Telemedicus

, von
Drucken

Cybersicherheit: Richtlinienvorschlag der EU-Kommission

Datenlecks, globaler Ausfall von IT-Netzen, Milliardenschäden – Angriffe aus dem Netz sind eine immense Gefahr. Die EU-Kommission hat letzte Woche einen „Cybersicherheitsplan der EU für ein offenes, freies und chancenreiches Internet” vorgestellt. Die Richtlinie sieht Meldepflichten für Cyberattacken vor; dafür sollen alle Mitgliedsstaaten eine Fachbehörde einrichten, die über Cyberattacken informiert werden muss und im Einzelfall einschreiten kann.

Doch was heißt das genau? Wie viel Spielraum bleibt den EU-Staaten in der Umsetzung? Und was würde sich in Deutschland ändern?

Die Idee der Cybersicherheit

Kommunikation, Grundversorgung, Verwaltung und Wirtschaft hängen vom Funktionieren der Informationssysteme ab. Dass diese Systeme durch gezielte Attacken ausfallen können, ist kein undenkbares Szenario. So legten Cyberattacken Regierungs- und Unternehmensserver in Estland im Jahr 2007 lahm. Im schlimmsten Fall geht bei Transport, Elektrizität und Handel gar nichts mehr. Diese Abhängigkeit von Informationssystemen macht Angriffe aus dem Netz so gefährlich.

Die EU-Kommission sieht Handlungsbedarf für die Gesetzgeber und will nun mit ihrem Richtlinienvorschlag zur „Netzwerk- und Informationssicherheit“ (NIS) einen überstaatlichen Rahmen schaffen. „Für ein offenes und chancenreiches Internet“ – so bewirbt die Kommission ihre Strategie zur Cybersicherheit. Die Kommission zielt darauf ab, Cyberkriminalität einzudämmen und vorzugeben, was im Einzelfall zu tun ist.

Die wesentlichen Punkte des Richtlinienvorschlags:

  1. Die Mitgliedstaaten erstellen eine Strategie für Netzwerk- und Informationssicherheit. Sie regelt Definitionen, Verfahrensabläufe und Zuständigkeiten.
  2. Die Mitgliedstaaten errichten eine Fachbehörde für Cybersicherheit (competent authority). Diese Behörde unterhält ein Expertenteam für die technische Seite (Monitoring, Risikoeinschätzung, Reaktion auf Zwischenfälle) – das sogenannte Computer Emergency Response Team (CERT).
  3. Für „Betreiber kritischer Infrastrukturen“ ist eine Meldepflicht für „große Sicherheitsvorfälle in ihren Kerndiensten“ an die Fachbehörde vorgesehen.
  4. Die Fachbehörde kann Vorfälle selbst untersuchen und Maßnahmen gegenüber den Betreibern der Infrastrukturen ergreifen, um die Regelungen zur Cybersicherheit durchzusetzen.
  5. Die Fachbehörde kann Vorfälle öffentlich bekanntmachen – für den Fall, dass sie das öffentliche Interesse dafür bejaht.
  6. Die Fachbehörden aller Mitgliedstaaten sollen zusammenarbeiten und Informationen untereinander austauschen (cooperation network); ENISA und EU-Kommission sind ständig zu unterrichten.

Adressaten, Meldepflichten, Durchsetzung

Wer ist betroffen?
Die Bestimmungen der Cybersecurity-Richtlinie sollen sowohl für market operators wie auch public administrations gelten – für private und öffentliche Stellen also. Die Marktteilnehmer sind im Annex des Richtlinienvorschlags im Einzelnen aufgelistet: E-Commerce-Plattformen, Bezahldienste, Soziale Netzwerke, Suchmaschinen, Cloudservices sowie Appstores – das ist praktisch alles, was im Netz relevant ist. Darüber hinaus sind Energielieferanten und Transportunternehmen sowie Banken und Gesundheitsinstitutionen genannt. Ein großer Adressatenkreis also.

Welche Zwischenfälle sind gemeint?
Artikel 14 des Richtlinienentwurfs bestimmt:

(…) 2. Member States shall ensure that public administrations and market operators notify to the competent authority incidents having a significant impact on the security of the core services they provide.

Incidents having a significant impact ist das Zauberwort in der Richtlinie. Die Pressemitteilung der EU-Komssion übersetzt den Begriff mit „großen Sicherheitsvorfällen”. Doch was ist das überhaupt? Die Richtlinie spricht von Fällen, die sich auf zentrale Dienste (core services) auswirken. Das genau zu umreißen, ist schwierig – zu vielfältig sind denkbare Formen der Angriffe.

Hier wären Regelbeispiele hilfreich, um Rechtssicherheit zu schaffen – und zwar direkt auf Richtlinienebene. Denkbar wären etwa Fälle, in denen personenbezogene oder zur Authentifizierung dienende Daten betroffen sind – zum Beispiel Kundendaten oder Passwörter. Konkret ließe sich ein Sicherheitszwischenfall auch umreißen, von dem Gefahren für Dritte ausgehen kann – zum Beispiel bei gehackten Webseiten, über die Malware vertrieben wird.

Die Meldepflicht
Die Meldepflicht besteht allein gegenüber der Fachbehörde:

3. Member States shall ensure that public administrations and market operators notify to the competent authority incidents having a significant impact on the security of the core services they provide.

