Im Bereich der europäischen Cybersicherheit nimmt die NIS-Richtlinie eine zentrale Position ein, sie deckt ähnliche Bereiche ab wie das deutsche IT-Sicherheitsgesetz 2.0. Umso bedeutender ist die Reform des Projekts: Die EU will mit „NIS 2.0“ eine Regelwerk auf den Weg bringen, die auch den künftigen technischen Herausforderungen gerecht wird.
Heute soll dazu eine wichtige Hürde genommen werden: Der zuständige Ausschuss für Industrie, Forschung und Energie (ITRE) des EU-Parlaments wird nach fast einem halben Jahr der Verhandlungen einen gemeinsamen Entwurf beschließen, der Tagesspiegel Background vorab vorliegt. Es gilt als sicher, dass diese Vorlage später auch vom Plenum des EU-Parlaments verabschiedet wird. Der heutige ITRE-Beschluss wäre damit dann auch die Parlamentsposition in den Trilog-Verhandlungen mit den EU-Staaten.
Bildung und Forschung als neuer Geltungsbereich
Der ITRE-Ausschuss will unter anderem die Begriffsdefinitionen für jene Betreiber erweitern, die unter die Bestimmungen der NIS-Richtlinie fallen. Demnach gäbe es künftig eine Kategorie „Bildung und Forschung“, die „Hochschuleinrichtungen und Forschungseinrichtungen“ umfasst. Das hätte womöglich auch Konsequenzen für Deutschland, denn in der derzeitigen KRITIS-Verordnung sind solche Betreiber bisher nicht erfasst. Tatsächlich sind Universitäten aber in den vergangenen Jahren immer wieder zum Ziel von Cyberangriffen geworden, wie zuletzt beispielsweise die Technische Universität Berlin (Tagesspiegel Background berichtete).
Außerdem sollen Betreiber von Einrichtungen zum „Smart Charging“ von der Kategorie „Transport“ erfasst werden. Wenn die öffentliche Sicherheit oder das Gesundheitswesen durch einen Cybervorfall gefährdet wird, spielt künftig auch nicht mehr eine Rolle, wie groß der betroffene Betreiber ist. Kleine Betreiber bis 49 Beschäftigte sind eigentlich vom Geltungsbereich ausgeschlossen.
Ginge es nach dem ITRE-Ausschuss, hätten der Digital Services Act (DSA) und der Digital Markets Act (DMA) womöglich ebenso Auswirkungen auf den Geltungsbereich der NIS-Richtlinie. Im neuen Erwägungsgrund 82a heißt es, dass die Kommission künftig prüfen solle, ob sehr große Dienstanbieter nach DSA-Definition und „Gatekeeper“ nach DMA-Regelung als „wesentliche Betreiber“ im Sinne der NIS-Richtlinie betrachtet werden.
Zu den Sicherheitsmaßnahmen, die Betreiber ergreifen müssen, sollen nach Ansicht des ITRE-Ausschusses nun auch explizit das Back-up-Management und andere Maßnahmen zur „Disaster Recovery“ gehören. Auch Cybersicherheitstrainings und Schulungen zur Cyberhygiene sollen Pflicht werden, ebenso wie die Multi-Faktoren-Authentifizierung.
Zeitnahe Meldung an die Behörden
Eine wichtige Neuerung in der überarbeiteten Parlamentsposition betrifft die Meldepflicht wesentlicher und bedeutender Betreiber bei Sicherheitsvorfällen gegenüber ihren Nutzern. Wenn möglich, sollten diese Betreiber „die Empfänger ihrer Dienste über den Vorfall oder das bekannte Risiko“ selbst unterrichten. „Die Unterrichtung der Dienstleistungsempfänger erfolgt nach bestem Bemühen und darf nicht dazu führen, dass die Haftung der unterrichtenden Stelle erhöht wird“, heißt es in der Beschlussvorlage. Sollten persönliche Daten betroffen sein, muss auch „ohne Verzögerung“ die zuständige Datenaufsichtsbehörde informiert werden, in keinem Fall später als 72 Stunden nach Bekanntwerden eines Sicherheitsvorfalls.
Ebenso müssen in jedem denkbaren Fall die zuständigen Computer Security Incident Response Teams (CSIRTs) benachrichtigt werden – mit detaillierten Angaben darüber, welche geografische Reichweite der Vorfall hat, wie lange er dauerte, wie viele Nutzer:innen betroffen sind und welche Folgen er für Wirtschaft und Gesellschaft hat. Sollten diese Vorgaben nicht eingehalten werden, müssten nach dem abgeänderten Artikel 30 der NIS-Richtlinie „effektive und angemessene“ Maßnahmen seitens der EU-Staaten ergriffen werden.
