Gastkommentar: Auf dem richtigen Weg

Die Verabschiedung der EU-NIS-Richtlinie ist ein Meilenstein für die Cybersicherheit, aber die nächsten Schritte sind noch wichtiger. [...]

Mit der Plenarabstimmung des Europäischen Parlaments am 6. Juli 2016 hat die EU den nahezu finalen Schritt für ihre neuen Rechtsvorschriften bezüglich Cybersicherheit vollzogen. Die Netz- und Informationssicherheit (NIS)-Richtlinie ist das Ergebnis von mehr als drei Jahren Engagement seitens der Europäischen Kommission, des Rats und des Parlaments sowie der Zusammenarbeit mit Akteuren aus Europa und der ganzen Welt.

Initiiert wurden die Aktivitäten in Reaktion auf zunehmende Cyberbedrohungen. Ziel war es, die Cybersicherheit und Stabilität von Netzen und Informationssystemen in den EU-Mitgliedsstaaten zu erhöhen. Dies ist das erste Mal, dass die EU eigene Rechtsvorschriften speziell für Cybersicherheit erlassen hat. Insbesondere widmet sich die Richtlinie der Sicherheit im Internet in einem wirtschaftlichen und gesellschaftlichen Kontext. So soll das Vertrauen der Nutzer in Online-Aktivitäten gefestigt und damit auch der Austausch im EU-Binnenmarkt erleichtert werden. Die NIS-Richtlinie soll in Kürze im Amtsblatt der Europäischen Union veröffentlicht werden und wird 20 Tage danach in Kraft treten. Den EU-Mitgliedstaaten bleiben dann 21 Monate, um die Richtlinie in nationales Recht umzusetzen.

Die NIS-Richtlinie hat Auswirkungen sowohl auf wirtschaftlicher als auch auf staatlicher Seite. So sind Meldepflichten bezüglich Sicherheitsstatus und Vorfällen für „Betreiber von wesentlichen Diensten“ (z.B. Energieversorger, Verkehrsbetriebe, Gesundheitsdienstleistungen) vorgesehen. Gleiches gilt – etwas weniger streng – für „Anbieter digitaler Dienste“ (Online-Marktplätze, Online-Suchmaschinen und Cloud-Service-Provider). Die Mitgliedstaaten müssen nationale NIS-Strategien verabschieden und zuständige nationale Behörden benennen. Zudem sollen sie „gut funktionierende“ Computer Security Incident Response Teams (CSIRTs) im Einsatz haben – für die Erkennung, Prävention und Reaktion auf Sicherheitsvorfälle und -risiken. Einen großen Stellenwert hat auch die Koordination zwischen den Mitgliedstaaten. Durch die Einrichtung eines CSIRT-Netzwerks – einschließlich des bisherigen CERT-EU (Computer Emergency Response Team) – soll die operative Zusammenarbeit gefördert und der Informationsaustausch erleichtert werden.

Obwohl die heutige Abstimmung ein Meilenstein ist, sind die nächsten Schritte noch wichtiger. Die Betreiber von grundlegenden Dienstleistungen und digitale Dienstleister müssen einen Sinn dafür entwickeln, wie sich die Regulierung auswirken wird. Gemäß der Richtlinie bestimmen die Mitgliedstaaten zunächst, welche Unternehmen die Kriterien als „Betreiber von grundlegenden Dienstleistungen“ erfüllen. Hier ist Zusammenarbeit gefragt, um eine Fehlleitung von Sicherheitsressourcen zu verhindern. Das Gleiche gilt für die Behörden der Mitgliedstaaten, die die Meldepflicht für die Betreiber von wesentlichen Dienstleistungen weiter definieren sollen: Trotz der vorgesehenen Flexibilität bei der Umsetzung der Richtlinie sollte Konsistenz das Ziel sein.

Harmonisierte Ansätze sind ein wesentlicher Bestandteil, um die Cybersicherheit ​​weltweit zu verbessern. ​​Ressourcen für Cybersicherheit sind knapp in Regierungsbehörden und in der Wirtschaft. Jegliche redundanten oder inkonsistenten Aktivitäten oder Anforderungen sollten daher von vornherein vermieden werden. Koordination ist also notwendig – und das nicht nur innerhalb der EU. Wir fordern daher die Mitgliedstaaten, die Kommission, das Parlament und die EU-Agentur für Netz- und Informationssicherheit (ENISA) auf, weiterhin mit Regierungen und der Industrie außerhalb der EU und Europas zusammenzuarbeiten. Ziel muss es sein, weltweit an einem Strang zu ziehen, wenn die NIS-Richtlinie konkret realisiert wird.

