Werbung

Im Schatten der GDPR: Die NIS -Richtlinie rückt Dienste und IT-Infrastruktur in den Vordergrund

Share on facebook
Share on twitter
Share on linkedin
Share on xing
Share on whatsapp
Share on email
Share on print

Im Schatten der GDPR: Die NIS -Richtlinie rückt Dienste und IT-Infrastruktur in den Vordergrund

Share on facebook
Share on twitter
Share on linkedin
Share on xing
Share on whatsapp
Share on email
Share on print

Beim Thema Cybersicherheit steht vor allem mit dem Diebstahl personenbezogener und vertraulicher Daten durch Hacker im Fokus. Die gesetzlichen Meldepflichten waren dabei nur auf das Entwenden oder die Weitergabe personenbezogener Daten durch unbefugte Nutzer bezogen. Im Klartext: auf Datendiebstahl. Zunehmend rückt aber auch der (gesetzliche) Schutz der Infrastruktur und das Informationssystem als Ganzes ins Blickfeld.

Beim Thema Cybersicherheit steht vor allem mit dem Diebstahl personenbezogener und vertraulicher Daten durch Hacker im Fokus. Die gesetzlichen Meldepflichten waren dabei nur auf das Entwenden oder die Weitergabe personenbezogener Daten durch unbefugte Nutzer bezogen. Im Klartext: auf Datendiebstahl. Zunehmend rückt aber auch der (gesetzliche) Schutz der Infrastruktur und das Informationssystem als Ganzes ins Blickfeld.

So wird es durch die neue NIS-Richtlinie der EU bald nicht mehr ausreichen, nur bestimmte Arten von Daten zu schützen. Vielmehr werden Unternehmen sich gezwungen sehen, das gesamte IT-System zu sichern und darüber hinaus alle Versuche, die IT-Infrastruktur zu beeinträchtigen oder ihren Zusammenbruch hervorzurufen, bei den Regulierungsbehörden zu melden.

Schutz im Netz

Die auf diesem Gebiet verabschiedeten Gesetze und Richtlinien – wie das (bislang freiwillige) Rahmenwerk zur Computer- und Netzsicherheit kritischer Infrastrukturen (Critical Infrastructure Cybersecurity, CIS) der USA, die kanadischen Cybersicherheitsinitiativen – dienen dem Schutz wesentlicher Infrastrukturen in den Bereichen Telekommunikation, Finanzen, Gesundheitswesen, Chemie und Transport. Der Grund ist, dass Cyberkriminalität, die sich beispielsweise gegen das IT-Netzwerk der Zentralbank oder eines Kernkraftwerkes richtet, anders behandelt werden sollte als ein Angriff auf eine Dating-Plattform.

Natürlich ist ein Angriff auf ein IT-System immer eine schwerwiegende und potenziell kostspielige Straftat. Doch wenn es um wesentliche Infrastrukturen geht und die Tat nicht eindeutig aus finanziellen Motiven begangen wird, bewegen wir uns langsam in Richtung Cyberspionage oder Cyberattacken im Auftrag von Regierungen. Mit anderen Worten: Wenn Geldautomaten plötzlich kein Geld mehr ausgeben, Mobilfunknetze nicht mehr funktionieren oder Google falsche Antworten gibt, können das Anzeichen für einen Cyberkrieg oder zumindest einen Angriff sein.

Wesentliche und digitale Dienste

Wie schon mit der 1995 in Kraft getretenen Datenschutzrichtlinie ist die EU anderen Teilen der Welt auch bei der Formalisierung von Gesetzen zur Meldung von Cyberattacken weit voraus. Die EU-Richtlinie für Netz- und Informationssicherheit wurde ursprünglich 2013 ausgearbeitet und im vergangenen Juli schließlich verabschiedet. Nachdem es sich um eine Richtlinie handelt, sind die EU-Staaten dazu verpflichtet, sie innerhalb einer Übergangsphase von zwei Jahren in nationales Recht umsetzen. Im Verlauf von weiteren sechs Monaten müssen sie Unternehmen für die Bereitstellung wesentlicher Dienste auswählen.

