Aktuelles, Branche - geschrieben von am Freitag, Juli 8, 2016 21:17 - noch keine Kommentare

Europäisches Parlament hat NIS-Richtlinie verabschiedet

Palo Alto Networks fordert, bei Realisierung der Netz- und Informationssicherheit weltweit an einem Strang zu ziehen

[datensicherheit.de, 08.07.2016] Da Informationssysteme, „grundlegende Netze und Dienste“ wie die Luftverkehrskontrolle und Stromversorgung durch Cyber-Angriffe beschädigt werden können, hat sich die Europäische Union nun auf die ersten EU-weiten Vorschriften zur Cyber-Sicherheit geeinigt, um die Widerstandsfähigkeit eben gegen solche Attacken verbessern. Hierzu hat das Parlament am 6. Juli 2016 die EU-NIS-Richtlinie angenommen.

Meilenstein für Cyber-Sicherheit, dem weitere Schritt folgen müssen!

In einer aktuellen Stellungnahme bekundet Palo Alto Networks, mit diesem Schritt „auf dem richtigen Weg“ zu sein: Die Verabschiedung der EU-NIS-Richtlinie sei ein „Meilenstein für die Cyber-Sicherheit“, aber die nächsten Schritte seien noch wichtiger, so Thorsten Henning, „Senior Systems Engineering Manager“ bei Palo Alto Networks.
Mit der Plenarabstimmung des Europäischen Parlaments am 6. Juli 2016 habe die EU den nahezu finalen Schritt für ihre neuen Rechtsvorschriften bezüglich Cyber-Sicherheit vollzogen. Diese Richtlinie zur Netz- und Informationssicherheit (NIS) sei das Ergebnis von mehr als drei Jahren Engagement seitens der Europäischen Kommission, des Rats und des Parlaments sowie der Zusammenarbeit mit Akteuren aus Europa und der ganzen Welt.

Leidensdruck als Impulsgeber

Initiiert worden seien die Aktivitäten in Reaktion auf zunehmende Cyber-Bedrohungen. Ziel sei es, die Cyber-Sicherheit und Stabilität von Netzen und Informationssystemen in den EU-Mitgliedsstaaten zu erhöhen. Dies sei das erste Mal, dass die EU eigene Rechtsvorschriften speziell für Cyber-Sicherheit erlassen habe.
Insbesondere widme sich die Richtlinie der Sicherheit im Internet in einem wirtschaftlichen und gesellschaftlichen Kontext. So solle das Vertrauen der Nutzer in Online-Aktivitäten gefestigt und damit auch der Austausch im EU-Binnenmarkt erleichtert werden.

21 Monate Zeit zur Umsetzung in nationales Recht

Die NIS-Richtlinie solle in Kürze im Amtsblatt der Europäischen Union veröffentlicht werden und werde 20 Tage danach in Kraft treten. Den EU-Mitgliedstaaten blieben dann 21 Monate, um die Richtlinie in nationales Recht umzusetzen.
Die NIS-Richtlinie habe Auswirkungen sowohl auf wirtschaftlicher als auch auf staatlicher Seite. So seien Meldepflichten bezüglich Sicherheitsstatus und Vorfällen für „Betreiber von wesentlichen Diensten“ (z.B. Energieversorger, Verkehrsbetriebe, Gesundheitsdienstleistungen) vorgesehen. Gleiches gelte – etwas weniger streng – für „Anbieter digitaler Dienste“ (Web-Marktplätze, Web-Suchmaschinen und Cloud-Service-Provider).
Die Mitgliedstaaten müssten nationale NIS-Strategien verabschieden und zuständige nationale Behörden benennen. Zudem sollten sie „gut funktionierende“ CSIRTs (Computer Security Incident Response Teams) im Einsatz haben – für die Erkennung, Prävention und Reaktion auf Sicherheitsvorfälle und -risiken.

