Unabhängige Kompetenz-Plattform
für Integrierte Sicherheit in der Schweiz.

13.01.2016
von: Ursula Widmer - ISSS

EU Richtlinie zur Netzwerk- und Informationssicherheit

Das EU Parlament und der Ministerrat haben sich auf einen gemeinsamen Entwurf für eine Richtlinie zur Netzwerk- und Informationssicherheit geeinigt. Diese sogenannte NIS-Richtlinie (Network and Information Security Directive) schafft EU-weite Vorgaben für die Cybersicherheit.

Sie richtet sich an die Mitgliedstaaten und zielt auf die Verbesserung von deren Kapazitäten sowie der zwischenstaatlichen Kooperation im Bereich Cybersicherheit ab. So müssen die Mitgliedstaaten eine nationale NIS-Strategie erarbeiten, in welcher strategische Ziele sowie politische und rechtliche Massnahmen zur Cybersicherheit festgelegt werden. Weiter müssen sie neben den für die Anwendung der Richtlinie zuständigen Behörden auch Soforteinsatzteams (sogenannte Computer Security Incident Response Teams, CSIRTs) für die Bewältigung von Sicherheitsvorfällen und -risiken benennen. Eine Kooperationsgruppe soll die Zusammenarbeit und den Informationsfluss zwischen den Mitgliedstaaten fördern und die CSIRTs in den einzelnen Staaten vernetzen.

Die Richtlinie enthält auch Vorgaben für Unternehmen, welche kritische Infrastrukturen betreiben. Dabei unterscheidet die Richtlinie zwischen sogenannten "Betreibern unerlässlicher Dienste" in den Sektoren Energie, Verkehr, Bank- und Finanzwesen, Gesundheit, Wasserversorgung und digitale Infrastrukturen (Betreiber von Internet-Knoten, DNS-Hosting-Anbieter, Top-Level-Domainnamen-Registrierungsstellen) und sogenannten "Anbietern digitaler Dienste".

Die Mitgliedstaaten haben diejenigen Unternehmen zu bestimmen, welche in ihrem Gebiet als "Betreiber unerlässlicher Dienste" gelten. Diese Unternehmen sind verpflichtet, angemessene Sicherheitsmassnahmen zu treffen und erhebliche Sicherheitsvorfälle den zuständigen Behörden zu melden. Auswahlkriterien, ob Unternehmen "Betreiber unerlässlicher Dienste" sind, ist die Bedeutung des Unternehmens für die Gesellschaft und Wirtschaft eines Landes, die Abhängigkeit des Unternehmens von Netzwerken und Informationssystemen und die möglichen Auswirkungen eines Sicherheitsvorfalls auf den Geschäftsbetrieb oder die öffentliche Sicherheit.

Als "Anbieter digitaler Dienste" gelten Anbieter von Suchmaschinen, wie z.B. Google, Online-Marktplätzen, wie z.B. eBay, und Cloud-Computing-Diensten, wie z.B. Amazon Web Services. Sie sind verpflichtet, Sicherheitsmassnahmen vorzukehren und Sicherheitsvorfälle an die Behörden zu melden. Für Kleinunternehmen sind allerdings Ausnahmen vorgesehen.

Nach der politischen Einigung über den Entwurf muss dieser nun noch formell vom EU Parlament und dem Ministerrat angenommen werden. Nach Inkrafttreten haben die Mitgliedstaaten 21 Monate Zeit, die Richtlinie in nationale Gesetze zu überführen und weitere 6 Monate, um die "Betreiber unerlässlicher Dienste" zu benennen.


Security-Finder Schweiz: Newsletter