16.12.2015 | Cyber-Security

EU will strengere Sicherheitsregeln für Betreiber von Online-Diensten

Cyber-Security: Strengere IT-Sicheheitsregel für Betriebe
Bild: Astrium

Angesichts der immer größer werdenden Bedrohung durch Cyber-Kriminalität und Cyber-Terrorismus will man jetzt auch auf europäischer Ebene die Betreiber wichtiger Online-Dienste und kritischer Infrastrukturen verpflichten, ihre IT sicherer zu machen. EU-Parlament und EU-Rat haben sich dazu auf einen gemeinsamen Entwurf für eine Richtlinie geeinigt.

Fast zwei Jahre haben die Verhandlungen der EU-Instanzen um europaweite Regelungen für eine erhöhte IT-Sicherheit bei bestimmten Unternehmen gedauert, doch nun haben sich die Vertreter des EU-Parlaments und der derzeit amtierenden luxemburgischen Ratspräsidentschaft auf entsprechende Regeln zur Cyber-Security geeinigt.

Regelungen für Infrastrukturanbieter und Online-Dienste

Mit den Vorgaben sollen Betreiber von kritischen Infrastrukturen und größerer Online-Dienste in die Pflicht genommen werden, ihre IT-Systeme sicherer zu machen und Angriffe sowie andere Sicherheits- und Datenschutzpannen zu melden. Betroffen von den neuen Vorgaben sind Betreiber bzw. Anbieter sogenannter „essentieller Dienste“. Hierzu zählen etwa Unternehmen in den Bereichen

  • Energie,
  • Wasserversorgung,
  • Transport,
  • Gesundheit,
  • Finanzwesen.

Wichtige Internet-Dienstleister und Online-Dienste

Aber auch wichtige Internet-Dienstleister und Online-Dienste sind betroffen, wie Betreiber von Internet-Knoten, Domain-Registrierungsstellen, ebenso große Anbieter von Cloud-Diensten und Online-Marktplätze wie eBay oder Amazon.

Keine Änderungen für kleine Anbieter

Ausgenommen bleiben allerdings kleinere Internet-Unternehmen, was etwa der Branchenverband eco in einer ersten Stellungnahme lobte, da für diese Anbieter damit kein zusätzlicher Aufwand entsteht. Auch für soziale Netzwerke gelten die verschärften Sicherheitsregeln und die Meldepflicht nicht.

Keine Meldepflicht für öffentlichen Sektor

Für den öffentlichen Sektor sieht der Kompromiss keine Meldepflicht vor, nachdem das EU-Parlament sich in diesem Punkt den Forderungen der Kommission widersetzt hatte. Zur Umsetzung der Maßnahmen werden die Mitgliedsstaaten aufgefordert, nationale Meldesysteme einzurichten und Informationen untereinander auszutauschen. Dabei sollen zu den bereits bestehenden CERTs (Computer Emergency Response Teams) noch CSIRTs (Computer Security Incident Response Teams) eingerichtet werden.

Abstimmung mit IT-Sicherheitsgesetz

Bei der Umsetzung der EU-Richtlinie in nationales Recht will die Bundesregierung darauf achten, dass dies weitestgehend in Einklang mit dem erst kürzlich verabschiedeten IT-Sicherheitsgesetz geschieht, das bereits ähnliche Regelungen enthält.

Vgl. zu dem Thema auch:

EU Cybersicherheitsplan

EU will höhere Strafen für Cyberkriminelle

Schlagworte zum Thema:  IT-Sicherheit, EU-Kommission, Cyberkriminalität

Aktuell

Meistgelesen