Koordination zwischen EU-Mitgliedstaaten gewinnt an Bedeutung

Einen großen Stellenwert habe auch die Koordination zwischen den Mitgliedstaaten. Durch die Einrichtung eines CSIRT-Netzwerks – einschließlich des bisherigen CERT-EU (Computer Emergency Response Team) – solle die operative Zusammenarbeit gefördert und der Informationsaustausch erleichtert werden.
Obwohl die Abstimmung ein Meilenstein sei, seien die nächsten Schritte noch wichtiger: Die Betreiber von grundlegenden Dienstleistungen und digitale Dienstleister müssten einen Sinn dafür entwickeln, wie sich die Regulierung auswirken werde. Gemäß der Richtlinie bestimmten die Mitgliedstaaten zunächst, welche Unternehmen die Kriterien als „Betreiber von grundlegenden Dienstleistungen“ erfüllen. Hierbei sei Zusammenarbeit gefragt, um eine Fehlleitung von Sicherheitsressourcen zu verhindern. Das Gleiche gelte für die Behörden der Mitgliedstaaten, die die Meldepflicht für die Betreiber von wesentlichen Dienstleistungen weiter definieren sollten: Trotz der vorgesehenen Flexibilität bei der Umsetzung der Richtlinie sollte Konsistenz das Ziel sein. Harmonisierte Ansätze seien ein wesentlicher Bestandteil, um die Cyber-Sicherheit weltweit zu verbessern.
Ressourcen für Cyber-Sicherheit seien knapp in Regierungsbehörden und in der Wirtschaft. Jegliche redundanten oder inkonsistenten Aktivitäten oder Anforderungen sollten daher von vornherein vermieden werden, betont Henning. Koordination sei also notwendig – und das nicht nur innerhalb der EU. Palo Alto Networks fordert daher die Mitgliedstaaten, die Kommission, das Parlament und die EU-Agentur für Netz- und Informationssicherheit (ENISA) auf, weiterhin mit Regierungen und der Industrie außerhalb der EU und Europas zusammenzuarbeiten. „Ziel muss es sein, weltweit an einem Strang zu ziehen, wenn die NIS-Richtlinie konkret realisiert wird“, erläutert Henning.

Globale Bedrohung erfordert weltweite Kooperation zur Abwehr

Viele der erforderlichen EU-weiten Aktivitäten hätten – optimal umgesetzt – ein großes Potenzial, um das globale Sicherheitsniveau zu erhöhen. Zum Beispiel sei das CSIRT-Netzwerk eine wichtige Ergänzung zur internationalen CSIRT (CERT) Community. Palo Alto Networks arbeitet nach eigenen Angaben mit vielen CSIRTs in der EU und der NATO zusammen.
Die NIS-Richtlinie fordere die CSIRTs der Mitgliedstaaten aus gutem Grund zur internationalen Zusammenarbeit auf, denn Cyber-Bedrohungen seien global und die Zusammenarbeit zwischen den CSIRTs auf der ganzen Welt helfe, Wissen und Ressourcen zu sammeln, um diesen Bedrohungen zu begegnen.

Gut ausgestattete Behörden gefordert

Die Richtlinie fordert laut Henning von den EU-Mitgliedstaaten auch die Umsetzung nationaler NIS-Strategien für Bildung und Sensibilisierung, damit sich Benutzer besser schützen, wenn sie online sind.
Die Richtlinie weise die Mitgliedstaaten an, zuständige, mit ausreichenden technischen, finanziellen und personellen Ressourcen ausgestattete Behörden zu benennen, um ihre Aufgaben effektiv und
effizient erfüllen zu können. Entsprechende Ressourcen seien überall knapp, so Henning, aber man hoffe, dass die EU-Staaten ihr Möglichstes tun könnten. Hierbei seien Partnerschaften der richtige Weg. Die Richtlinie übertrage der ENISA eine Vielzahl von Rollen, wie zum Beispiel bei Bedarf die Staaten dabei zu unterstützen, ihre Strategien zu entwickeln und CSIRTs zu etablieren. Wenn die Mitgliedstaaten zudem die vorhandene Expertise der Sicherheitsbranche in Anspruch nähmen, könne die Cyber-Sicherheit für alle schneller verbessert werden.

EU-Mitgliedstaaten als Schrittmacher für globale digitale Infrastruktur

Palo Alto Networks würdigt nach eigenen Angaben das Engagement der europäischen Politik, die richtigen Schritte an der Cyber-Sicherheitsfront voranzutreiben. Die Umsetzung der Richtlinie in den einzelnen Staaten dürfte variieren. Einige EU-Staaten, vor allem Deutschland, Frankreich und die Niederlande, arbeiteten bereits seit Jahren an der Cyber-Sicherheit und hätten bereits ihre eigenen Gesetze im Vorfeld der NIS-Richtlinie umgesetzt. Sie müssten wohl nur noch kleine Anpassungen vornehmen, um den Mindestanforderungen der Richtlinie zu entsprechen, wenn überhaupt.
Andere Mitgliedstaaten würden mehr substanziell von der Umsetzung der Richtlinie profitieren. Henning: „Je mehr alle EU-Mitgliedstaaten das kollektive Sicherheitsniveau erhöhen, desto stärker wird letztlich die globale digitale Infrastruktur davon profitieren.“

Weitere Informationen zum Thema:

Europäisches Parlament / Aktuelles, 05.07.2016
EU-weite Vorschriften zur Stärkung der Cyber-Sicherheit



Kommentieren

Kommentar

Kooperation

TeleTrusT

Mitgliedschaft

German Mittelstand e.V.

Mitgliedschaft

BISG e.V.

Multiplikator

Allianz für Cybersicherheit

Datenschutzerklärung