Land

Security Blog

Der Mai 2018 hat es in sich: Nicht nur die EU-DSGVO, auch die NIS-Richtlinie steht zur Umsetzung an

Neben dem allgegenwärtigen Thema der EU DSGVO (EU Datenschutzgrundverordnung) gibt es noch eine weitere Neuerung im Mai, die im Schatten des Datenschutzes fast ein wenig untergeht: Die "NIS-RL": Netz- und Informationssystemsicherheits-Richtlinie. Im Gegensatz zu einer Grundverordnung ist eine Richtlinie von EU-Mitgliedsstaaten in lokale Gesetzgebung umzusetzen, während eine Verordnung wie die DSGVO automatisch in allen Mitgliedsstaaten direkt gilt. Die NIS-Richtlinie ist bereits am 08. August 2016 seitens der EU verabschiedet worden. Am 09. Mai 2018 endete die Umsetzungsfrist für die einzelnen Staaten.

Hintergrund dieser Richtlinie ist die zunehmende Abhängigkeit der gesamten Union von der Zuverlässigkeit der eingesetzten IT-Systeme für Wirtschaft und Gesellschaft. Zugleich nehmen weitreichende Cyber-Zwischenfälle jedes Jahr an Volumen und Intensität zu, wie z.B. die verschiedenen Ransomware-Wellen im Jahr 2017 zeigten. Mögliche Folgen sind ein großer wirtschaftlicher Schaden oder sonstige Beeinträchtigung für die Bürger der EU. Die NIS-Richtlinie dient dazu, die verschiedenen Ausprägungen der bis jetzt unterschiedlichen Standards der einzelnen Mitgliedsstaaten zu vereinheitlichen und ein gemeinsames, angemessenes Sicherheitsniveau von Netz- und Informationssystemen zu gewährleisten.

Was sind die drei wesentlichen Punkte der NIS-Richtlinie?

  1. Die Zusammenarbeit der Mitgliedsstaaten der EU untereinander soll gestärkt werden. Dieses Ziel soll über eine federführende nationale NIS-Behörde umgesetzt sein, welche wiederum mit anderen Behörden kommuniziert. Um besser auf Vorkommnisse vorbereitet zu sein, sollen nationale Computer-Notfall-Teams (CSIRTs, Computer Security Incident Response Team) eingerichtet und betrieben werden. Solche Stellen sollen einerseits technische Unterstützung im Falle von Störfällen leisten können, andererseits auch in einem CSIRT-Netzwerk EU-weit Informationen proaktiv austauschen und Vorabinformationen innerhalb der Länder zu Verfügung stellen.
  2. Es erfolgt eine Vorschrift und Kontrolle von angemessenen Sicherheitsmaßnahmen nach „Stand der Technik“ für Betreiber als wesentlich erachtete Dienste sowie Anbieter von digitalen Dienstleistungen. Dazu sollen zuerst diese Unternehmen identifiziert werden – typischerweise sind dies öffentliche oder private Einrichtung aus den Sektoren Energie, Verkehr, Finanz, Gesundheitswesen, Wasserversorgung sowie digitale Infrastruktur. Dabei soll sichergestellt werden, dass angemessene Schutzvorkehrungen auf technischer und organisatorischer Ebene umgesetzt sind, die eine Beeinträchtigung der Versorgung gesamtheitlich vermeidet.
  3. Eine Verpflichtung zur Meldung von signifikanten Störfällen wird eingeführt. Im Falle von Beeinträchtigung der Verfügbarkeit von bereitgestellten, wesentlichen Diensten muss sofort eine Meldung an die NIS-Behörde bzw. der CSIRTs erfolgen. Zusätzlich soll es freiwillige Meldestellen geben, an der alle Störfälle eingekippt werden können, um auch schon rechtzeitig ein Frühwarnsystem umzusetzen und Daten zu sammeln.

Die Umsetzung dieser Vorgaben in Österreichisches Recht ist zurzeit noch nicht endgültig abgeschlossen. Das Vorhaben lautete, ein Bundesgesetz zur „Cyber-Sicherheit“ Österreichs zu schaffen (Arbeitstitel: Netz- und Informationssystemsicherheitsgesetz – NISG). Durch die Neuwahlen gab es allerdings Verzögerungen. Bei der NIS-Richtlinie gibt es noch ein weiteres wesentliches Datum: am 09. November 2018 muss die Ermittlung der wesentlichen Betreiber abgeschlossen sein, welche die Bedingungen der NIS-Richtlinie erfüllen müssen. Zu den allgemeinen EU-Kriterien sind zusätzliche nationale Schlüsselfaktoren zu bestimmen wie: Anzahl der versorgten Personen, produzierte Energie, Zahl der Aufnahmen, und ähnliche Faktoren. Ausgenommen sind jedoch bereits im Vorhinein Klein- und Kleinstunternehmer sowie auch natürliche Personen.

Fazit: Die kommende Digitalisierung und weltweite Vernetzung macht vor niemanden Halt. Neben den wichtigen persönlichen Daten, welche nun mit der EU-DSGVO besser geschützt werden, soll die NIS-Richtline dazu beitragen, Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der EU umzusetzen. Nur wenn der gesamte Wirtschaftsraum angemessene IT-Sicherheitsmaßnahmen ergreift, kann unsere vernetzte Gesellschaft den aktuellen Risiken angemessen begegnen.