Der Tagesspiegel berichtet in seinem Artikel, dass Ende Oktober hat der EU-Ausschuss für Industrie, Forschung und Energie des EU-Parlaments (ITRE) einen neuen Entwurf der Richtlinie zur Netz- und Informationssicherheit (NIS-Richtlinie) beschlossen. Die NIS-Richtlinie hat das Ziel, das Informationssicherheitsniveau in der gesamten Europäischen Union (EU) zu steigern und muss, sobald in Kraft getreten, von allen Mitgliedsstaaten innerhalb von zwei Jahren in nationales Recht umgesetzt werden. Somit lohnt sich ein Blick auf den Entwurf, um sich frühzeitig über mögliche Änderungen bewusst zu sein und dementsprechend planen zu können.
Die erste Änderung, im Vergleich zur bereits bestehenden NIS-Richtlinie, liegt dabei in ihrem Geltungsbereich. Unter anderem sollen in dem neuen Entwurf auch Betreiber aus dem Bereich Bildung und Forschung erfasst werden. Darunter würden dann auch Hochschul- und Forschungseinrichtungen fallen, die in Deutschland bisher nicht von Regelungen wie etwa der KRITIS-Verordnung betroffen waren. Aber auch die Größe von Unternehmen soll nach der neuen Richtlinie keine Rolle mehr spielen, zuvor waren Betreiber mit weniger als 50 Beschäftigten von der Richtlinie ausgeschlossen worden. Für von der Richtlinie erfasste Unternehmen sollen dazu noch zusätzliche Maßnahmen zur Disaster Recovery, dem Back-up-Management, regelmäßige Cybersicherheitstrainings oder -schulungen und Multi-Factor-Authentification zur Pflicht werden. Insgesamt würde diese Erweiterung dafür sorgen, dass viele Unternehmen und vor allem Bildungseinrichtungen im Bereich Informationssicherheit erheblich nachrüsten müssten.
In Hinblick auf die Meldepflicht, sollen von einem Cybervorfall betroffene Unternehmen in Zukunft eigenständig die Empfänger ihrer Dienste benachrichtigen und auch die Datenaufsichtsbehörde alarmieren, falls persönliche Daten von dem Vorfall betroffen sind. Bei gravierenden Folgen für die Wirtschaft oder Gesellschaft müssen auch die zuständigen Computer Security Incident Response Teams (CSIRTs) bei der Bewältigung des Vorfalls miteingebunden werden. Von einem Cybervorfall betroffene Unternehmen hätten dadurch einen deutlich kleineren Spielraum, was ihre Reaktion und Krisenkommunikation angeht.
Was das Sicherheitsbewusstsein angeht, soll eine einheitliche Sicherheitspolitik für kleine und mittlere Unternehmen (KMU) und einheitliche Kontaktstellen für diese Unternehmen implementiert werden, um KMU bei der Umsetzung von Cybersicherheitsmaßnahmen zu unterstützen. Aber auch das Bewusstsein für Cybersicherheit aller Bürger*innen soll durch die Entwicklung einer „Cyberhygienepolitik“ und die Schulung im Umgang mit Internet of Things-Produkten (IoT-Produkten) erhöht werden. Diese Themen werden zwar bereits auf nationaler Ebene betrachtet, eine Erwähnung in der Richtlinie sollte aber zweifelsohne den Prozess der Implementierung deutlich beschleunigen.
Weitere Punkte aus der Richtlinie befassen sich mit Politikansätzen für aktive Cyberverteidigung, dem Einsatz von Künstlicher Intelligenz (KI) im Bereich Cybersicherheit, dem Nutzen von Open-Source-Produkten und den Public-Private Partnerships (PPP). Im Bereich aktive Cyberverteidigung soll vor allem definiert werden, welche proaktive Mittel zur Vorbeugung, Erkennung, Überwachung, Analyse und Abschwächung bei Cyberkriminalität eingesetzt werden können. In Hinblick auf die Themen KI und Open-Source-Produkten soll geklärt werden, inwiefern diese die Innovation in der IT-Sicherheit weiter vorantreiben und somit in der Zukunft einen wichtigen Beitrag leisten können. Was die Public-Private-Partnerships betrifft, soll politisch der richtige Rahmen für Wissensaustausch und Kooperation geschaffen und Bestrebungen in diese Richtung gefördert werden.
Zu guter Letzt geht es in dem Entwurf noch um die European Union Agency für Cybersecurity (ENISA). Diese soll demnach in Zukunft für die Formulierung von Maßgaben zur Umsetzung von Sicherheitsmaßnahmen und die Entwicklung von Meldetemplates und Standards für die Sicherheitsvorfall-Abwehr zuständig sein. Auch soll sie eine EU übergreifende Datenbank zu Cyberschwachstellen verwalten und einen jährlichen Bericht zur Cybersicherheitslage der EU veröffentlichen.
Den ganzen Artikel des Tagespiegels finden Sie hier