Cybersicherheitsgesetz mit Meldepflicht

Der Richtlinienentwurf zur Netz- und Informationssicherheit wurde durch die Abgeordneten des EU-Parlaments verabschiedet.

In abschließender Lesung hat das EU-Parlament im Juli 2016 mit großer Mehrheit für neue Vorschriften für eine bessere Sicherheit von Netzwerk- und Informationssystemen gestimmt. Bestätigt wird hiermit ein Kompromissvorschlag für eine Richtlinie zur erhöhten Cybersicherheit. Der Entwurf erweitert die Verantwortlichkeit von Betreibern kritischer Infrastrukturen und großer Online-Dienstleister.

Für die betroffenen Unternehmen bedeutet dies, dass sie zur Meldung von Sicherheits- und Datenschutzpannen sowie IT-Angriffen auf eigene Systeme an die Behörden verpflichtet werden. Sie müssen zudem eingesetzte Hard- und Software auf mögliche Lücken überprüfen und gegebenenfalls sichern.

Ursprünglich sollten die Meldeauflagen auch für den öffentlichen Sektor gelten sollten. Dies konnte die Kommission jedoch nicht durchsetzen. Die EU-Mitgliedsstaaten werden dazu angehalten, nationale Meldesysteme einzurichten und Informationen untereinander auszutauschen. Beteiligt werden sollen Behörden wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) sowie spezielle „Computer Security Incident Response Teams“ (CSIRTs).

Der EU-Rat hat den Entwurf bereits befürwortet. Die Richtlinie wird voraussichtlich im August 2016 in Kraft treten. Die EU-Länder haben zwei Jahre Zeit, sie in nationales Recht umzusetzen. In Deutschland gilt seit knapp einem Jahr das IT-Sicherheitsgesetz. Es verpflichtet Hard- und Software-Hersteller zur Mitwirkung bei der Beseitigung von Sicherheitslücken.

Gleichzeitig werden Betreiber kritischer Anlagen – welche die Bereiche Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie das Finanz- und Versicherungswesen umfassen – verpflichtet, einen Mindeststandard an IT-Sicherheit einzuhalten und erhebliche einschlägige Vorfälle an das BSI zu melden. Allgemeine größere Online-Plattformen sind davon noch nicht erfasst, sodass das Gesetz vermutlich ergänzt werden muss. Die EU-Richtlinie zur Erhöhung der Cybersicherheit ist bedeutend dafür, dass das IT-Sicherheitsgesetz sein erklärtes Ziel erreichen kann.

Caroline Illhardt