Cybercrime lässt sich nur durch gemeinsames Handeln eindämmen. Höchste Zeit also, die unterschiedlichen Rechtsprechungen in den Ländern zu koordinieren. Weitere Pläne der Kommission: Schaffung von Kompetenzzentren und Meldepflicht bei Cyber-Attacken. [...]
Am 7. Februar hat die Europäische Kommission eine Cybersicherheitsstrategie sowie einen Kommissionsvorschlag für eine Richtlinie zur Netz- und Informationssicherheit (NIS) veröffentlicht. Ziel sei es, „die europäischen Werte der Freiheit und Demokratie zu fördern und dafür zu sorgen, dass die digitale Wirtschaft auf sicherer Grundlage weiter wachsen kann. Mit den Worten von Neelie Kroes, die für die Digitale Agenda zuständige Vizepräsidentin der Kommission: „Je mehr die Menschen vom Internet abhängen, umso mehr verlassen sie sich darauf, dass es auch sicher ist. Ein sicheres Internet schützt unsere Freiheiten und Rechte und unsere Wirtschaftstätigkeit. Es ist höchste Zeit für ein koordiniertes Vorgehen, denn die Kosten des Nichtstuns sind weitaus höher als die Kosten des Handelns.“
Die vorgeschlagene Richtlinie enthält folgende Maßnahmen, die sich unter anderem gegen die aktuelle uneinheitliche Rechtssituation richtet. Die EU hat derzeit 27 verschiedene nationale Rechtssprechungen. In Deutschland hat sogar jedes Bundesland seine eigene Behörde.
1. Jeder Mitgliedstaat muss eine NIS-Strategie annehmen und eine zuständige nationale Behörde mit ausreichender Finanz- und Personalausstattung für die Prävention von NIS-Risiken und ‑vorfällen sowie den Umgang damit und die Reaktion darauf benennen.
2. Ein Kooperationsmechanismus zwischen Mitgliedstaaten und Kommission muss geschaffen werden für den Austausch von Frühwarnungen vor Sicherheitsrisiken und ‑vorfällen über eine sichere Infrastruktur, für die Koordinierung und für die Durchführung regelmäßiger gegenseitiger Überprüfungen.
3. Betreiber kritischer Infrastrukturen in bestimmten Bereichen (Finanzdienste, Verkehr, Energie und Gesundheitswesen), Betreiber zentraler Dienste der Informationsgesellschaft (vor allem App-Stores, Ecommerce-Plattformen, Internet-Zahlungen, Cloud Computing, Suchmaschinen, soziale Netze) und öffentliche Verwaltungen müssen Risikomanagementmethoden einführen und große Sicherheitsvorfälle in ihren Kerndiensten melden.
Yves Le Roux, Mitglied des (ISC)² European Advisory Board und Principal Consultant bei CA Technologies, kommentiert die Meldepflicht: „Bislang gelten in den verschiedenen Staaten unterschiedliche Schwellenwerte, ab wann und wie schnell ein Datenverlust gemeldet werden muss. Zudem unterscheiden sie sich in der Frage, ob betroffene Privatpersonen, Regulierungsinstanzen oder beide Gruppen informiert werden müssen. Der neue Vorschriftenentwurf verlangt, dass Datenschutzbeauftragte aller Sektoren ihre Aufsichtsbehörde über Verletzungen der Datensicherheit bei persönlichen Daten informieren.“ Aktueller Stand ist eine Meldefrist von 24 Stunden, doch diese befindet sich derzeit noch auf dem Prüfstand. So hat der Ausschuss für bürgerliche Freiheiten, Justiz und Inneres des Europäischen Parlaments vorgeschlagen, den Zeitraum auf 72 Stunden auszuweiten. „Auch die Unterrichtung von Privatpersonen ist umstritten: Privatpersonen sollten nur benachrichtigt werden müssen, wenn ihre Privatsphäre durch einen Datenverlust erheblich beeinträchtigt werden könnte“, so Yves Le Roux. (su)
Be the first to comment