Die EU macht einen Anfang in der IT-Sicherheit, mehr nicht

Gestern Nacht sind die Trilogverhandlungen zur Richtlinie für Netzwerk- und Informationssicherheit (NIS) mit einem Kompromiss zu Ende gegangen. Die EU macht damit immerhin einen kleinen Schritt hin zu mehr Cybersicherheit im Bereich kritischer Infrastrukturen und bei großen Anbietern digitaler Dienste. Verbraucherinnen und Verbrauchern wird die NIS-Richtlinie etwas, aber nicht viel mehr Schutz ihrer Daten bieten.

Es ist erst eine Woche her, da machte ein Spielzeughersteller Schlagzeilen mit einem riesigen Datenleck: Daten von 6,4 Millionen Kinderprofilen weltweit, 509.000 in Deutschland – Kindern, die Lernsoftware und Spiele des Herstellers genutzt hatten – sind erbeutet worden.

ENISA, die EU-Agentur für Netzwerk- und Informationssicherheit, geht von jährlichen Schäden von 260 bis 340 Milliarden Euro durch Cyberattacken und fehlerhafte Systeme aus.

Gestern Nacht sind die Trilogverhandlungen zur Richtlinie für Netzwerk- und Informationssicherheit (NIS) mit einem Kompromiss zu Ende gegangen. Die EU macht damit immerhin einen kleinen Schritt hin zu mehr Cybersicherheit im Bereich kritischer Infrastrukturen und bei großen Anbietern digitaler Dienste.

Verbraucherinnen und Verbrauchern wird die NIS-Richtlinie etwas, aber nicht viel mehr Schutz ihrer Daten bieten. Verpflichtende Meldungen und Austausch über Vorfälle wird das Gesetz aber bringen.

Die NIS-Richtlinie verpflichtet Betreiber kritischer Infrastrukturen, sich vor Cyberattacken besser zu schützen – Energiekonzerne, Banken und Finanzdienstleister, Kliniken, Flughäfen, Wasserversorger. Unternehmen müssen Sicherheitslücken und Angriffe auf ihre Systeme schneller melden, die Mitgliedstaaten müssen sich besser austauschen. Ein Netzwerk von IT-Sicherheitsbehörden wie dem Bundesamt für Sicherheit in der Informationstechnik soll grenzüberschreitende Vorfälle untersuchen und auf diese reagieren.

Digitale Diensteanbieter wie Suchmaschinen, Cloud Services und e-commerce-Plattformen sind nach langen Verhandlungen ebenfalls in die Richtlinie aufgenommen worden. Das EU-Gesetz schafft für letztere einen einheitlichen Standard, allerdings auf niedrigem Niveau. Kleine Unternehmen sollen von der Regelung gänzlich ausgenommen sein.

Nach der NIS-Richtlinie fehlt weiterhin ein genereller Mindeststandard für die Sicherheit von Hard- und Software. Wir brauchen eine Produkthaftung in diesem Bereich. Jede fehlerhafte App kann schwerwiegende Konsequenzen bedeuten, für die genannten kritischen Infrastrukturen, aber auch in allen anderen Lebensbereichen. Die EU-Kommission muss hierzu neue und sehr viel weitgehendere Vorschläge machen.