Europa einigt sich auf Cybersecurity-Richtlinie: Wirt­schaft­li­cher Schaden bisher - 340 000 000 000 Euro

Die Öffentlichkeit hat sich in den vergangenen Jahren an die täglichen Meldungen über schwerwiegende Hackerangriffe gewöhnt. Dass nicht nur große Unternehmen den Angriffen ausgesetzt sind, sondern auch die Privatnutzer selbst, gerät trotz der Kenntnis über die Gefahrenlage jedoch oft in Vergessenheit. Zu groß sind der Komfort und die spielerischen Möglichkeiten, die durch die fortschreitende Vernetzung entstehen. Da passt es ins Bild, dass Hacker jüngst durch die Ausnutzung von Software-Schwachstellen in vernetztem Lernspielzeug des Unternehmens VTech mehrere Millionen sensible Datensätze erbeuteten.

Auf europäischer Ebene konnte nun eine Einigung über die Verabschiedung einer Richtlinie zur Gewährleistung einer hohen Netz- und Informationssicherheit (NIS-Richtlinie) erzielt werden, die für eine allgemeine Steigerung des Niveaus an IT-Sicherheit in der EU sorgen soll. Der Einigung in den Trilog-Verhandlungen zwischen Kommission, Rat und Parlament vom 7. Dezember waren langwierige Auseinandersetzungen vorausgegangen, ob und in welcher Form eine europäische Regelung getroffen werden kann. Die Diskussionsbasis bildete hierfür ein Kommissionsentwurf aus dem Jahr 2013, auf den das Parlament im Jahr 2014 mit mehreren Änderungsvorschlägen reagiert hatte. Begleitet wurde das Unterfangen von Kursänderungen, die ihren Ursprung in Wechseln der Ratspräsidentschaft fanden.

340 Milliarden* Euro Schäden durch Cyberkriminalität

Die beschlossene NIS-Richtlinie verpflichtet die Mitgliedstaaten sowohl dazu, auf nationaler Ebene gesetzliche Regelungen zu treffen, als auch an einem europäischen Austauschsystem über IT-Sicherheitsvorfälle teilzunehmen. Wesentliche Ziele der Richtlinie sind die Eindämmung wirtschaftlicher Schäden durch Cyberkriminalität, die derzeit von der Kommission auf bis zu 340 Milliarden* Euro jährlich geschätzt werden, und der Schutz der Internetnutzer vor den Gefahren aus dem Cyberraum. Durch die vorgesehene Kooperation zwischen den Mitgliedstaaten sollen die nationalen Unternehmen in der Lage sein, sich frühzeitig gegen drohende Cyberattacken zu wappnen.

Eine wesentliche Herausforderung der europäischen Übereinkunft lag in der Festlegung der Unternehmen, die von den Regelungen erfasst sind. Die Adressaten von gesetzlichen Maßnahmen sind nun Unternehmen aus den Sektoren Energie, Transport, Bank- und Finanzwesen, Gesundheit und Wasser als "Erbringer wesentlicher Dienstleistungen". Eine genaue Benennung der Adressaten obliegt den Mitgliedstaaten. Diese Unternehmen müssen robuste IT-Infrastrukturen schaffen, damit bereits möglichst viele digitale Angriffe abgewehrt werden können. Zudem müssen sie entdeckte Sicherheitslücken und Angriffe an nationale staatliche Instanzen melden.

Internetkonzerne wie eBay und Amazon als Onlinehändler oder Google als Suchmaschinenbetreiber werden in die Pflicht genommen, ihre Bemühungen zum Schutz ihrer IT-Systeme zu verstärken oder aufrechtzuerhalten. Ferner müssen Cloud-Anbieter Schutzvorkehrungen treffen, wohingegen die NIS-Richtlinie an die Betreiber sozialer Netzwerke keine spezifischen Anforderungen stellt. Kleinere Unternehmen werden von den gesetzlichen Verpflichtungen ebenfalls ausgenommen.

Den Mitgliedstaaten steht es jedoch frei, über die Richtlinie hinausgehend auch Unternehmen minderer Größe zu verpflichten. Oftmals erbringen gerade diese Unternehmen, beispielsweise als Zulieferer oder Kooperationspartner in einer Lieferkette, elementare Dienstleistungen, sodass von ihnen zumindest gewisse Schutzvorkehrungen erwartet werden können. Internetkonzerne wie eBay, Amazon oder Google ergreifen schon in eigenem Interesse Schutzmaßnahmen, die höchsten Anforderungen genügen.

* Anm. d. Red.: Hier stand zunächst irrtümlich Billionen. Geändert am 15.12.2015, 11:18.