Anlagenbau & Prozesstechnik

EU Standard zur Cyber Security für europäische Unternehmen

Die NIS-Richtlinie soll Sicherheit schaffen

28.10.2015 -

In den vergangenen Jahren hat die Anzahl an Angriffen auf IT-Systeme stark zugenommen. Estland war in 2007 wochenlang das Ziel von Cyberangriffen, wobei die Computer von Regierungseinrichtungen, politischen Parteien, Banken und Medien angegriffen wurden. In diesem Jahr erregten sicherlich die Hackerattacken auf Sony Pictures Entertainment, den französischen Fernsehsender TV5, den Bundestag und nicht zuletzt auf den Apple Store das größte Aufsehen. Die NIS-Richtlinie für Netz- und Informationssicherheit in der Union soll für mehr Sicherheit sorgen.

Mittlerweile ist der digitale Wandel mit dem Übergang zum Internet der Dinge oder dem alltäglichen Gebrauch von Smartphones und Tablets in allen Bereichen der Gesellschaft verankert. Dabei spielt nicht nur Datenschutz, sondern vor allem Cybersicherheit eine elementare Rolle. Und obwohl dieser Begriff in aller Munde ist, ist er längst noch nicht zur Realität in der Praxis geworden: Laut einer aktuellen Bitkom Studie waren alleine in Deutschland 51 Prozent der Unternehmen in den letzten zwei Jahren von Wirtschaftsspionage, Sabotage und Datendiebstahl betroffen, verfügen aber gleichzeitig nicht über ein entsprechendes Notfallmanagement. Dabei, so plädiert auch das BSI schon lange, sollte Cybersicherheit Chefsache sein und zum festen Bestandteil der Unternehmenspolitik gehören.

IT-Sicherheit - eine Aufgabe für die gesamte Industrie?

Cyberangriffe, ob politisch bzw. wirtschaftlich motiviert, stellen Unternehmen und Staaten vor wachsende Herausforderungen. Allein der jüngste Telekom-Report zur Cyber-Kriminalität zeigt auf, dass die Telekom heute täglich bis zu einer Million Attacken auf ihr Netz zählt, während es vor knapp drei Jahren gerade einmal 300.000 waren. Und auch gegen die IT-Infrastruktur der Bundesregierung gibt es laut Bundesamt für Verfassungsschutz immer häufiger Angriffe von Nachrichtendiensten: Von geschätzten 3000 Angriffen täglich gingen etwa fünf Angriffe pro Tag von Geheimdiensten aus China oder Russland aus - aber auch viele aus Deutschland!

Für die Wirtschaft können Cyberangriffe enorme wirtschaftliche Konsequenzen nach sich ziehen. Dies betrifft sowohl große als auch besonders innovationsstarke kleine und mittelständische Unternehmen (KMU). Laut einer Studie des unabhängigen Center for Strategic and International Studies (CSIS) vom Juni 2014 beliefen sich 2013 die wirtschaftlichen Schäden weltweit auf geschätzte 575 Milliarden Dollar. Die Bitkom Studie spricht für Deutschland von 51 Milliarden Euro pro Jahr.

Die Wertschöpfung durch Informations- und Kommunikationstechnik (IKT) steigt zunehmend: automatisierte Produktionsprozesse im Automobilbereich, moderne Messtechniken in der Medizin oder vermehrte Angebote von Dienstleistungen im Online-Bereich. Deshalb sind der Schutz von Know-How und Geschäftsgeheimnissen sowie der Erhalt der Funktionsfähigkeit des Unternehmens auch im IT-Bereich unerlässlich.

Dabei ist es wichtig, dass Politik und Wirtschaft hinsichtlich der Schaffung eines geeigneten Rechtsrahmens auf nationaler und europäischer Ebene zusammenarbeiten. Hierbei zählt die Expertise der Wirtschaft, um praktikable und unbürokratische Regelungen zu schaffen, die Freiräume und Kontrollmechanismen gleichermaßen vorsehen.

