Navigation path

Left navigation

Additional tools

Other available languages: EN FR

Europäische Kommission - Pressemitteilung

Kommission begrüßt Einigung über ein sichereres Online-Umfeld in der EU

Brüssel, 8. Dezember 2015

Verhandlungsführer des Europäischen Parlaments, des Rates und der Kommission haben die ersten EU-weiten Gesetzesvorschriften über Cybersicherheit verabschiedet

Informationssysteme – Computerressourcen wie Netze und Datenbanken, die grundlegende Dienste ermöglichen und für Unternehmen und das Internet unerlässlich sind – werden zunehmend durch Sicherheitsvorfälle gefährdet. Diese Vorfälle haben unterschiedliche Ursachen, u. a. technische Störungen, Fehler, Naturkatastrophen oder böswillige Angriffe. Unerlässliche Dienste (Strom- und Wasserversorgung, Gesundheitsdienste, Verkehrsdienste usw.), auf deren Verfügbarkeit wir uns verlassen, können dadurch ausfallen.

Ein vorrangiges Anliegen der Kommission ist es, solche Vorfälle zu verhindern bzw. so effizient wie möglich zu reagieren, sollten sie doch eintreten. Die Kommission hat deshalb 2013 einen Vorschlag für eine Richtlinie zur Gewährleistung einer hohen gemeinsamen Netz- und Informationssicherheit (NIS) in der Union vorgelegt. Das Europäische Parlament und der luxemburgische Vorsitz des EU-Ministerrats erzielten gestern eine Einigung über die Vorschriften, durch die

  • die Cybersicherheitskapazitäten der Mitgliedstaaten gestärkt,
  • die Zusammenarbeit der Mitgliedstaaten im Bereich der Cybersicherheit verbessert
  • und Betreiber unerlässlicher Infrastrukturen in den Bereichen Energie, Verkehr, Banken und Gesundheit sowie Anbieter zentraler digitaler Dienste wie Suchmaschinen und Cloud-Computing dazu verpflichtet werden, angemessene Sicherheitsvorkehrungen zu treffen und Sicherheitsvorfälle den zuständigen nationalen Behörden zu melden.

Andrus Ansip, der für den digitalen Binnenmarkt zuständige Vizepräsident der Europäischen Kommission, begrüßte die Einigung: „Vertrauen und Sicherheit sind das eigentliche Fundament eines digitalen Binnenmarkts. Wenn wir wollen, dass Privatpersonen und Unternehmen vernetzte digitale Dienste umfassend nutzen, müssen sie sicher sein können, dass die Systeme gegen Angriffe und Ausfälle gesichert sind. Das Internet kennt keine Grenzen: Tritt ein Problem in einem Land auf, kann dies einen Dominoeffekt in ganz Europa auslösen. Deshalb brauchen wir EU-weite Lösungen für die Cybersicherheit. Die gestrige Einigung ist ein wichtiger Schritt in diese Richtung, aber wir brauchen noch mehr: In den kommenden Monaten wollen wir eine ehrgeizige Partnerschaft mit der Wirtschaft eingehen, damit sicherere Produkte und Dienste entwickelt werden.“

Günther H. Oettinger, für die digitale Wirtschaft und Gesellschaft zuständiges Mitglied der Kommission, erklärte: „Meine Anerkennung an das Verhandlungsteam des Parlaments und an den luxemburgischen Ratsvorsitz. Die Einigung ist ein wichtiger Schritt zur Erhöhung der Ausfallsicherheit der Netze und Informationssysteme in Europa – und damit zur Erreichung eines der Ziele der Cybersicherheitsstrategie der EU – und bildet einen Eckpfeiler unserer Bemühungen zur Verwirklichung des digitalen Binnenmarkts. Die Förderung der Zusammenarbeit und des Informationsaustauschs zwischen den Mitgliedstaaten ist ein zentrales Element der verabschiedeten Vorschriften, das uns bei der Abwehr von Cyberangriffen unterstützen wird. Cybersicherheit ist für die heutige digitale Wirtschaft und Gesellschaft Europas unverzichtbar – und sie bleibt eine ständige Herausforderung. Wir werden weiterhin in diesem Bereich aktiv bleiben und im ersten Halbjahr 2016 einen Vorschlag zur Gründung einer öffentlich-privaten Partnerschaft zur Cybersicherheit im Bereich der Technologien und Lösungen für die Online-Netzsicherheit vorlegen.“

Nächste Schritte

Nach dieser politischen Einigung muss der Text noch förmlich vom Europäischen Parlament und vom Rat angenommen werden. Anschließend wird er im Amtsblatt der Europäischen Union veröffentlicht und offiziell in Kraft treten. Die Mitgliedstaaten haben dann 21 Monate, um diese Richtlinie in innerstaatliches Recht umzusetzen, und 6 weitere Monate, um die Betreiber unerlässlicher Dienste zu benennen.