Viele der erforderlichen EU-weiten Aktivitäten hätten – optimal umgesetzt – ein großes Potenzial, um das globale Sicherheitsniveau zu erhöhen. Zum Beispiel ist das CSIRT-Netzwerk eine wichtige Ergänzung zur internationalen CSIRT (CERT) Community. Palo Alto Networks arbeitet mit vielen CSIRTs in der EU und der NATO zusammen. Wir freuen uns darauf, mit anderen CSIRTs zusammenzuarbeiten, um sie zu unterstützen. Die NIS-Richtlinie fordert die CSIRTs der Mitgliedstaaten aus gutem Grund zur internationalen Zusammenarbeit auf: Cyberbedrohungen sind global und die Zusammenarbeit zwischen den CSIRTs auf der ganzen Welt hilft, Wissen und Ressourcen zu sammeln, um diesen Bedrohungen zu begegnen. Die Richtlinie fordert von den Mitgliedstaaten auch die Umsetzung nationaler NIS-Strategien für Bildung und Sensibilisierung, damit sich Benutzer besser schützen, wenn sie online sind.

Die Richtlinie weist die Mitgliedstaaten an, zuständige Behörden zu benennen, die über ausreichende technische, finanzielle und personelle Ressourcen verfügen, um ihre Aufgaben effektiv und effizient erfüllen zu können. Entsprechende ​​Ressourcen sind überall knapp, aber wir hoffen, dass die EU-Staaten ihr Möglichstes tun können. Hierbei sind Partnerschaften der richtige Weg. Die Richtlinie überträgt der ENISA eine Vielzahl von Rollen, wie zum Beispiel bei Bedarf die Staaten dabei zu unterstützen, ihre Strategien zu entwickeln und CSIRTs zu etablieren. Wenn die Mitgliedstaaten zudem die vorhandene Expertise der Sicherheitsbranche in Anspruch nehmen, können wir die Cybersicherheit für alle ​​schneller verbessern.

Wir würdigen das Engagement der europäischen Politik, die richtigen Schritte an der Cybersicherheitsfront voranzutreiben. Die Umsetzung der Richtlinie in den einzelnen Staaten dürfte variieren. Einige EU-Staaten, vor allem Deutschland, Frankreich und die Niederlande, arbeiten bereits ​​seit Jahren an der Cybersicherheit und haben bereits ihre eigenen Gesetze ​​im Vorfeld der NIS-Richtlinie umgesetzt. Sie müssen wohl nur noch kleine Anpassungen vornehmen, um den  Mindestanforderungen der Richtlinie zu entsprechen, wenn überhaupt. Andere Mitgliedstaaten werden mehr substantiell von der Umsetzung der Richtlinie profitieren. Je mehr alle EU-Mitgliedstaaten das kollektive Sicherheitsniveau erhöhen, desto stärker wird letztlich die globale digitale Infrastruktur davon profitieren.

* Thorsten Henning ist Senior Systems Engineering Manager bei Palo Alto Networks.


Mehr Artikel

Rüdiger Linhart, Vorsitzender der Berufsgruppe IT der Fachgruppe UBIT Wien. (c) WeinwurmFotografie
Interview

IT-Berufe im Fokus: Innovative Lösungen gegen den Fachkräftemangel

Angesichts des anhaltenden IT-Fachkräftemangels ist schnelles Handeln gefordert. Die Fachgruppe IT der UBIT Wien setzt in einer Kampagne genau hier an: Mit einem breiten Ansatz soll das vielfältige Berufsbild attraktiver gemacht und innovative Ausbildungswege aufgezeigt werden. IT WELT.at hat dazu mit Rüdiger Linhart, Vorsitzender der Berufsgruppe IT der Fachgruppe UBIT Wien, ein Interview geführt. […]

News

ISO/IEC 27001 erhöht Informationssicherheit bei 81 Prozent der zertifizierten Unternehmen

Eine Umfrage unter 200 Personen verschiedener Branchen und Unternehmensgrößen in Österreich hat erstmals abgefragt, inwiefern der internationale Standard für Informationssicherheits-Managementsysteme (ISO/IEC 27001) bei der Bewältigung von Security-Problemen in der Praxis unterstützt. Ergebnis: Rund 81 Prozent der zertifizierten Unternehmen gaben an, dass sich durch die ISO/IEC 27001 die Informationssicherheit in ihrem Unternehmen erhöht hat. […]

News

Public Key Infrastructure: Best Practices für einen erfolgreichen Zertifikats-Widerruf

Um die Sicherheit ihrer Public Key Infrastructure (PKI) aufrecht zu erhalten, müssen PKI-Teams, sobald bei einer Zertifizierungsstelle eine Sicherheitslücke entdeckt worden ist, sämtliche betroffenen Zertifikate widerrufen. Ein wichtiger Vorgang, der zwar nicht regelmäßig, aber doch so häufig auftritt, dass es sich lohnt, PKI-Teams einige Best Practices für einen effektiven und effizienten Zertifikatswiderruf an die Hand zu geben. […]

News

UBIT Security-Talk: Cyberkriminalität wächst unaufhaltsam

Jedes Unternehmen, das IT-Systeme nutzt, ist potenziell gefährdet Opfer von Cyberkriminalität zu werden, denn die Bedrohung und die Anzahl der Hackerangriffe in Österreich nimmt stetig zu. Die Experts Group IT-Security der Wirtschaftskammer Salzburg lädt am 11. November 2024 zum „UBIT Security-Talk Cyber Defense“ ein, um Unternehmen in Salzburg zu unterstützen, sich besser gegen diese Bedrohungen zu wappnen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*