iStockphoto/BrianAJackson

Cybersicherheit kritischer Einrichtungen und Netze

Rat und Europäisches Parlament erzielen Einigung

SW – 05/2022

Laut Cybersicherheitsstrategie der EU für die digitale Dekade ist „Cybersicherheit ein integraler Bestandteil der Sicherheit der Europäerinnen und Europäer. Unabhängig davon, ob es sich um vernetzte Geräte, Stromnetze oder Banken, Flugzeuge, öffentliche Verwaltungen oder Krankenhäuser handelt, die sie nutzen oder aufsuchen, verdienen die Menschen dabei die Gewissheit, dass sie vor Cyberbedrohungen geschützt werden“.

Mit fortschreitender Digitalisierung und Vernetzung verändern und verstärken sich jedoch die Cybersicherheitsrisiken. Um die digitale und physische Widerstandsfähigkeit kritischer Einrichtungen und Netze wie den genannten zu verbessern, hatte die Europäische Kommission zeitgleich mit der Cybersicherheitsstrategie im Dezember 2020 den Vorschlag für eine Richtlinie über Maßnahmen für ein hohes gemeinsames Maß an Cybersicherheit in der gesamten Union vorgelegt. Der Rat und das Europäische Parlament haben hierzu am 13. Mai 2022 eine vorläufige Einigung erzielt. Die neue Richtlinie mit der Bezeichnung NIS 2 wird die derzeit geltende Richtlinie zur Netz- und Informationssicherheit (NIS-Richtlinie) aus dem Jahr 2016 ersetzen.

Unterschiede in den Mitgliedstaaten beseitigen

Ziel der NIS-2 Richtlinie ist es, vor den Auswirkungen von Cyberangriffen auf kritische Infrastrukturen zu schützen. Sie soll bestehende Unterschiede in den Mitgliedstaaten bei den Anforderungen an die Cybersicherheit und der Umsetzung von Cybersicherheitsmaßnahmen beseitigen. Gleichzeitig werden Mindestvorschriften für einen Rechtsrahmen und Mechanismen für eine wirksame Zusammenarbeit zwischen den zuständigen Behörden der einzelnen Mitgliedstaaten festgelegt.

Anwendungsbereich erweitern

Die Liste der Sektoren und Tätigkeiten, für die Verpflichtungen im Hinblick auf die Cybersicherheit gelten, wird aktualisiert. Mit der NIS 2-Richtlinie wird ein Schwellenwert eingeführt, der alle mittleren und großen Unternehmen einbezieht, die in den von der Richtlinie erfassten Sektoren tätig sind oder die unter die Richtlinie fallende Art von Diensten erbringen. Zusätzlich enthält die vorläufige Einigung zwischen Rat und Europäischem Parlament Bestimmungen, um die Verhältnismäßigkeit, ein höheres Maß an Risikomanagement und eindeutige Kritikalitätskriterien – also Kriterien zur Bestimmung der erfassten Einrichtungen – zu gewährleisten.

Da auch öffentliche Verwaltungen oft Ziel von Cyberangriffen sind, wird NIS 2-Richtlinie auch für diese Einrichtungen auf zentraler und regionaler Ebene gelten. Darüber haben die Mitgliedstaaten die Möglichkeit, auch entsprechende Einrichtungen auf lokaler Ebene einzubeziehen. Ausgenommen von der Richtlinie sind Behörden oder Verwaltungen in Bereichen wie Verteidigung oder nationale Sicherheit, öffentliche Sicherheit, Strafverfolgung und Justiz. Auch Parlamente und Zentralbanken fallen nicht unter die Richtlinie.

Nächste Schritte

Die erzielte vorläufige Einigung muss nun vom Rat und vom Europäischen Parlament noch förmlich bestätigt werden. Die Mitgliedstaaten müssen die Vorschriften der Richtlinie dann innerhalb von 21 Monaten nach ihrem Inkrafttreten in nationales Recht umsetzen.

Schlussfolgerungen des Rats zur Cyberabwehr

Anlässlich seiner Sitzung am 23. Mai 2022 hat der Rat darüber hinaus Schlussfolgerungen zur Entwicklung der Cyberabwehr der EU verabschiedet. In den Schlussfolgerungen heben die Minister fünf Aufgaben der EU im Cyberbereich hervor:

· die Stärkung der Widerstandsfähigkeit und der Schutzkapazitäten,

· die Stärkung der solidarischen und umfassenden Krisenbewältigung,

· die Förderung der Vision der EU für den Cyberraum,

· die verstärkte Zusammenarbeit mit Partnerländern und internationalen  Organisationen und

· die Prävention, Abwehr und Reaktion auf Cyberangriffe.

Der Rat hat die Europäische Kommission unter anderem dazu aufgefordert, im Rahmen des Rechtsakts zur Cyberresilienz gemeinsame EU-Anforderungen an die Cybersicherheit für vernetzte Geräte und damit verbundene Prozesse und Dienste vorzuschlagen (siehe Bericht 4-2022). Dabei sollen der Notwendigkeit eines horizontalen und ganzheitlichen Ansatzes, der den gesamten Lebenszyklus digitaler Produkte abdeckt, sowie den bestehenden Rechtsvorschriften, insbesondere im Bereich der Cybersicherheit, Rechnung getragen werden.