Ausschuss des EU-Parlaments genehmigt neues Cybersicherheitsgesetz für kritische Dienste

Die Überarbeitung der Richtlinie über die Sicherheit von Netz- und Informationssystemen (NIS2) wird Anforderungen an die Cybersicherheit für kritische Einrichtungen festlegen [kb-photodesign/Shutterstock]

Der leitende Ausschuss des Europäischen Parlaments hat am Donnerstag (28. Oktober) einen Legislativvorschlag angenommen, mit dem kritische Einrichtungen in Europa vor Cyberangriffen geschützt werden sollen.

Der Ausschuss für Industrie, Forschung und Energie (ITRE) des Parlaments billigte die sogenannte NIS2-Richtlinie, eine Überarbeitung der Richtlinie über die Sicherheit von Netz- und Informationssystemen. Die bestehende NIS-Richtlinie war die erste EU-weite Gesetzgebung, die Mindestanforderungen an die Cybersicherheit für Unternehmen und Organisationen, die wesentliche Dienste anbieten, festlegte.

Obwohl die NIS-Richtlinie erst 2016 verabschiedet wurde, veranlasste die rasante Entwicklung des Cyberumfelds eine Überarbeitung der Rechtsvorschriften, um die Cybersicherheitsanforderungen zu verschärfen und den Anwendungsbereich auf mehr Einrichtungen mit einem hohen Risikoprofil auszuweiten, das auf der Kritikalität ihrer Rolle in der Wirtschaft und den demokratischen Prozessen beruht.

„Wir sehen nicht nur, dass die Zahl der Cyberangriffe zunimmt, sondern auch der gesellschaftliche Schaden und die gesellschaftlichen Auswirkungen“, sagte Klara Jordan, Chief Public Policy Officer am CyberPeace Institute, bei einer von EURACTIV am Dienstag (26. Oktober) organisierten Veranstaltung.

Jourdan betonte, dass die Harmonisierung der Cybersicherheitsstandards in der EU angesichts der vernetzten Lieferketten noch notwendiger sei, da ein Angriff mehrere Länder gleichzeitig betreffen könne.

Größerer Wirkungskreis

Während der Zweck der NIS2 darin bestand, den Anwendungsbereich der vorherigen Gesetzgebung zu erweitern, wurde dieser durch den Parlamentstext noch weiter ausgedehnt und umfasst nun schätzungsweise 160.000 Einrichtungen.

Die Organisationen, die unter die neuen Cybersicherheitsanforderungen fallen, werden anhand von zwei Gruppen von Kriterien ermittelt. Das objektive Kriterium umfasst Unternehmen mit einem Umsatz von 10 Millionen Euro und mindestens 50 Beschäftigten. Das qualitative Kriterium umfasst Einrichtungen, die für den wirtschaftlichen und demokratischen Prozess von grundlegender Bedeutung sind.

„Jahrelang war Cybersicherheit ein Nischenthema, das ist es jetzt nicht mehr. Jeder Fachmann wird Ihnen sagen, dass das Thema auf höchster Ebene behandelt werden sollte; der CEO sollte involviert sein“, sagte Bart Groothuis, zuständiger Europaabgeordneter für das Dossier, gegenüber EURACTIV und merkte an, dass die Sanktionen für nachweisliche Fahrlässigkeit genau das erreichen sollen.

Die Geldstrafen können bis zu 2% des Unternehmensumsatzes betragen, was dem Prozentsatz entspricht, der bei Ransomware-Angriffen üblicherweise verlangt wird. Mitglieder der Geschäftsleitung können auch von einem vorübergehenden Verbot betroffen sein.

„Die Philosophie ist nicht mehr, ob man lebenswichtig ist, sondern ob man für das Geschäftsmodell von Ransomware lebenswichtig ist“, argumentierte der niederländische Gesetzgeber.

Laut einem am Mittwoch (27. Oktober) veröffentlichten Bericht der EU-Cybersicherheitsbehörde ENISA war Ransomware, insbesondere gegen Lieferketten, in den letzten anderthalb Jahren die größte Cyberbedrohung in Europa.

„Die Mitgliedstaaten wünschen sich mehr Flexibilität, um Unternehmen und Einrichtungen entsprechend ihrer Risikobewertung einzubeziehen, und wollen Bürokratie für kleine Unternehmen vermeiden“, sagte Tamara Tafra, Beraterin für Cybersicherheit bei der Ständigen Vertretung Kroatiens bei der EU.