Artikel 14 sieht vor, dass die Betreiber wesentlicher Dienste (hierunter fallen Betreiber „kritischer Infrastrukturen“ wie Unternehmen der Energie-, Verkehrs-, Finanz- und Gesundheitswirtschaft) „geeignete und verhältnismäßige technische und organisatorische Maßnahmen ergreifen, um die Risiken für die Sicherheit der Netz- und Informationssysteme, die sie für ihre Tätigkeiten nutzen, zu bewältigen“. Sie sind außerdem verpflichtet, Sicherheitsvorfälle mit erheblichen Auswirkungen unverzüglich einem Computer-Notfallteam (CSIRT, Computer Security Incident Response Team) zu melden. Artikel 16 enthält ähnliche Regelungen, die speziell für Anbieter digitaler Dienste gelten, worunter in der EU Cloud-Computing-, E-Commerce- und Suchdienstanbieter fallen.

Die CSIRTs bilden das Herzstück der NIS-RL. Sie sammeln nicht nur Daten zu Sicherheitsvorfällen, sondern sind auch für die Überwachung und Analyse bedrohlicher Aktivitäten auf nationaler Ebene, für die Ausgabe von Warnungen und Alarmmeldungen und für den Austausch von Informationen, unter anderem zu erkannten Bedrohungen, zuständig. Ihre Zuständigkeiten entsprechen in etwa denen des National Cybersecurity and Communications Integration Center (NCCIC) des US-Ministeriums für Innere Sicherheit.

Was ist gemäß NIS-RL unter einem „Sicherheitsvorfall“ zu verstehen?

Darunter fallen „alle Ereignisse, die tatsächlich nachteilige Auswirkungen auf die Sicherheit von Netz- und Informationssystemen haben“. Unternehmen, die als Betreiber wesentlicher Dienste gelten, haben einen gewissen Entscheidungsspielraum im Hinblick auf die Meldung von Vorfällen bei einem CSIRT. Um festzustellen, ob es sich um einen meldepflichtigen Vorfall mit erheblichen Auswirkungen handelt, muss das Unternehmen die Zahl der betroffenen Nutzer, die Dauer und die geografische Ausbreitung in Betracht ziehen. Anbieter wesentlicher digitaler Dienste müssen darüber hinaus die Auswirkungen der Störung auf „wirtschaftliche und gesellschaftliche Tätigkeiten“ berücksichtigen.

Heißt das, dass ein Angriff auf Facebook in der EU, der die Nachrichtenübermittlung oder die Aktualisierung des Status lahmlegt, beispielsweise künftig gemeldet werden müsste? Als Nichtjurist kann man durchaus geneigt sein, Facebook-Aktivitäten als wichtige gesellschaftliche Tätigkeiten zu betrachten, wobei Juristen dies wohl anders sehen. Es gibt also offensichtlich noch einige Unwägbarkeiten in Bezug auf die NIS-RL, die weitere Erläuterungen der Regulierungsbehörden erforderlich machen. Eines ist aber sicher: Die Sicherheit ihrer Systeme wird für viele Unternehmen zur Chefsache.

Autor: Varonis

(jm)

 

Share on facebook
Facebook
Share on twitter
Twitter
Share on linkedin
LinkedIn
Share on xing
XING
Share on whatsapp
WhatsApp
Share on email
E-Mail
Share on print
Drucken

Ihre Meinung zum Artikel

Abonnieren
Benachrichtige mich bei
guest
0 Comments
Inline Feedbacks
View all comments

Andere Leser haben sich auch für die folgenden Artikel interessiert

Werbung

Top Jobs

Data Visualization App/BI Developer (m/f/d)
Simon-Kucher & Partners, Germany/Bonn or Cologne
› weitere Top Jobs
Werbung

Redaktionsbrief

Tragen Sie sich zu unserem Redaktionsbrief ein, um auf dem Laufenden zu bleiben.

Werbung
Werbung

Aktuelle Ausgabe

Topthema: Apps, Portale, Software – Prozesse effizienter gestalten

Automatisierung

Mehr erfahren

Wir wollen immer besser werden!

Deshalb fragen wir SIE, was Sie wollen!

Nehmen Sie an unserer Umfrage teil, und helfen Sie uns noch besser zu werden!

zur Umfrage

Tragen Sie sich jetzt kostenlos und unverbindlich ein, um keinen Artikel mehr zu verpassen!

    * Jederzeit kündbar

    Entdecken Sie weitere Magazine

    Schön, dass Sie sich auch für weitere Fachmagazine unseres Verlages interessieren.

    Unsere Fachtitel beleuchten viele Aspekte der Digitalen Transformation entlang der Wertschöpfungskette und sprechen damit unterschiedliche Leserzielgruppen an.