Die Kommission wird auf der Grundlage der erzielten Einigung 2016 die bereits im Mai in der Strategie für einen digitalen Binnenmarkt angekündigte öffentlich-private Partnerschaft für Cybersicherheit gründen.

Eckpfeiler der NIS-Richtlinie

Stärkung der Kapazitäten der Mitgliedstaaten im Bereich der Cybersicherheit

Die Mitgliedstaaten werden verpflichtet sein, eine nationale NIS-Strategie zu verabschieden, in der die strategischen Ziele sowie angemessene politische und rechtliche Maßnahmen in Bezug auf die Cybersicherheit festgelegt sind. Sie werden ferner eine für die Anwendung und Durchsetzung der Richtlinie zuständige nationale Behörde und Soforteinsatzteams für IT-Sicherheitsvorfälle benennen müssen.

Bessere Zusammenarbeit

Mit der Richtlinie wird eine „Kooperationsgruppe“ der Mitgliedstaaten ins Leben gerufen, die nicht nur die strategische Zusammenarbeit und den Informationsaustausch zwischen den Mitgliedstaaten fördern und erleichtern, sondern auch das gegenseitige Vertrauen stärken soll. Die Sekretariatsaufgaben der Kooperationsgruppe übernimmt die Kommission. Durch die Richtlinie werden die Soforteinsatzteams für die Bewältigung von Sicherheitsvorfällen und -risiken (CSIRTs) vernetzt, so dass eine schnelle und wirksame Zusammenarbeit im Ernstfall ermöglicht und der Austausch von Informationen über Risiken verbessert wird. Die Agentur der Europäischen Union für Netz- und Informationssicherheit (ENISA) wird das Sekretariat für das CSIRT-Netz stellen.

Die ENISA wird bei vielen Aspekten der Richtlinie, insbesondere bei der Zusammenarbeit, eine zentrale Rolle spielen.

Sicherheitsanforderungen und Meldebestimmungen für Betreiber unerlässlicher Dienste

Wichtige Unternehmen, die nach der Richtlinie für die Gesellschaft und die Wirtschaft „unerlässliche“ Dienste anbieten, werden dazu verpflichtet, geeignete Sicherheitsmaßnahmen zu ergreifen und ernste Vorfälle den zuständigen nationalen Behörden zu melden.

Die Richtlinie gilt für Unternehmen der folgenden Wirtschaftszweige:

  • Energie: Strom, Öl und Gas
  • Verkehr: Luft, Schiene, Wasser und Straße
  • Bankwesen: Kreditinstitute
  • Finanzmarktinfrastrukturen: Handelsplätze, zentrale Vertragsparteien
  • Gesundheit: Gesundheitsdienstleister
  • Wasser: Trinkwasserversorgung und ‑verteilung
  • Digitale Infrastruktur: IXP (Internet-Knoten, die die Zusammenschaltung einzelner Netze für den Internet-Datenaustausch ermöglichen), DNS-Hosting-Anbieter, TLD-Registrierungsstellen

Die Mitgliedstaaten ermitteln diese Betreiber anhand von Kriterien, wie z. B. der Frage, ob der Dienst für die Aufrechterhaltung grundlegender gesellschaftlicher oder wirtschaftlicher Tätigkeiten unerlässlich ist.

Sicherheitsanforderungen und Meldebestimmungen für Anbieter digitaler Dienste

Große IKT-Unternehmen, sogenannte „Anbieter digitaler Dienste“, werden ebenfalls geeignete Sicherheitsmaßnahmen ergreifen und Sicherheitsvorfälle den zuständigen Behörden melden müssen. Die Richtlinie gilt für die Anbieter von:

  • Online-Marktplätzen (Plattformen, die es Unternehmen ermöglichen, Online-Shops einzurichten, um ihre Produkte und Dienste Online anzubieten)
  • Cloud-Computing-Diensten
  • Suchmaschinen

Im Einklang mit den Zielen der Strategie für einen digitalen Binnenmarkt sollen mit der Richtlinie harmonisierte Anforderungen für Anbieter digitaler Dienste festgelegt werden, damit diese, unabhängig davon, wo in der EU sie tätig sind, mit ähnlichen Vorschriften rechnen können.

Hintergrund

Die Richtlinie über Dienste der Netz- und Informationssicherheit (NIS-Richtlinie) stellte den wichtigsten Legislativvorschlag im Rahmen der Cybersicherheitsstrategie der EU von 2013 dar (siehe auch die Pressemitteilung und FAQ anlässlich der Ankündigung der Richtlinie).

Das Europäische Parlament stimmte im März 2014 in erster Lesung über den Legislativvorschlag ab (siehe Erklärung). Der Rat verabschiedete sein Verhandlungsmandat am 4. Dezember 2015 während des luxemburgischen Ratsvorsitzes, nachdem es bereits unter dem lettischen Ratsvorsitz Fortschritte gegeben hatte (siehe Pressemitteilung des Rates). Die Verhandlungen zwischen den EU-Organen führten gestern Abend zu der Einigung.

IP/15/6270


Side Bar