Warum eine EU-Richtlinie zur IT-Sicherheit?

Aufgrund der immer stärkeren Vernetzung von Informationssystemen und der globalen Natur des Internets machen Cyberangriffe nicht an nationalen Grenzen Halt. Dennoch bestehen in den EU-Mitgliedstaaten erhebliche Unterschiede hinsichtlich des bestehenden Rechtsrahmens sowie des Niveaus der Resilienz - d.h. der Abwehrbereitschaft und Robustheit der Systeme. Während Mitgliedstaaten wie Deutschland, Großbritannien, Schweden oder Frankreich zu den Vorreitern beim Thema Cybersicherheit gehören und zum Teil bereits kooperieren, fielen beispielsweise polnische Behörden vergangenes Jahr bei einem staatlichen Audit ihrer Cybersicherheitsmaßnahmen mangels ausreichender Zusammenarbeit, Ressourcen und festen Verpflichtungen zur Absicherung ihrer IT-Netze durch.

Vor diesem Hintergrund legte die Europäische Kommission im Februar 2013 einen Vorschlag für eine Richtlinie über Maßnahmen zur Gewährleistung einer hohen gemeinsamen Netz- und Informationssicherheit in der Union (NIS) vor. Dieser führt rechtliche Mindestverpflichtungen für die Netz- und Informationssicherheit ein, um gleiche Wettbewerbsbedingungen zu schaffen und bestehende Gesetzeslücken zu schließen. Ziel ist es, EU-weit ein Mindestmaß an Resilienz zu schaffen und das reibungslose Funktionieren des europäischen Binnenmarktes zu gewährleisten. Die Arbeiten auf europäischer Ebene spielen dabei sicherlich für das deutsche IT-Sicherheitsgesetz eine große Rolle, werden die laufenden Beratungen zwischen Parlament und Ministerrat zur NIS-Richtlinie doch auch maßgeblich von Deutschland mitbestimmt.

Künftige europäische Standards für IT-Sicherheit

Der Richtlinienentwurf hat den Schutz von "Betreibern kritischer Infrastrukturen, die für die Aufrechterhaltung zentraler wirtschaftlicher und gesellschaftlicher Tätigkeiten in den Bereichen Energie, Verkehr, Banken, Börsen und Gesundheit unerlässlich sind" sowie von "Anbietern von Diensten der Informationsgesellschaft, die die Bereitstellung anderer Dienste der Informationsgesellschaft ermöglichen" zu Ziel. Zu Letzteren gehören Cloud-Computing-Dienste, Plattformen des elektronischen Geschäftsverkehrs oder Suchmaschinen. Auch öffentliche Verwaltungen werden ausdrücklich einbezogen.

Die Marktteilnehmer sind verpflichtet, Sicherheitsvorfälle, "die erhebliche Auswirkungen auf die Sicherheit der von ihnen bereitgestellten Kerndienste haben" an die zuständigen Behörden zu melden und geeignete Maßnahmen zu ergreifen, um die Kontinuität der hierauf beruhenden Dienste zu gewährleisten.

Die Mitgliedstaaten sind gehalten, für NIS zuständige Behörden zu benennen, IT-Notfallteams (Computer Emergency Response Teams, CERT) einzurichten und nationale NIS-Strategien und NIS-Kooperationspläne zu schaffen. Gleichzeitig sieht der Kommissionsentwurf die Bildung eines Kooperationsnetzes vor, um die Zusammenarbeit und Koordinierung bei Sicherheitsvorfällen zwischen den Mitgliedstaaten und der Kommission zu stärken.

