
Cybersicherheit kritischer Einrichtungen und Netze
Rat und Europäisches Parlament erzielen Einigung
SW – 05/2022
Laut Cybersicherheitsstrategie der EU für die digitale Dekade ist „Cybersicherheit
ein integraler Bestandteil der Sicherheit der Europäerinnen und Europäer. Unabhängig
davon, ob es sich um vernetzte Geräte, Stromnetze oder Banken, Flugzeuge, öffentliche
Verwaltungen oder Krankenhäuser handelt, die sie nutzen oder aufsuchen, verdienen
die Menschen dabei die Gewissheit, dass sie vor Cyberbedrohungen geschützt werden“.
Mit fortschreitender
Digitalisierung und Vernetzung verändern und verstärken sich jedoch die
Cybersicherheitsrisiken. Um die digitale und physische Widerstandsfähigkeit kritischer
Einrichtungen und Netze wie den genannten zu verbessern, hatte die Europäische
Kommission zeitgleich mit der Cybersicherheitsstrategie im Dezember 2020 den Vorschlag
für eine Richtlinie über Maßnahmen für ein hohes gemeinsames Maß an
Cybersicherheit in der gesamten Union vorgelegt. Der Rat und das Europäische
Parlament haben hierzu am 13. Mai 2022 eine vorläufige Einigung erzielt. Die neue Richtlinie mit der
Bezeichnung NIS 2 wird die derzeit geltende Richtlinie zur Netz- und
Informationssicherheit (NIS-Richtlinie) aus dem Jahr 2016 ersetzen.
Unterschiede in den Mitgliedstaaten beseitigen
Ziel der NIS-2
Richtlinie ist es, vor den Auswirkungen von Cyberangriffen auf kritische
Infrastrukturen zu schützen. Sie soll bestehende Unterschiede in den
Mitgliedstaaten bei den Anforderungen an die Cybersicherheit und der Umsetzung
von Cybersicherheitsmaßnahmen beseitigen. Gleichzeitig werden
Mindestvorschriften für einen Rechtsrahmen und Mechanismen für eine wirksame
Zusammenarbeit zwischen den zuständigen Behörden der einzelnen Mitgliedstaaten
festgelegt.
Anwendungsbereich erweitern
Die Liste der Sektoren und Tätigkeiten, für die Verpflichtungen im
Hinblick auf die Cybersicherheit gelten, wird aktualisiert. Mit der NIS
2-Richtlinie wird ein Schwellenwert eingeführt, der alle mittleren und großen
Unternehmen einbezieht, die in den von der Richtlinie erfassten Sektoren tätig sind oder
die unter die Richtlinie fallende Art von Diensten erbringen. Zusätzlich
enthält die vorläufige Einigung zwischen Rat und Europäischem Parlament
Bestimmungen, um die Verhältnismäßigkeit, ein höheres Maß an Risikomanagement
und eindeutige Kritikalitätskriterien – also Kriterien zur Bestimmung der
erfassten Einrichtungen – zu gewährleisten.
Da auch
öffentliche Verwaltungen oft Ziel von Cyberangriffen sind, wird NIS 2-Richtlinie
auch für diese Einrichtungen auf zentraler und regionaler Ebene gelten. Darüber
haben die Mitgliedstaaten die Möglichkeit, auch entsprechende Einrichtungen auf
lokaler Ebene einzubeziehen. Ausgenommen von der Richtlinie sind Behörden oder
Verwaltungen in Bereichen wie Verteidigung oder nationale Sicherheit,
öffentliche Sicherheit, Strafverfolgung und Justiz. Auch Parlamente und
Zentralbanken fallen nicht unter die Richtlinie.
Nächste Schritte
Die erzielte
vorläufige Einigung muss nun vom Rat und vom Europäischen Parlament noch
förmlich bestätigt werden. Die Mitgliedstaaten müssen die Vorschriften der
Richtlinie dann innerhalb von 21 Monaten nach ihrem Inkrafttreten in nationales
Recht umsetzen.
Schlussfolgerungen des Rats zur Cyberabwehr
Anlässlich
seiner Sitzung am 23. Mai 2022 hat der Rat darüber hinaus Schlussfolgerungen zur Entwicklung der Cyberabwehr der EU verabschiedet.
In den Schlussfolgerungen heben die Minister fünf Aufgaben der EU im Cyberbereich
hervor:
· die
Stärkung der Widerstandsfähigkeit und der Schutzkapazitäten,
· die
Stärkung der solidarischen und umfassenden Krisenbewältigung,
· die
Förderung der Vision der EU für den Cyberraum,
· die
verstärkte Zusammenarbeit mit Partnerländern und internationalen Organisationen
und
· die
Prävention, Abwehr und Reaktion auf Cyberangriffe.
Der Rat hat die
Europäische Kommission unter anderem dazu aufgefordert, im Rahmen des
Rechtsakts zur Cyberresilienz gemeinsame EU-Anforderungen an die
Cybersicherheit für vernetzte Geräte und damit verbundene Prozesse und Dienste vorzuschlagen
(siehe Bericht 4-2022). Dabei sollen der Notwendigkeit eines horizontalen und
ganzheitlichen Ansatzes, der den gesamten Lebenszyklus digitaler Produkte
abdeckt, sowie den bestehenden Rechtsvorschriften, insbesondere im Bereich der
Cybersicherheit, Rechnung getragen werden.