EU verabschiedet neue Vorschriften für die Cybersicherheit kritischer Organisationen

Die Europäische Union (EU) hat eine politische Einigung über eine neue Gesetzgebung erzielt, die gemeinsame Standards für die Cybersicherheit kritischer Organisationen festlegen wird.

Veröffentlicht:14. Mai 2022

Inhalt

EU verabschiedet neue Vorschriften für die Cybersicherheit kritischer Organisationen

Neue Richtlinie aufgrund wachsender Bedrohungen

Die neue Richtlinie wird die derzeitigen EU-Vorschriften für die Sicherheit von Netzen und Informationssystemen (NIS-Richtlinie) ersetzen, die angesichts des zunehmenden Digitalisierungs- und Vernetzungsgrads unserer Gesellschaft und der wachsenden Zahl bösartiger Cyberaktivitäten weltweit aktualisiert werden müssen.

Die NIS-2-Richtlinie wird für mittlere und große Organisationen gelten, die in kritischen Sektoren tätig sind. Dazu gehören Anbieter öffentlicher elektronischer Kommunikationsdienste, digitaler Dienste, der Abwasser- und Abfallentsorgung, der Herstellung kritischer Produkte, von Post- und Kurierdiensten, des Gesundheitswesens und der öffentlichen Verwaltung.

Meldepflicht innerhalb von 24 Stunden

Die Bestimmungen der neuen Gesetzgebung sehen unter anderem vor, dass Cybersicherheitsvorfälle innerhalb von 24 Stunden den Behörden gemeldet werden müssen, dass Schwachstellen in der Software behoben werden müssen und dass Maßnahmen zum Risikomanagement entwickelt werden müssen.

Außerdem sollen strengere Umsetzungsanforderungen geschaffen und die Sanktionsregelungen zwischen den Mitgliedstaaten harmonisiert werden. Betreiber wesentlicher Dienste müssen bei Nichteinhaltung mit Geldbußen von bis zu 2 % ihres Jahresumsatzes rechnen, während Anbieter wesentlicher Dienste mit einer Geldbuße von maximal 1,4 % belegt werden sollen.

Die Maßnahmen wurden ursprünglich von der Europäischen Kommission im Dezember 2020 vorgeschlagen.

Die politische Einigung muss von den EU-Mitgliedstaaten und dem Europäischen Parlament formell angenommen werden. Nach der Zustimmung müssen die Mitgliedstaaten die neuen Anforderungen innerhalb von 21 Monaten in nationales Recht umsetzen.

Parlament segnet Richtlinie ab

Margrethe Vestager, geschäftsführende Vizepräsidentin der Kommission für ein Europa, das an das digitale Zeitalter angepasst ist, kommentierte die Ankündigung folgendermaßen: "Wir arbeiten mit Hochdruck an der digitalen Transformation unserer Gesellschaft. In den letzten Monaten haben wir mehrere Bausteine, wie das Gesetz über digitale Märkte und das Gesetz über digitale Dienstleistungen, auf den Weg gebracht.

Heute haben sich die Mitgliedstaaten und das Europäische Parlament auch auf NIS 2 geeinigt. Dies ist ein weiterer Fortschritt in unserer europäischen digitalen Strategie, diesmal um sicherzustellen, dass wichtige Dienste geschützt werden und Bürger und Unternehmen ihnen vertrauen."

Margaritis Schinas, Vizepräsident und zuständig für die Förderung unserer europäischen Lebensweise, erklärte: Cybersicherheit war schon immer entscheidend, um unsere Wirtschaft und Gesellschaft vor Cyberbedrohungen zu schützen; heute, da wir im digitalen Wandel vorankommen, wird sie entscheidend.

Im aktuellen geopolitischen Klima ist es für die EU noch dringender, sicherzustellen, dass ihr Rechtsrahmen auf ihre Bedürfnisse zugeschnitten ist. Indem wir diese neuen, verschärften Regeln akzeptieren, kommen wir unserer Verpflichtung nach, die Standards für Cybersicherheit in der EU zu verbessern. Heute demonstriert die EU ihr klares Bekenntnis zur Verteidigung der Abwehrbereitschaft und Widerstandsfähigkeit gegen Cyberbedrohungen, die auf unsere Wirtschaft, unsere Demokratien und den Frieden abzielen.

EU planet Gründung einer Cyber-Einheit

Diese Mitteilung baut auf einer Reihe wichtiger Initiativen auf, die von Regierungsstellen im Bereich der Cybersicherheit ergriffen wurden. Dazu gehören der Erlass von Präsident Joe Biden vom letzten Jahr, der Null-Vertrauens-Anforderungen an Bundesbehörden stellt, neue US-Gesetze, die Organisationen mit kritischer Infrastruktur zur Offenlegung von Informationen verpflichten, und das britische Gesetz über die Sicherheit von Telekommunikationsprodukten und -infrastrukturen (PSTI), das neue Cybersicherheitsstandards für Hersteller, Importeure und Händler von Geräten mit Internetanschluss festlegen wird.

Im vergangenen Jahr enthüllte die EU Pläne zur Schaffung einer gemeinsamen Cyber-Einheit, um ihre Fähigkeit zu verbessern, auf die wachsende Zahl von Cyber-Angriffen auf die Mitgliedstaaten zu reagieren.

Nächster Artikel

Sicherheitslücke bei Honda ermöglicht Hackern, Autos zu entriegeln und zu starten

Einige Modelle von Honda und Acura sind betroffen von einer neuen Sicherheitslücke, die mithilfe eines Replay-Angriffs ausgenutzt wird. Die Sicherheitslücke ermöglicht es einem Angreifer in der Nähe, das Fahrzeug zu entsperren und sogar den Motor aus kurzer Entfernung zu starten.

Weiterlesen