IT-Recht

EU beschließt erste Cybersecurity-Richtlinie

Innerhalb von digitalen Informationssystemen kann es immer wieder zu sicherheitsrelevanten Zwischenfällen beispielsweise durch technische Störungen oder böswillige Angriffe kommen. Betreffen diese die Versorgung von wesentlichen Dienstleistungen führen die Auswirkungen der Angriffe für den Endverbraucher zu erheblichen Schäden.

EU beschließt erste Cybersecurity-Richtlinie © benqook - Fotolia

EU beschließt erste Cybersecurity-Richtlinie © benqook – Fotolia

Damit in Zukunft solche kritischen Mängel schneller behoben werden können, hat man sich nun auf eine Richtlinie zur Netzwerk- und Informationssicherheit geeinigt.

Bereits seit 2013 hat man im Rahmen der EU-Cybersecurity-Richtlinie an Lösungen gearbeitet, die IT bei Betreibern kritischer Infrastrukturen und großen Online-Dienstleistern sicherer zu machen. Anfang dieser Woche legte man nun den Inhalt der Richtlinie fest.

Meldepflichten zur Verbesserung der nationalen Cyber-Fähigkeiten

Zukünftig sollen Meldungspflichten an die zuständigen Behörden bestehen, wenn es Sicherheits- und Datenschutzpannen oder IT-Angriffe gibt. Ebenso sollen die Systeme auf mögliche Lücken überprüft werden, die dann ausgebessert werden können.

Verpflichtet werden sollen insbesondere Betreiber von „essenziellen Dienstleistungen“, wie die Energieversorgung, Transport, Bankenwesen. Gesundheit, Wasserversorgung und digitale Infrastrukturen. Zu den digitalen Infrastrukturen gehören Betreiber von Internetknotenpunkten, DNS-Provider und TLD-Registrare.

Aber auch digitale Dienstleister, wie Online-Marktplätze, Cloud-Computing-Services und Suchmaschinen sollen unter die Meldepflicht fallen.

Zur Senkung von Bürokratiekosten sind soziale Netzwerke und kleine und mittlere Unternehmen von der Regelung ausgenommen.

Austausch zwischen den Mitgliedstaaten zur Verbesserung der Zusammenarbeit

Ebenso soll es zu einem erhöhten Austausch zwischen den Mitgliedstaaten kommen.

„Ein Problem in einem Land könnte einen Domino-Effekt für den Rest für Europa haben“, so AndrusAnsip Vizepräsident der Europäischen Kommission für den digitalen Binnenmarkt. Nur eine EU-weite, einheitliche Cybersecurity-Lösung und eininternationaler Austausch könne eine schnelle Lösung bringen.

Dazu sollen die Mitgliedstaaten sogenannte „Computer Emergency Response Teams“ (CERTs) einrichten. Bei der Umsetzung der Richtlinie und zur generellen Unterstützung soll die Europäische Agentur für Netzwerk- und Informationssicherheit zur Verfügung stehen.

Umsetzung durch die Mitgliedstaaten

Das EU-Parlament muss den Regelungen nun noch zustimmen. Dann haben die Mitgliedstaaten 21 Monate Zeit, um die Regelung in nationales Recht umzusetzen.

In Deutschland gibt es bereits seit Juli diesen Jahres ein IT-Sicherheitsgesetz, in dem bestimmte Meldepflichten festgesetzt sind.

Diese bestehen aber erst einmal nur für Provider und Kernkraftwerksanbieter, nicht aber für andere Anbieter kritischer Infrastrukturen.Die Bundesregierung wird nun vor die Aufgabe gestellt sein, die nationalen Regelungen an die Richtlinie anzupassen.

Christian Solmecke ist Partner der Kanzlei WILDE BEUGER SOLMECKE und inbesondere in den Bereichen des IT-, des Medien- und des Internetrechts tätig. Darüber hinaus ist er Autor zahlreicher juristischer Fachveröffentlichungen in diesen Bereichen.

Gefällt Ihnen der Artikel? Bewerten Sie ihn jetzt:

1 Stern2 Sterne3 Sterne4 Sterne5 Sterne (Noch keine Bewertungen)

RSSKommentare (0)

Kommentar schreiben | Trackback URL

Kommentar schreiben

Mit dem Absenden des Kommentars erklären Sie sich mit den Datenschutzbestimmungen einverstanden.

Jetzt unseren Newsletter abonnieren

E-Mail-Adresse eingeben und immer auf dem Laufenden bleiben:
×