Mit seiner ersten Lesung vom März 2014 unterstützt das Parlament das Hauptziel des Kommissionsvorschlags, jedoch mit wesentlichen Änderungen der rechtlichen Anforderungen an Mitgliedstaaten und Marktteilnehmer. Bei den Mitgliedstaaten fehlen vor allem ausreichende Ressourcen und das Vertrauen zur Zusammenarbeit. Die Wirtschaft kritisierte, dass der Richtlinienvorschlag nicht ausreichend auf eventuelle Folgeschäden Rücksicht nehme. Zudem griffen die Verpflichtungen zu sehr in die wirtschaftliche Aktivität ein, ohne im Gegenzug eine angemessene, wechselseitige Kommunikation mit den Behörden zu gewährleisten. Das Parlament änderte vor diesem Hintergrund folgende Kernpunkte ab:

- Zur Sicherung nationaler behördliche Strukturen, sieht der Parlamentstext die Benennung einer oder mehrerer für NIS zuständige Behörden pro Mitgliedstaat vor. Gleichzeitig soll es eine "zentrale Anlaufstelle" für grenzüberschreitende Kooperationen in jedem Mitgliedstaat geben. Diese Behörden sollen keine gleichzeitigen geheimdienstlichen, militärischen oder strafrechtlichen Aufgaben erfüllen, um eine Vertrauensgrundlage für die Zusammenarbeit der mitgliedstaatlichen Behörden zu schaffen. Die Europäische Agentur für Netz- und Informationssicherheit (ENISA) soll intensiver mit eingebunden werden.

- Der Anwendungsbereich der Richtlinie beschränkt sich auf privat- oder öffentlich-rechtlich organisierte kritische Infrastrukturbetreiber in den Sektoren Energie, Verkehr, Finanzmärkte, Gesundheit, Lebensmittelversorgung, Wassergewinnung und -versorgung sowie Internet-Knoten. Kleinstunternehmen sind ausgenommen. Ziel ist es, die erstmals sekundärrechtlich geregelten Vorgaben möglichst effektiv umzusetzen. Öffentliche Verwaltungen, z.B. Ministerien, können auf freiwilliger Basis die Anforderungen übernehmen.

Ausgenommen werden Anbieter von Diensten der Informationsgesellschaft. Grund hierfür waren verschiedene rechtliche Erwägungen des Parlaments mangels eindeutiger rechtlicher Definitionen und offener Fragen hinsichtlich der Gerichtsbarkeit bzw. anwendbarem Recht bei Unternehmen mit Sitz außerhalb der Europäischen Union.

 -Nach leichter Abänderung der Regelung über Meldepflichten müssen sämtliche Betreiber der zuständigen Behörde "Sicherheitsvorfälle unverzüglich melden, die erhebliche Auswirkungen auf die Kontinuität der von ihnen bereitgestellten Kerndienste haben". Sicherheitsaudits können je nach Kritikalität der Betreiber intern oder extern vorgenommen werden.

- Eine Haftung für Verstöße soll durch die Mitgliedstaaten nur bei Vorsatz oder grober Fahrlässigkeit vorgesehen werden. Schließlich wurden die Datenschutzanforderungen wesentlich verstärkt und das Verhältnis zu den europäischen Datenschutzvorschriften klargestellt.

Streitpunkte in den laufenden Verhandlungen

Bis heute ist es nicht gelungen, zu einer Einigung zwischen Parlament und Rat zu gelangen. Die Schwierigkeiten bestehen vor allem zwischen den Mitgliedstaaten aufgrund der bereits erwähnten nationalen Unterschiede. Diese Situation hat sich auch auf die informellen Trilogverhandlungen zwischen Parlament, Rat und Kommission ausgewirkt: Während das Parlament eine sehr ambitionierte und auf das größtmögliche Maß an Vereinheitlichung im Binnenmarkt angelegte Position vertritt, zielen vor allem die großen Mitgliedstaaten auf den kleinsten gemeinsamen Nenner mit größtmöglicher Flexibilität ab.

