Zentrale Auditierungs- und Meldestelle für Sicherheitsvorfälle

Die Cybersecurity-Richtlinie der EU-Kommission

| Autor / Redakteur: Dr. Lukas Feiler, (ISC)2-zertifizierter SSCP / Stephan Augsten

Meldepflichten und Audits sollen die Cybersicherheit innerhalb der EU erhöhen.
Meldepflichten und Audits sollen die Cybersicherheit innerhalb der EU erhöhen. (Bild: Archiv)

Mit der neuen Cybersecurity-Richtlinie will die EU dafür sorgen, dass Unternehmen angemessene Sicherheitsmaßnahmen ergreifen und Sicherheitsvorfälle zeitnah an nationale Behörden melden. Doch welche Unternehmen sind betroffen und welche Konsequenzen zieht die Richtlinie nach sich?

Die Anfang Februar von der Europäischen Kommission vorgeschlagene Cybersecurity-Richtlinie würde erstmals einen sektorübergreifenden regulatorischen Rahmen für Cybersicherheit vorgeben. Die neuen Pflichten sollen für Betreiber „kritischer Infrastrukturen“ und für zentrale Internetdienste gelten.

Damit sind unter anderem Dienstleister aus dem Energie-, Verkehrs-, Bank- und Gesundheitswesen sowie die öffentliche Verwaltung gemeint. Darüber hinaus sollen aber auch IT-Dienstleister erfasst werden, welche die Grundlage für andere Dienstleistungen darstellen, wie E-Commerce-Plattformen, Internet Payment Gateways, soziale Netzwerkplattformen, Cloud Computing-Dienste oder App Stores.

Alle genannten Unternehmen müssten zunächst risiko-adäquate Sicherheitsmaßnahmen implementieren. Darüber werden auf nationaler Ebene neue Cybersecurity-Behörden geschaffen, die alle erforderlichen Informationen anfragen dürfen, um die Sicherheit der IT-Systeme zu beurteilen.

Auf Anordnung der Behörde müsste sich ein Unternehmen auch einem Security Audit durch einen unabhängigen Auditor unterziehen und die Ergebnisse der Behörde übermitteln. Die Cybersecurity-Behörde würde entsprechend der vorgeschlagenen Richtlinie durchaus über die Befugnis verfügen, konkrete Maßnahmen anzuordnen und gegebenenfalls Strafen zu verhängen.

Folgen eines Sicherheitsvorfalls

Kommt es zu einer Sicherheitsverletzung, die den Kern der vom Unternehmen erbrachten Dienste betrifft, so sieht die Richtlinie weiters vor, dass das Unternehmen die nationale Cybersecurity-Behörde hierüber zu informieren hat. Wenn die Behörde feststellt, dass die Sicherheitsverletzung von öffentlichem Interesse ist, so kann sie hierüber die Öffentlichkeit informieren oder dem Unternehmen anordnen dies zu tun.

Besteht der Verdacht, dass der Sicherheitsverletzung eine Straftat zugrunde liegt, so muss die Cybersecurity-Behörde auch die Strafverfolgungsbehörden informieren. Stellt die Sicherheitsverletzung ein grenzüberschreitendes Risiko, so ist die Cybersecurity-Behörde zudem verpflichtet, die Cybersecurity-Behörden anderer Mitgliedstaaten sowie die Europäische Kommission über ein eigens einzurichtendes Frühwarnsystem zu informieren.

Die Cybersecurity-Richtlinie sieht weiters vor, dass jeder Mitgliedstaat über ein Computer Emergency Response Team (CERT) verfügen muss. Gleichzeitig räumt sie der Kommission das Recht ein, in Zusammenarbeit mit den Mitgliedstaaten einen Kooperationsplan zu verabschieden, der eine koordinierte Reaktion der nationalen Cybersecurity-Behörden sowie der nationalen CERTs im Falle eines grenzüberschreitenden Cyber-Angriffs ermöglichen soll.

Unterschiede zum Ansatz der USA

Am vorliegenden Richtlinien-Entwurf ist besonders zu bemerken, dass er sektorübergreifend einen einheitlichen Rechtsrahmen für die Betreiber kritischer Infrastrukturen (einschließlich kritischer IT-Services) schaffen würde. Zur Einhaltung der Richtlinien ist in jedem Mitgliedstaat nur eine einzige Cybersecurity-Behörde vorgesehen.

Dieser Ansatz unterscheidet sich erheblich von jenem in den USA, wo für jeden Wirtschaftssektor andere Behörden zuständig sind, die jeweils nach anderen rechtlichen Grundlagen vorgehen und mit anderen Maßstäben messen. Zudem erschwert in den USA die Vielzahl unterschiedlicher sektorspezifischer Behörden sowohl die Kommunikation im Ernstfall als auch den Know-how-Transfer erheblich.

Es bleibt zu hoffen, dass dieser ambitionierte Richtlinien-Vorschlag der Europäischen Kommission durch nationalstaatliche Interessen im Legislativprozess nicht zu sehr verwässert wird. Jedenfalls muss der Richtlinien-Entwurf noch ergänzt werden, um eine genauere Definition der erfassten IT-Dienstleistungsunternehmen vorzunehmen. Darüber hinaus gilt es die Frage zu klären, welche nationale Cybersecurity-Behörde für Dienstleister zuständig sein soll, die ihre Leistungen grenzüberschreitend erbringen.

Über den Autor

Dr. Lukas Feiler, (ISC)²-zertifizierter SSCP, ist Rechtsanwaltsanwärter bei der internationalen Wirtschaftskanzlei Baker & McKenzie sowie Fellow des Stanford-Vienna Transatlantic Technology Law Forum (TTLF).

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 38846860 / Security Management)