Der Text des Parlaments geht auf dieses Anliegen ein und schlägt eine automatische Berichterstattung vor, die nach Ansicht der Abgeordneten den Verwaltungsaufwand minimieren würde.

Änderungen im Parlament

Während der allgemeine Anwendungsbereich erweitert wurde, schließt der vom Parlament genehmigte Text eine bestimmte Kategorie aus, nämlich Root-Server, die die Grundlage für die Architektur des Internets bilden.

Die Internet Society, eine weltweit tätige NGO, hat davor gewarnt, dass die Regulierung von Root-Diensten die unbeabsichtigte Folge haben könnte, das Internet zu fragmentieren, und darauf hingewiesen, dass andere Mächte die Gelegenheit nutzen könnten, das Internet zu balkanisieren, wobei sie auf Chinas Vorschlag für eine neue IP-Adresse im Jahr 2019 als gefährlichen Präzedenzfall hinwiesen.

Groothuis räumte ein, dass die derzeitige Internetverwaltung auf der Grundlage von Domänennamensystemen zu anfällig gegenüber Cyberangriffen sei und daher reguliert werden sollte. Er kritisierte jedoch, dass die EU-Kommission die Regulierung von Root-Servern vorschlage, da dies der Philosophie des freien Internets widerspreche.

Eine weitere Änderung des Textes ist die Differenzierung der Meldepflichten. Die Informationssicherheit basiert auf dem CIA-Dreiklang: Vertraulichkeit des Netzes, Integrität der Daten und Verfügbarkeit des Dienstes (CIA).

Für Groothuis kann die Verfügbarkeit leicht bewertet werden und muss innerhalb von 24 Stunden gemeldet sein, während die Bewertung der Integrität und Vertraulichkeit bis zu drei Tage dauern kann, wobei er auf einen ähnlichen Vorschlag in den USA verweist, der vor kurzem den gleichen Ansatz gewählt hat.

Darüber hinaus enthält der ITRE-Vorschlag Bestimmungen über den GDPR-konformen Datenaustausch zur Bekämpfung der Cyberkriminalität und sogar eine Verpflichtung zur gemeinsamen Nutzung sensibler Daten.

Groothuis stellte fest, dass der Informationsaustausch in den letzten Jahren aus Angst vor Haftung stark zurückgegangen ist. So könnten die Behörden beispielsweise die von einer bestimmten Ransomware-Gruppe verwendeten IP-Adressen, frühere E-Mail-Adressen oder Bitcoin-Geldbörsen einsehen.

Geopolitischer Kontext

Ausgehend von seiner früheren Erfahrung als Leiter der Abteilung Cybersicherheit im niederländischen Verteidigungsministerium vertrat Groothuis die Ansicht, dass der Ehrgeiz des Vorschlags durch das internationale Szenario diktiert wurde.

„Als wir in den Niederlanden damit begannen, war die Internet-Bankenkriminalität ein großes Problem. Innerhalb von drei Monaten haben wir das Problem um über 90 % reduziert. In den umliegenden Ländern, Belgien und Deutschland, stieg die Zahl im gleichen Zeitraum um 90 %“, sagte der Gesetzgeber und wies darauf hin, dass Cyberangriffe immer auf das schwächste Glied abzielen.

Groothuis stellt fest, dass die durchschnittlichen Ausgaben eines US-Unternehmens bereits 41 % höher sind als die eines europäischen Unternehmens, und dieser Unterschied könnte sich noch vergrößern, da Washington nach einer Reihe von hochrangigen Angriffen wie dem auf die Colonial Pipeline immer mehr Ressourcen mobilisiert.

Er plädiert auch für eine aktive Cyberverteidigung, die aufkommende Risiken durch feindliche Mächte antizipiert, wobei er China und Russland hervorhebt. Aus diesem Grund wird in dem Vorschlag auch darauf hingewiesen, dass nichttechnische Faktoren bei der Bewertung des Risikos einer Organisation berücksichtigt werden sollten.

Für David Harmon, EU-Direktor für Cybersicherheit und Datenschutz bei Huawei, sollten diese nicht-technischen Überlegungen nicht zu einer erneuten Fragmentierung der 5G-Toolbox führen, da ein koordinierter Ansatz auf EU-Ebene Rechtssicherheit gewährleisten würde.

Da der Text des Ausschusses mit einer sehr großen Mehrheit angenommen wurde, wird keine Abstimmung im Plenum erwartet.

[Bearbeitet von Zoran Radosavljevic]

Subscribe to our newsletters

Subscribe