Strittig ist insbesondere der Anwendungsbereich. Bei den kritischen Infrastrukturen beabsichtigt das Parlament eine möglichst einheitliche Identifizierung der betroffenen Marktteilnehmer. Die Mitgliedstaaten können weitere Sektoren hinzufügen. Ein Beispiel: Häfen etwa mögen in Österreich weniger "kritisch" sein als in Deutschland oder den Niederlanden, jedoch sollten sie nach Auffassung des Parlaments in allen Mitgliedstaaten grundsätzlich als kritisch angesehen werden. Der Ministerrat bevorzugt aufgrund nationaler Sicherheitsinteressen einen sehr flexiblen Ansatz. Dies könnte jedoch dazu führen, dass letztlich gar keine (kritische) Infrastruktur in den Anwendungsbereich fiele. Bei grenzüber-schreitenden Fällen könnte zudem derselbe Betreiber von zwei Mitgliedstaaten unterschiedlich kritisch eingeordnet werden (dies ist beim Eurostar-Tunnel zwischen Frankreich und dem Vereinigten Königreich der Fall).

Bei den Anbietern von Diensten der Informationsgesellschaft geht es der Kommission und Befürwortern des Einschlusses (Frankreich, Spanien, Deutschland) vor allem um ein politisches Signal. Uns stellt sich hierbei neben den bereits genannten Bedenken zudem die Frage, ob die NIS-Richtlinie hierfür wirklich das richtige Instrument und das gesetzgeberische Ziel nicht zunächst effektiver mit einem fokussierten Anwendungsbereich zu erreichen ist. Wir haben die Kommission gebeten, nochmals zu den aufgeworfenen Fragestellungen nachzulegen, um dann gemeinsam mit dem Rat eine inhaltliche Diskussion auf solider Basis zu führen.

Gute Fortschritte wurden im Bereich der strategischen Kooperation der Mitgliedstaaten sowie der operationellen Zusammenarbeit der IT-Notfallteams gemacht, obgleich auch hier der Parlamentsvorschlag ambitionierter ist. Das größte Problem seitens der Mitgliedstaaten scheint hierbei wiederum das fehlende Vertrauen für mehr Zusammenarbeit zu sein. Der NSA-Skandal (wenngleich dies auch eine völlig andere Diskussion ist) hat diesen Prozess sicherlich nicht gefördert. Bei den bisherigen Trilogverhandlungen ist das Parlament dem Rat in dieser Frage erheblich entgegengekommen, besteht jedoch weiterhin auf festen Governance-Strukturen sowie einem klaren Zeitrahmen mit konkreten strategischen Zielen.

Schlussfolgerungen

Es liegt noch einige Arbeit vor uns, um die Verhandlungen zur NIS-Richtlinie möglichst unter luxemburgischer Ratspräsidentschaft erfolgreich abzuschließen und einen großen Schritt beim Thema IT-Sicherheit in der EU weiterzukommen. IT-Sicherheit ist heute eine zentrale Herausforderung des digitalen Wandels und betrifft uns alle: als Politiker, Wirtschaft oder als einzelne Nutzer. Deshalb haben wir auch eine gemeinsame Verantwortung für eine bessere Cybersicherheitskultur.

Wir müssen das Bewusstsein für Cybersicherheit auf allen Ebenen der Gesellschaft, Staat und Industrie stärken. Wir müssen bestehende Formen der Zusammenarbeit verbessern und neue Formen der Zusammenarbeit, beispielsweise durch den Ausbau von PPP-Initiativen (public private partnerships) schaffen. Behörden und IT-Notfallteams müssen mit den notwendigen personellen und finanziellen Ressourcen ausgestattet werden, um auch der Industrie zugute zu kommen. Wir müssen Synergien stärken und auch mittel- und langfristig ein Umfeld für Investitionen in industrielle und technologische Ressourcen sowie Forschung und Entwicklung für eine gemeinsame europäische Sicherheitsindustrie schaffen.

Die NIS-Richtlinie als zentrales Element muss nun zügig den europäischen Rechtsrahmen definieren, um EU-weite Mindeststandards und ein hohes Niveau an Resilienz zu erreichen.