Sommer hinaus ziehen. Das gerade im Bundestag beschlossene IT-Sicherheitsgesetz wird dann sicherlich ebenfalls nochmals diskutiert werden, denn dann kommt die europäische Perspektive hinzu.

Unternehmen in der Pflicht

Organisationen sollten aber bedenken, dass die Anpassung ebenfalls Zeit beanspruchen wird. Die grundlegende Agenda des Gesetzes wird sich dennoch sehr wahrscheinlich nicht ändern. Deshalb ist es für Unternehmen an der Zeit, ihre IT-Sicherheitskonzepte anzupassen. Auf folgende Punkte sollten sich Firmen vorbereiten.

  • Die Pflicht zur Einführung von angemessenen, technischen und organisatorischen Maßnahmen für mehr IT-Sicherheit; da der angestrebte Schutzzweck deutlich angehoben wird, muss auch bei den "angemessenen" Maßnahmen nachgebessert werden

  • Die Pflicht zur Durchführung eines Sicherheits-Audits

  • Eine Meldepflicht bei Sicherheitsvorfällen gegenüber den zuständigen Behörden - in Deutschland wäre das das Bundesamt für Sicherheit in der Informationstechnik (BSI); im Zuge dieser gestärkten Rolle soll beim BSI sowohl finanziell als auch personell aufgestockt werden; wichtig: die zuständigen Behörden können gemeldete Sicherheitsvorfälle öffentlich machen

Unternehmen mit "kritischem" Tätigkeitsfeld sind künftig verpflichtet, Sicherheitsvorfälle dem Bundesamt für Sicherheit in der Informationstechnik zu melden.
Unternehmen mit "kritischem" Tätigkeitsfeld sind künftig verpflichtet, Sicherheitsvorfälle dem Bundesamt für Sicherheit in der Informationstechnik zu melden.
Foto: BSI

Hiervon betroffen sind in erster Linie Unternehmen, deren Tätigkeit für den Staat und die Bevölkerung als "kritisch" eingestuft werden. Darunter fallen nach derzeitigem Stand: Energieversorger, Verkehrsunternehmen, Kreditinstitute, Börsen, Clearing-Stellen sowie Unternehmen aus dem Bereich Medizinversorgung. Im erweiterten Bereich sind darüber hinaus auch Unternehmen aus den Bereichen elektronischer Geschäftsverkehr, Online-Payment, soziale Netzwerke, Suchmaschinen, Cloud-Computing-Services sowie App-Stores zu finden. Wer konkret betroffen sein wird, steht indes noch nicht fest - im IT-Sicherheitsgesetz ist die Rede von rund 2000 Unternehmen. Die Aufstockung von Behörden wird in jedem Fall zu einer stärkeren Präsenz staatlicher Normen und Regularien bei der IT-Sicherheit führen.

Offene Fragen bestehen derzeit bei der Ausgestaltung der Meldepflicht und der Abgrenzung, welche Unternehmen in den Bereich "kritische Infrastrukturen" fallen. Sicher ist hingegen, dass es Strafen für diejenigen geben wird, die der Meldepflicht nicht nachkommen. Das IT-Sicherheitsgesetz sieht in einem solchen Fall eine Geldstrafe von bis zu 100.000 Euro vor. Eine aktuelle Bitkom-Studie geht von Kosten im Umfang von circa 1,1 Milliarden Euro aus.

Inhalt dieses Artikels