Richtlinie zur Cyber-Sicherheit: Aufschub trotz Gefahren des „Wildwest-Intenet“

Experten warnen vor den Gefahren des "Wildwest-Internets". Foto: [Azwari Nugraha/Flickr]

Weil die Mitgliedstaaten unterschiedlicher Meinung sind, verzögert sich eine Einigung auf europäische Regeln zur Cyber-Sicherheit. Experten schlagen derweil Alarm: Die Bedrohungen durch das anarchische „Wildwest-Internet“ nähmen zu. EURACTIV Brüssel berichtet.

Die Verhandlungen über die vorgeschlagene Richtlinie zur Netz- und Informationssicherheit (NIS)sollen nach dem Wunsch Lettlands am 30. April beginnen. Doch dafür braucht das Land, das seit Anfang des Jahres die EU-Ratspräsidentschaft innhat, das Mandat der Mitgliedsstaaten.

Durch die Richtlinie wären Unternehmen mit kritischer Infrastruktur verpflichtet, jegliche Cyber-Angriffe zu melden. Es bleibt aber umstritten, welche Unternehmen unter den Meldezwang der Richtlinie fallen sollten.

Eines der größten noch ausstehenden Probleme ist, in welchem Maß die US-Technikriesen wie Google, Amazon und Facebook von der Richtlinie erfasst werden – und dementsprechend verpflichtet sind, über Cyber-Angriffe zu berichten.

Mehr oder weniger präzise Definition

EU-Diplomaten zufolge versuchen Irland, Schweden und das Vereinigte Königreich die Einbeziehung dieser Unternehmen im Rahmen der Richtlinie so klein wie möglich zu halten. Denn dort haben große US-Firmen ihren Europasitz. Unter anderem Frankreich, Deutschland und Spanien lehnen das ab.

Lettland will noch vor dem Ende seiner Ratspräsidentschaft einen Kompromiss ausarbeiten. Das Land unternahm den ungewöhnlichen Schritt, den 30. April als Starttermin für die Trilog-Verhandlungen zwischen Rat, Europaparlament und der Kommission zu bestimmen. Für andere Triloge hat die lettische Präsidentschaft noch keine Termine festgesetzt. Das zeigt, wie sehr sie eine Einigung über die Richtlinie zur Cyber-Sicherheit erreichen will.

Die Verzögerungen bei der NIS-Richtlinie kommen zu einem ungünstigen Zeitpunkt. Beamten warnen immer häufiger vor der mangelnden europäischen Schutzvorkehrungen bei Cyber-Attacken.

Udo Helmbrecht, der Geschäftsführende Direktor der Agentur der Europäischen Union für Netz- und Informationssicherheit (ENISA, warnte die Europaabgeordneten vor kurzem vor den Gefahren eines virtuellen „Wilden Westens“.

„Wenn wir heute über das Internet sprechen, ist es der ‚Wilde Westen‘. Jeder kann machen, was er will. Es gibt keine Kontrolle, keine Regulierung“, sagte er den Abgeordneten am 16. März bei einem Meinungsaustausch im Unterausschuss für Sicherheit und Verteidigung. „Und der Grund dafür ist: Wo ist die Steuerungsstruktur?“

Mitgliedsstaaten halten sich bedeckt

ENISA soll die EU und die Mitgliedsstaaten bei der Verbesserung und Stärkung ihres Potenzials und ihrer Schutzvorkehrung zur Verhinderung und Entdeckung von Cyber-Sicherheitsvorfällen unterstützen.

Peter Round, Leiter für Leistungsfähigkeit, Aufrüstung und Technologie bei der Europäischen Verteidigungsagentur (EDA), erwähnte Vertrauensprobleme zwischen den Mitgliedsstaaten. Es gebe umfassende Berichte, wonach die Mitgliedsstaaten Details für die Entwicklung offensiver Einsatzmöglichkeiten zur Cyber-Sicherheit verbergen.

Round sagte: „Eines der Problem mit Cyber ist, dass es irgendwie das neue Schießpulver ist. Wenn ein Mitgliedsstaat eine Fähigkeit erlangt, wollen sie sie –sicher zuallererst – nicht teilen, weil einige sie haben und andere nicht, und wir sehen, dass einige sie nicht teilen wollen, da sie es als souveränes und nationales Thema betrachten.“

Hintergrund

Die Kommission präsentierte 2013 eine EU-Cybersicherheitsstrategie für die Bereiche Binnenmarkt, Justiz und Inneres und Außenpolitik.

Bald darauf schlug die Kommission eine Richtlinie mit Maßnahmen für eine harmonisierte Netz- und Informationssicherheit in der gesamten EU vor.

Die vorgeschlagene Gesetzgebung wird Unternehmen verpflichten, sich auf Schutzvorkehrungen überprüfen zu lassen und die nationalen Behörden über Cybervorfälle mit "erheblichen Auswirkungen" zu informieren.

Die Richtlinie gibt auch vor, dass Marktbetreiber haftbar sein sollen – unabhängig davon, ob sie die Wartung ihres Netzwerks intern durchführen oder sie outsourcen.

Die EU griff eine Reihe von Sektoren heraus, die ihr zufolge mehr Maßnahmen für die Cyber-Sicherheit erfordern. Dazu gehört "kritische" Infrastruktur in den Bereichen Energie, Verkehr, dem Bankensektor und Gesundheitsdienstleistungen.

Alle Mitgliedsstaaten müssten demnach Strategien zur Netz- und Informationssicherheit verabschieden und Teams bilden, um auf eventuelle Vorfälle reagieren zu können. Auf EU-Ebene würden Kooperationsnetzwerke gebildet werden.

Zeitstrahl

  • 30. April 2015: Die lettische Ratspräsidentschaft will Trilog-Verhandlungen über die NIS-Richtlinie zwischen dem Europaparlament, der Kommission und dem Rat beginnen

Weitere Informationen

EU-Institutionen

?Presseartikel