Zwei Jahre haben die Verhandlungen gedauert, aber jetzt steht es fest: Die EU will einheitliche Regeln für die IT-Sicherheit in Europa.
Der Inhalt im Überblick
Risiken für die IT-Sicherheit nehmen zu
Wie wir ständig berichten, wachsen die Gefahren für, und damit auch die Bedeutung der, IT-Sicherheit ständig. Die ENISA (EU Agency for Network and Information Security) schätzt, dass IT-Sicherheitsvorfälle, ob sie nun auf menschlichem Versagen oder gezielten Angriffen beruhen, in der EU jährliche Kosten von 260 bis 340 Milliarden Euro verursachen. Trotzdem gibt es bislang keine einheitlichen Standards für die Cyber-Sicherheit.
Meldepflicht für Google, Telekom, Fraport und Deutsche Börse
Die neuen Regeln gelten nicht für die gesamte Internetwirtschaft, sondern nur für „Betreiber essentieller Dienste“ etwa in den Bereichen Energie, Wasserversorgung, Transport, Finanzwesen, Gesundheit und Internet“. Der Fokus liegt auf wichtigen Verkehrsknoten, Registrierungsstellen von Domains, Suchmaschinen wie zum Beispiel Google, Anbieter von Cloud-Leistungen oder etwa Marktplätze wie Amazon und Ebay. Betreiber von sozialen Plattformen bzw. Netzwerken wie Facebook und Co. seien ebenfalls nicht betroffen, wie etwa Heise meldet.
Wie im deutschen IT-Sicherheitsgesetz werden im Wesentlichen zwei Instrumente eingeführt: Die Betreiber essentieller Dienste müssen zum einen bestimmte Sicherheitsstandards einführen und zum anderen Sicherheitsvorfälle melden. Die Mitgliedstaaten richten dazu nationale Meldesysteme ein. In Deutschland wäre zum Beispiel das Bundesamt für Sicherheit in der Informationstechnik (BSI) zuständig, das Informationen mit ausländischen Behörden austauschen wird.
Was wird aus dem deutschen Gesetz?
Am Montagabend haben sich Vertreter der Luxemburgischen Ratspräsidentschaft und des EU-Parlaments am Montagabend auf die neuen Regeln verständigt, wie das Presseportal des EU-Parlaments verlautbarte. Rat und Parlament müssen noch formell zustimmen.
Da es sich um eine Richtlinie handelt, müssen die Regeln noch in nationales Recht umgesetzt werden. Das deutsche Gesetz zur IT-Sicherheit ist gerade erst im Juli verabschiedet worden, wobei es viele Parallelen zur Richtlinie aufweist. Welche Regelungen im Einzelnen angepasst werden müssen, lässt sich aber voraussichtlich erst nach Monaten absehen.
Der Verband der Internetwirtschaft eco fordert, dass es bei der Umsetzung in nationales Recht nicht zu größeren Differenzen mit dem erst kürzlich verabschiedeten IT-Sicherheitsgesetz kommt.