Die Verhandlungsführer des EU-Rates und des EU-Parlaments haben sich erstmals auf gemeinsame Regeln zur Netzwerk- und Informationssicherheit (Cyber-Security) geeinigt. Die Mitgliedsstaaten sollen insbesondere dazu angehalten werden, nationale Meldesysteme einzurichten und Informationen untereinander auszutauschen. Beteiligt werden sollen für Datensicherheit zuständige, kompetente Behörden wie das Bundesamt für Sicherheit in der Informationstechnik (BSI), sowie spezielle "Computer Security Incident Response Teams", die auch die Aufgaben von "Computer Emergency Response Teams" übernehmen sollen.

Die Auflagen sollen generell für Betreiber und Anbieter grundlegender Dienste etwa in den Bereichen Energie, Wasserversorgung, Transport, Finanzwesen, Gesundheit und Internet gelten. Dort werden konkret KRITIS-Unternehmen, sowie Online-Marktplätze, Suchmaschinen und Cloud-Anbieter genannt. Betreiber sozialer Netzwerke sind bisher nicht von den neuen Regelungen betroffen, werden jedoch mit dem neuen EU-Datenschutzgesetz in die Pflicht genommen, ihre Daten zukünftig besser zu schützen.

Den vollständigen Inhalt der Pressemitteilung finden Sie hier.

Einen aktuellen Blog-Eintrag hierzu finden Sie hier.

Hintergrund:

Deutschland hat mit dem gültigen IT-Sicherheitsgesetz die Anforderungen aus der EU -Richtlinie bereits weitgehend in nationales Recht überführt. Darüber hinaus bestehen konkrete Vorgaben bei digitalen Angriffen mit nachrichtendienstlichem Hintergrund.

Die Pflichten aus dem IT-Sicherheitsgesetz sollten bis spätestens 2017 für KRITIS-Unternehmen umgesetzt werden. Die betroffenen Unternehmen stehen somit vor der Herausforderung, ihre IT-Sicherheitskonzepte- und -strukturen zu überarbeiten. Der Mindeststandard des BSI beinhaltet insbesondere folgende Vorgaben:

• Die Pflicht zur Einführung eines Mindeststandards für IT-Sicherheit gemäß gängigem Standard. Dies erfordert aufgrund der erhöhten IT-Sicherheitsanforderungen in der Regel eine Anpassung der Schutzziele und eine Neubewertung der IT-Sicherheitsvorgaben.
• Die Pflicht zur Durchführung regelmäßiger Audits zur IT-Sicherheit (mindestens alle 2 Jahre) Insbesondere müssen die IT-Systeme regelmäßig auf mögliche Lücken überprüft werden, um nachfolgend aufgetretene Lücken zeitnah schließen zu können (Härtung der Hardware-, Software- und Infrastrukturen).
• Die Meldepflicht von IT-Sicherheits- und Datenschutzverstößen, sowie von IT-Angriffen mit Schadenspotential (externe und interne Quellen) gegenüber dem BSI.

Wenn die EU-einheitlichen Cybersicherheitsregelungen in der derzeitigen Form umgesetzt werden, stehen die nationalen Aufsichtsbehörden vor großen Herausforderungen. So muss der deutsche Gesetzgeber in jedem Falle darauf achten, dass es nicht zu Unstimmigkeiten zu dem erst kürzlich in Kraft getretenen nationalen IT-Sicherheitsgesetz kommt.