Die Widerstandsfähigkeit von kritischen Einrichtungen muss gestärkt werden, daran lassen die zunehmenden Cyber-Attacken keinen Zweifel. In der EU gibt es mehrere Vorhaben, um die digitale Widerstandskraft insgesamt zu erhöhen.
Auch in Krisensituationen müssen IT-Infrastrukturen, IT-Systeme und Daten verfügbar bleiben; das fordert die Datenschutzgrundverordnung (DSGVO) generell und explizit. Zum Datenschutz gehört auch die die Fähigkeit, die Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung personenbezogener Daten dauerhaft sicherzustellen, ebenso die Fähigkeit, die Verfügbarkeit und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen.
Neben die Datenschutzvorgaben treten die nun IT-Sicherheitsvorgaben. Zur Verbesserung der digitalen sowie der physischen Widerstandsfähigkeit kritischer Einrichtungen und Netze hatte die EU-Kommission im Jahr 2020 Vorschläge unterbreitet für eine Richtlinie über Maßnahmen für ein hohes gemeinsames Maß an Cybersicherheit in der gesamten Union und für eine neue Richtlinie über die Widerstandsfähigkeit kritischer Einrichtungen. Diese decken viele Bereiche ab und haben zum Ziel, aktuelle und künftige Risiken – von Cyber-Attacken bis hin zu Kriminalität oder Naturkatastrophen – zu bewältigen.
Eine höhere Abwehrfähigkeit gegen Cyberbedrohungen
Europas kollektive Abwehrfähigkeit gegen Cyber-Bedrohungen soll gestärkt werden, damit alle Bürger und Unternehmen die Vorzüge vertrauenswürdiger und zuverlässiger Dienste und digitaler Instrumente uneingeschränkt nutzen können. Gleich ob die Menschen in Europa vernetzte Geräte, Stromnetze oder Banken, Flugzeuge, öffentliche Verwaltungen oder Krankenhäuser nutzen oder aufsuchen möchten, sie verdienen dabei die Gewissheit, vor Cyber-Bedrohungen geschützt zu sein, so die EU-Kommission.
Mit der zunehmenden Digitalisierung und Vernetzung verändern sich die Sicherheitsrisiken ständig. Um auf diese variablen Bedrohungen angemessen zu reagieren, soll die vorgesehene Richtlinie über Maßnahmen für ein hohes Maß an Cyber-Sicherheit in der gesamten Union mittlere und große Einrichtungen aus einer Reihe von Sektoren erfassen, wobei deren strategische Bedeutung für Wirtschaft und Gesellschaft zum Maßstab genommen wird. Erfasst werden nunmehr 10 Sektoren: Energie, Verkehr, Banken, Finanzmarktinfrastrukturen, Gesundheit, Trinkwasser, Abwasser, digitale Infrastruktur, öffentliche Verwaltung und Raumfahrt.
Der Richtlinienvorschlag sieht vor, dass die Mitgliedstaaten nationale Strategien zur Gewährleistung der Widerstandsfähigkeit kritischer Einrichtungen festlegen und regelmäßige Risikobewertungen durchführen. Zugleich stellt die neue Richtlinie höhere Sicherheitsanforderungen an die Unternehmen, widmet sich der Sicherheit der Lieferketten sowie den Beziehungen zwischen Anbietern, vereinfacht die Berichterstattungspflichten, sieht strengere Aufsichtsmaßnahmen durch die nationalen Behörden sowie strengere Durchsetzungsanforderungen vor und zielt auf einheitlichere Sanktionsregelungen in den Mitgliedstaaten ab.
Stärkung der EU-weiten Cybersicherheit und Resilienz
Im Dezember 2021 hat sich der Rat der Europäischen Union auf einen Standpunkt zu Maßnahmen für ein hohes gemeinsames Cyber-Sicherheitsniveau in der gesamten EU geeinigt, um die Resilienz und die Kapazitäten zur Reaktion auf Sicherheitsvorfälle sowohl des öffentlichen sowie des privaten Sektors und der EU als Ganzes weiter zu verbessern. Nach ihrer Annahme wird die neue Richtlinie (NIS 2) die derzeit geltende Richtlinie zur Netz- und Informationssicherheit (NIS) ersetzen. Mit der überarbeiteten Richtlinie sollen Unterschiede bei den Anforderungen an die Cyber-Sicherheit und bei der Umsetzung von entsprechenden Maßnahmen zwischen verschiedenen Mitgliedstaaten beseitigt werden.
Während nach der NIS-Richtlinie die Mitgliedstaaten dafür zuständig waren, festzulegen, welche Einrichtungen die Kriterien für die Einstufung als Betreiber wesentlicher Dienste erfüllen, wird mit der NIS 2-Richtlinie ein Schwellenwert für die Größe eingeführt; d.h. alle mittleren und großen Unternehmen, die in den von der Richtlinie erfassten Sektoren tätig sind oder die unter die Richtlinie fallende Art von Diensten erbringen, fallen unter den Anwendungsbereich der Richtlinie.
NIS 2 hat auch speziell die Lieferketten im Visier, denn Widerstandsfähigkeit ist ohne sichere Lieferketten nicht möglich. Übergreifende IT-Sicherheitsanforderungen, die sich an gemeinsamen Regeln orientieren und welche die Risiken in der ganzen Lieferkette berücksichtigen, werden generell verpflichtend. Denn lückenhafte Schutzmaßnahmen, die unsichere Lieferbeziehungen zulassen, stellen keine Widerstandsfähigkeit sicher. Ohne eine hohe digitale Widerstandsfähigkeit aber kann kein Unternehmen auf Dauer bestehen – zu groß sind die Risiken und vielfältig die Krisenszenarien.
Der Rat wie auch das Europäische Parlament müssen sich auf die endgültige Fassung einigen und die Mitgliedstaaten müssten die Vorschriften der Richtlinie innerhalb von zwei Jahren in nationales Recht umsetzen.
02.03.2022