An die Öffentlichkeit muss der von einer Attacke Betroffene also nicht gehen. Die Fachbehörde entscheidet dann, ob sie den Fall publik macht oder nicht. So kann das öffentliche Interesse gebieten, die Allgemeinheit zu informieren – zum Beispiel wenn feststeht, dass Kreditkarteninformationen geklaut wurden.

Durchsetzung der Sicherheitsbestimmungen
Spannend wird es, wenn es an die Durchsetzung geht. Für die Fachbehörde soll die Möglichkeit bestehen, gegenüber dem Betroffenen Unternehmen tätig zu werden. So bestimmt Artikel 15 des Richtlinienvorschlags:

1. Member States shall ensure that the competent authorities have all the powers necessary to investigate cases of non-compliance of public administrations or market operators (…).

2. Member States shall ensure that the competent authorities have the power to require market operators and public administrations to:

    (a) provide information needed to assess the security of their networks and information systems, including documented security policies;
    (b) undergo a security audit carried out by a qualified independent body or national authority and make the results thereof available to the competent authority.

3. Member States shall ensure that competent authorities have the power to issue binding instructions to market operators and public administrations.

(Hervorhebungen redaktionell)

Das sind weitreichende Bestimmungen. Bei einem Zwischenfall in einem Unternehmen kann die Fachbehörde also Informationen darüber verlangen und auftragen, was zu tun ist. Sind die Unternehmen den Vorgaben nicht nachgekommen, kann die Behörde etwa Mitarbeit des Sicherheitsteams (CERT) aussenden und gegenüber dem Unternehmen Sanktionen aussprechen.

Situation in Deutschland heute

Für IT-Sicherheit in Deutschland ist das Bundesamt für Sicherheit der Informationstechnik (BSI) zuständig. Eine neue Behörde müsste in Deutschland damit wohl nicht eingerichtet werden. Eine zur Meldepflicht im weitesten Sinne vergleichbare Norm findet sich außerdem im geltenden Bundesdatenschutzgesetz: § 42a BDSG bestimmt Informationspflichten für nichtöffentliche und öffentliche Stellen für den Fall, dass bestimmte Daten unrechtmäßig übermittelt wurden und dadurch schwerwiegende Beeinträchtigungen drohen. Unterschied zum Richtlinienvorschlag: Dort geht es um IT-Sicherheit und nicht in erster Linie um Datenschutz. Die Meldepflicht besteht also unabhängig davon, ob personenbezogene Daten betroffen sind. Außerdem geht der Begriff des „Zwischenfalls” weiter.

IT-Sicherheitsgesetz in Deutschland?
Auch auf nationaler Ebene ist ein IT-Sicherheitsgesetz geplant: Das Innenministerium hat im November 2012 verkündet, Mindeststandards für die Betreiber sicherheitskritischer Infrastrukturen per Gesetz zu stärken. Auch hier waren Meldepflichten für Unternehmen vorgesehen. Doch bleibt das Vorhaben der Bundesregierung hinter dem der EU-Kommission wohl zurück: Anders als dort sind Maßnahmen und Eingriffe durch die Behörde wohl nicht geplant.

Das für Deutschland geplante IT-Sicherheitsgesetz müsste im Lichte des Richtlinienvorschlags ohnehin nachgebessert werden. Fraglich nur, ob das nationale IT-Sicherheitsgesetz vor September überhaupt kommt – in der darauffolgenden Legislaturperiode verfallen die laufenden Gesetzesvorhaben.

Zu unbestimmte Vorgaben – Gefahr der Überumsetzung?

Die Richtlinie enthält eine Menge unbestimmter Rechtsbegriffe. Das birgt durchaus die Gefahr der Über- und Unterumsetztung. Was dabei nicht zu unterschätzen ist: Ein Regelwerk für Cybersicherheit kann ein Standortfaktor sein! Für einige Cloudservice-Anbieter könnte derjenige Mitgliedstaat attraktiver sein, der weniger strenge Sicherheitsvorgaben macht – weniger Aufwand, weniger Kosten, weniger Risiko im Falle eines Zwischenfalls. Die Standortfrage stellt sich gerade für große Unternehmen, die sich ihren Standort (mehr oder minder) aussuchen können. Vom Grad der Umsetzung hängt also ab, wie attraktiv der jeweilige EU-Staat für Unternehmen ist. Damit kann das Thema Cybersicherheit durchaus ein Streitpunkt für die nationalen Wirtschafts- und Innenressorts werden.

Die EU tut gut daran, für die besonders streitigen Fragen einen weitgehend konkreten Rahmen vorzugeben. Immerhin geht es um den gemeinsamen europäischen Markt, zu dessen Verwirklichung die Richtlinie ausdrücklich beitragen soll (Art. 26 AEUV). Gerade er könnte gefährdet sein, wenn die nationalen Umsetzungsgesetze zu stark divergieren.

Zum Richtlinienvorschlag der EU-Kommission.
Zur Pressemitteilung der EU-Kommission.

, Telemedicus v. 20.02.2013, https://tlmd.in/a/2521

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Soko22

Newsletter

In Kooperation mit

Kommunikation & Recht

Hosting

Domainfactory