Angriffe auf kritische Infrastrukturen wie Stromnetze sollen künftig meldepflichtig sein.
Betreiber „wesentlicher“ Infrastrukturen und Dienste in der EU müssen bald Cyberangriffe melden, für Digitalplattformen wie soziale Netzwerke sollen abgestufte Regeln gelten. Darauf haben sich EU-Rat und Parlament geeinigt.
Die lettische Ratspräsidentschaft, die am Mittwoch den Stab an Luxemburg weitergibt, hat nach eigenen Angaben bei den Verhandlungen über die geplante Richtlinie für Netzwerk- und Informationssicherheit einen ?Durchbruch? erzielt. Demnach haben sich Vertreter des EU-Parlaments und der Mitgliedsstaaten am Montag auf Grundzüge eines Kompromisses verständigt. Er sieht vor, dass Angriffe auf ?wesentliche? Infrastrukturen oder Dienste sowie Sicherheits- und Datenschutzpannen bei den zuständigen Behörden gemeldet werden müssen. Hierzulande wäre dafür da Bundesamt für Sicherheit in der Informationstechnik (BSI) zuständig.
Kritische Infrastrukturen
Die Mitgliedsstaaten sollen die betroffenen Unternehmen anhand vorgegebener Kriterien auswählen. Dabei geht vor allem um „kritische Infrastrukturen“ für Energie, Verkehr, Banken, Finanzmarkt und Gesundheit. Bis zuletzt war vor allem umstritten, ob die Auflagen auch für soziale Netzwerke, Cloud-Dienste oder Suchmaschinen gelten sollen. Der Kompromiss sieht nun vor, solche Plattformen nicht ganz außen vor zu lassen und ihnen unterschiedliche Vorgaben zu machen. Details müssen auf der Arbeitsebene noch vereinbart werden. Dies gilt auch für die Frage, in welchem Umfang öffentliche Stellen einbezogen werden.
Die EU-Länder müssen „kompetente Behörden“ als Ansprechpartner benennen und „Computer Security Incident Response Teams“ (CSIRTs), die gegebenenfalls bereits bestehende „Computer Emergency Response Teams“ (CERTs) ergänzen oder ersetzen. Einmal im Jahr sollen die Ansprechpartner in den Ländern einen anonymisierten Bericht über erhaltene Hinweise und daraufhin eingeleitete Maßnahmen an eine EU-Kooperationsgruppe schicken.
IT-Sicherheitsgesetz
Einzelheiten etwa zur Weitergabe von Informationen auch an die Öffentlichkeit werden unter der luxemburgischen Ratsspitze noch zu besprechen sein. Dem Kompromiss müssen dann noch das Parlament und der Rat formell zustimmen. Hierzulande ist der Gesetzgeber mit einem eigenen IT-Sicherheitsgesetz bereits vorgeprescht, das anhand der Richtlinie eventuell noch einmal zu überarbeiten sein wird. (Stefan Krempl) / (vbr)