European trialogue negotiators reached a milestone agreement on the draft of the Network and Information Security Directive (NIS Directive) to strengthen cybersecurity across the European Union. The Directive requires providers of essential services and digital services to provide robust security and aims to build digital infrastructure security capacity and foster cooperation among EU Member States by sharing information and best practices.<\/i><\/p>\n
Im Rahmen des Trilogs unter der Ratspr\u00e4sidentschaft Luxemburgs wurde am 7. Dezember eine Vereinbarung \u00fcber die gemeinsamen Regelungen zur St\u00e4rkung der Netz- und Informationssicherheit (NIS) in Europa getroffen. Die Vertreter der Kommission, des Europ\u00e4ischen Parlaments und der Mitgliedstaaten einigten<\/a> sich auf eine neue Fassung der NIS-Richtlinie. Die EU-Kommission hatte einen ersten\u00a0Entwurf<\/a> der NIS-Richtlinie am 7. Februar 2013 vorgelegt und das Parlament am 13. M\u00e4rz 2014 \u00fcber eine eigene Position <\/a>abgestimmt. Die Trilogverhandlungen gestalteten sich daraufhin z\u00e4h<\/a> und gerieten ins Stocken. Umso bedeutender ist der nun erreichte Kompromiss.<\/p>\n Die NIS-Richtlinie ist Teil der europ\u00e4ischen Cybersicherheitsstrategie und zielt darauf, in der Europ\u00e4ischen Union ein harmonisiertes Sicherheitsniveau zu schaffen, um vor allem das Vertrauen in die digitale Wirtschaft zu st\u00e4rken. Die Vorgaben richten sich sowohl an Unternehmen als auch an die Mitgliedstaaten selbst. Die Betreiber wichtiger Dienste aus den Bereichen \u00a0Energie, Transport, Gesundheit oder Finanzen (essential services) und Digitaldiensteanbieter wie eBay, Amazon oder Google (digital service providers) sollen verpflichtet werden, besser gegen Risiken zu sch\u00fctzen und Sicherheitsvorf\u00e4lle den zust\u00e4ndigen Beh\u00f6rden zu melden. Soziale Netzwerke sollen jedoch von den Verpflichtungen ausgenommen sein. Im Datenschutzrecht bestehen bereits Verpflichtungen zum Schutz personenbezogener Daten und mit der Datenschutz-Grundverordnung werden die Verantwortlichen k\u00fcnftig dazu verpflichtet, Verletzungen dieses Schutzes zu melden. Die gro\u00dfen Internetkonzerne w\u00fcrden durch die NIS-Richtlinie unabh\u00e4ngig der Verletzung personenbezogener Daten dazu verpflichtet, schwere Hackerangriffe auf ihre Systeme zu melden. Kleine digitale Unternehmen mit bis zu 50 Mitarbeitern werden aus dem Anwendungsbereich herausgenommen.<\/p>\n Vorgesehen in der neuen Entwurfsvorlage ist au\u00dferdem der Aufbau einer strategischen Kooperationsgruppe (strategic cooperation group), die den Austausch von Informationen und bew\u00e4hrten Verfahren im Umgang mit IT-Sicherheitsschwachstellen und den Aufbau von Kapazit\u00e4ten in den Mitgliedstaaten f\u00f6rdern soll. Die Europ\u00e4ische Agentur f\u00fcr Netz- und Informationssicherheit (ENISA) wird dabei sicherlich eine bedeutendere Rolle spielen. Die IT-Notfallteams (Cyber Security Incidents Response Teams – CSIRTS) sollen operativ und grenz\u00fcberschreitend den Umgang mit Sicherheitsvorf\u00e4llen koordinieren. Angedacht war hier, dass die Mitgliedstaaten untereinander Fr\u00fchwarnungen bei sich verbreitenden Risiken herausgeben.<\/p>\n Bei dem neuen Entwurf handelt es sich um einen vorl\u00e4ufigen Kompromiss, dem noch die Vertreter des Binnenmarktausschusses im Parlament und der Ausschuss der St\u00e4ndigen Vertreter der Mitgliedstaaten zustimmen m\u00fcssen. Das in Deutschland in Kraft getretene IT-Sicherheitsgesetz setzt die Richtlinie bereits teilweise um, insbesondere mit den Sicherheitsanforderungen und Meldepflichten f\u00fcr Betreiber kritischer Infrastrukturen und den neuen Pflichten f\u00fcr Telemediendienste wie Webseitenanbieter. Eine vergleichbare Entwicklung zeichnet sich in den USA ab, wo der US Senate dem lang verhandelten Cybersecurity Information Sharing Act (CISA)<\/a> nun zugestimmt hat. Die Idee ist vergleichbar mit den europ\u00e4ischen Vorhaben. Die Unternehmen sollen Informationen \u00fcber Sicherheitsvorf\u00e4lle teilen, um selber von dem Datenpool profitieren und sich besser sch\u00fctzen zu k\u00f6nnen.<\/p>\n Wie wirksam die NIS-Richtlinie letztlich sein wird, kann erst beurteilt werden, wenn der endg\u00fcltige Text vorliegt. Erst dann ist auch einsch\u00e4tzbar, inwieweit das IT-Sicherheitsrecht in Deutschland weiter angepasst werden muss. Schon jetzt aber ist zu begr\u00fc\u00dfen, dass in den Unternehmen das Interesse an mehr Sicherheit steigt und dadurch die Verbraucher besser gesch\u00fctzt werden.<\/p>\nThis post is part of a weekly series of articles by\u00a0doctoral canditates<\/a>\u00a0of the Alexander von Humboldt Institute for Internet and Society. It does not necessarily represent the view of the Institute itself. For more information about the topics of these articles and asssociated research projects, please contact\u00a0info@hiig.de<\/a>.<\/h4>\n