EurActiv.de

Das führende Medium zur Europapolitik

24/01/2017

Oettinger: Richtlinie zur Cybersicherheit zum Greifen nah

EU-Innenpolitik

Oettinger: Richtlinie zur Cybersicherheit zum Greifen nah

EU-Digitalisierungskommissar Günther Oettinger setzt sich für ein baldiges Einigung über eine Cybersicherheits-Richtlinie ein

[European Commission]

Eine Übereinkunft zum langerwarteten Cybersicherheitsgesetz ist laut EU-Digitalisierungskommissar Günther Oettinger nur noch eine Sache von „Tagen oder Wochen“. EurActiv Brüssel berichtet.

EU-Funktionäre aus Kommission, Parlament und Rat stehen EU-Digitalkommisar Günther Oettinger zufolge kurz davor, die NIS-Richtlinie (Netzwerk- und Informationssicherheit) zu unterzeichnen. „Wir können nicht länger auf die Einführung warten“, sagte Oettinger auf der Jahreskonferenz der ENISA, der EU-internen Cyber-Sicherheitsagentur, in Brüssel.

Seit dem Gesetzesvorschlag durch die Kommission im Jahr 2013 waren die Verhandlungen zur Richtlinie holprig. Mitgliedsstaaten streiten sich schon lange darüber, welche Branchen unter der neuen Richtlinie Angriffe auf ihre Systeme melden müssen. Einige sorgen sich um private Unternehmen und nationale Behörden. Diese wollen sichergehen, dass der Informationsaustausch zwischen den EU-Ländern klaren Einschränkungen unterliegt.

Luxemburg hat derzeit die sechsmonatige Ratspräsidentschaft inne. Wenige Wochen vor Ablauf der Amtszeit am 31. Dezember versucht das Land nun, eine Übereinkunft durchzusetzen. „Ich stelle derzeit sicher, dass die Kommission die Gesetzgeber so gut wie möglich dabei unterstützt, in den kommenden Tagen oder Wochen eine Einigung zu erreichen“, erklärte Oettinger.

Ranghohen Cybersicherheits-Vertetern zufolge verlange Oettinger einen sofortigen Abschluss der Richtlinie – auch wenn zahlreiche Sicherheitsexperten murren, es sei noch immer zu lasch. Zunächst muss die Richtlinie die sogenannten Trialog-Verhandlungen zwischen Parlament, Kommission und Rat bestehen. Ist sie dann erst einmal genehmigt, kommt die ENISA ins Spiel. Sie hilft den Mitgliedsstaaten bei der Anwendung des Gesetzes.

Am Montag sagte Oettinger, die Agentur werde als Sekretariat der Richtlinie eine noch zentralere Rolle spielen. „Die EU-Staaten können ENISA um Hilfestellung beim Aufbau der eigenen Cyber-Sicherheitskapazitäten bitten. Vor allem kann die ENISA sie dabei unterstützen, nationale Einsatzteams für Cyber-Zwischenfälle einzurichten“, erklärte der Kommissar. Dabei bezog er sich auf die Expertengruppen, die bereits in einigen Mitgliedsländern zur Untersuchung von Sicherheitsverstößen eingesetzt werden. Unter der NIS-Richtlinie wäre ein jeder Mitgliedsstaat zur Einführung solcher Sicherheitsteams verpflichtet.

Unklar ist laut Insidern noch immer die Frage: Wird die ENISA in ihrer neuen Rolle Treffen mit den Mitgliedsstaaten zur genauen Besprechung der Richtlinie veranstalten oder eher administrative Tätigkeiten übernehmen? Der ENISA steht nur ein sehr begrenztes Budget zur Verfügung. Wahrscheinlich wird sie neues Personal einstellen, um ihre neue Rolle als Sekretariat der NIS-Richtlinie wahrzunehmen.

Oettinger verkündete, die Kommission werde in der ersten Jahreshälfte 2016 eine Industriestrategie präsentieren. Diese werde Teil eines größeren Vorhabens zur Förderung der stark fragmentierten Cyber-Sicherheitsbranche in Europa sein. Außerdem werde sie Unternehmen, die sich um Sicherheit und Privatsphäre bemühen, wettbewerbsfähiger machen. Die Kommission wird allen Erwartungen nach innerhalb der nächsten Wochen ein öffentliches Beratungsgespräch organisieren. Hierbei wird es um die Strategie zur Förderung der Cyber-Sicherheit gehen.

Hintergrund

2013 stellte die Kommission die EU-Cybersicherheitsstrategie vor. Sie bezieht sich auf den EU-Binnenmarkt, Justiz und Inneres sowie den außenpolitischen Aspekten des Cyberspace. Kurz darauf schlug die Kommission eine Richtlinie mit Maßnahmen zur EU-weiten Standardisierung der Netz- und Informationssicherheit vor.

Die geplante Cybersicherheits-Richtlinie schreibt Unternehmen vor, sich Bereitschaftsüberprüfungen zu unterziehen. Außerdem müssen sie nationale Behörden über Cyber-Zwischenfälle "größeren Ausmaßes" in Kenntnis setzen. Der Richtlinie nach müssen Marktbetreiber die Haftung übernehmen – unabhängig davon, ob sie selbst für die Instandhaltung ihres Netzwerkes sorgen oder diese Aufgabe auslagern.

Die EU hat Sektoren bestimmt, die in Sachen Cyber-Sicherheit noch mehr tun müssen. Darunter befinden sich vor allem "kritische" Infrastrukturbetreiber aus den Bereichen Energie, Transport, Banking und Gesundheitswesen.

Alle Mitgliedsstaaten wären unter der Richtlinie dazu verpflichtet, Strategien zur Netz- und Informationssicherheit zu entwickeln. Außerdem müssten sie Einsatzteams für Cyber-Zwischenfälle einrichten. Auf EU-Ebene würden Kooperationsnetzwerke entstehen.

Zeitstrahl

  • 9. November 2015: EU-Kommissar Günther Oettinger sagte, die Verhandlungen zur NIS-Richtlinie würden nur noch wenige "Tage oder Wochen" in Anspruch nehmen.