Cyber Security Richtlinie beschlossen

EU Parlament und Ministerrat haben heute eine Cyber Security Richtlinie beschlossen.

EU Parlament und Ministerrat haben heute eine Cyber Security Richtlinie beschlossen.

EU Parlament und Ministerrat haben sich in der neuen Cyber Security Richtlinie für die EU darauf geeinigt das Marktführer wie Amazon Ebay, Google und Microsoft, bestimmte Übergriffe sowie Datenverluste melden müssen. Diese Richtlinie sieht bei Verstößen auch Sanktionen  vor.

Eine Meldepflicht für Cyber Attacken und Datenverluste gibt es nur für einige wenige Branchen oder Diensteanbieter.

Andres Schwab (Berichterstatter des EU Parlaments) schreibt hierzu in seiner Pressemeldung: “Heute wurde ein Meilenstein erreicht: Wir haben uns auf die erste EU-weiten Cybersecurity-Regeln geeinigt, für die sich das Parlament seit Jahren einsetzt Die Mitgliedstaaten müssen im Bereich Cybersecurity enger zusammenarbeiten – was angesichts der aktuellen Sicherheitslage in Europa noch wichtiger ist.”

Diese Netzwerk und Informations Sicherheits Directive macht es zur Pflicht für die EU-Mitgliedstaaten, kritische Unternehmen und Diensteanbieter aus den Bereichen Energie, Finanzwesen, Gesundheit, Transport und Wasserversorgung zu benennen.

Als maßgebende Kriterien gelten:

  • Die Bedeutung dieser Marktteilnehmer für die Gesellschaft und die Wirtschaft des jeweiligen Mitgliedslandes
  • Die Abhängigkeiten von Netzwerken und Informationssystemen
  • Die Antwort auf die Frage: Hat ein Vorfall erhebliche Auswirkungen auf den Geschäftsbetrieb oder die öffentliche Sicherheit und Ordnung?

Diese gelisteten Marktteilnehmer müssen Maßnahmen umsetzen, um sich gegen Angriffe zu schützen, und wesentliche Cybervorfälle gegenüber den Behörden offenlegen. Diese Regeln gelten auch für einige Cloud-Anbieter, Internet-Provider , Online-Marktplätze und Suchmaschinen. Kleine und Mittelständische (KMU’s) Unternehmen sindvon den Regelungen ausgenommen.

Netz Sicherheit durch Cyber Security Richtlinie

Andrus Ansip (zuständiger EU Kommissar)  erklärte daß die Europäische Union mit der Industrie eine Ambitionierte Partnerschaft anstrebe um sichere Produkte und Dienstleistuingen zu entwickeln und anzubieten.

Die Netzwerk und Informations Sicherheits Directive ist allerdings erst ein Entwurf, dem EU-Parlament und Ministerrat noch zustimmen müssen. Erst danach kann die Richtlinie in Kraft treten. Die EU Mitgliedstaaten haben danach 21 Monate Zeit, die Richtlinie in nationales Recht zu integrieren. Weitere 6 Monate Zeit bleiben den Staaten, um die Betreiber essentieller Dienste zu benennen.

Andrew Rogoyski (Head of Cybersecurity bei CGI) geht davon aus, daß Cybervorfälle stärker ins Blickfeld der Bürger rücken und Sicherheit’s Bedenken schüren.

“Die Verpflichtung, einen Vorfall öffentlich zu erklären, lässt CEO’s allerorten erschauern. Die Richtlinie wird erhebliche Auswirkungen auf die Cybersicherheit haben, da ganze Branchen verpflichtet werden, ihre Vorfälle offenzulegen.”

Quelle: EU Parlament