Sicherheitsbewusstsein bei Conntected Products
Auch für die Cybersicherheitsstrategien der Mitgliedstaaten gälten neue Regeln, wenn es nach dem ITRE-Ausschuss ginge. So müsste es künftig beispielsweise eine einheitliche Kontaktstelle geben, die kleine und mittlere Unternehmen (KMU) dabei unterstützt, die Cybersicherheitsmaßnahmen zu implementieren. Generell betont das Papier die Notwendigkeit einer Cybersicherheitspolitik für KMUs, die sich speziell nach den Bedürfnissen der betroffenen Unternehmen richtet.
Einen hören Stellenwert will der ITRE-Ausschuss auch dem Thema „Cyberhygiene“ zukommen lassen. Einerseits solle das generelle Bewusstseinsniveau der Bürger:innen zu Cybersicherheit künftig regelmäßig erhoben werden. Dazu gehört auch der Umgang und das Sicherheitsbewusstsein von Nutzer:innen mit Conntected Products, die über das Internet of Things (IoT) verbunden sind. Andererseits würden Behörden dem Entwurf nach eine „Cyberhygienepolitik“ verfolgen müssen, die dafür Sorge trage, dass „eine Reihe von grundlegenden Praktiken und Kontrollen“ vermittelt werden und die „zur Sensibilisierung der Bürger für Cyberbedrohungen“ beitrage.
Strategien sollen „aktive Cyberverteidigung“ stärken
Im Rahmen der Cybersicherheitsstrategien sollen auch Politikansätze zur „aktiven Cyberverteidigung“ Niederschlag finden. Das Bundesinnenministerium hatte diesen Begriff in den vergangenen Jahren für so genannte „Hackbacks“ verwendet. Der ITRE-Ausschuss versteht darunter die „proaktive Vorbeugung, Erkennung, Überwachung, Analyse und Abschwächung von Sicherheitsverletzungen im Netz, kombiniert mit der Nutzung von Ressourcen, die innerhalb und außerhalb des betroffenen Netzes eingesetzt werden“. Diese Form der aktiven Cyberabwehr basiere „auf einer defensiven Strategie, die offensive Maßnahmen gegen kritische zivile Infrastrukturen ausschließt“.
Ferner soll auch der Einsatz von Technologien Künstlicher Intelligenz (KI) im Bereich Cybersicherheit forciert werden – gerade wenn es um die Aufklärung komplexerer Angriffe geht. „Die Mitgliedstaaten sollten daher in ihren nationalen Strategien den Einsatz von (halb-) automatisierten Werkzeugen für die Cybersicherheit und den Austausch von Daten fördern, die für die Schulung und Verbesserung automatisierter Werkzeuge für die Cybersicherheit erforderlich sind“, heißt es im überarbeiteten Erwägungsgrund 26b der Beschlussvorlage.
Ebenso wird auch der Mehrwert von Open-Source-Produkten für die Cybersicherheit in der Beschlussvorlage betont. Sie könnten „zu einem höheren Maß an Transparenz beitragen und sich positiv auf die Effizienz der industriellen Innovation auswirken. Offene Standards erleichtern die Interoperabilität zwischen Sicherheitswerkzeugen, was der Sicherheit der industriellen Akteure zugute kommt.“ Solche Lösungen seien dazu geeignet, eine breitere Entwicklergemeinschaft ansprechen, „so dass Unternehmen eine Diversifizierung der Anbieter und offene Sicherheitsstrategien verfolgen können“. Mitgliedstaaten der EU sollten deswegen den Einsatz von Open Source fördern.
Ein weiterer Punkt betrifft Public-Private Partnerships (PPP) im Bereich Cybersicherheit. Im Erwägungsgrund 27 heißt es, dass solche Projekte „den richtigen Rahmen für den Wissensaustausch, die gemeinsame Nutzung bewährter Verfahren und die Schaffung einer gemeinsamen Verständigungsebene zwischen allen Beteiligten bieten“ können. „Die Mitgliedstaaten sollten im Rahmen ihrer nationalen Cybersicherheitsstrategien politische Maßnahmen zur Förderung der Einrichtung von Cybersicherheits-PPPs ergreifen.“
Aufgabenspektrum der ENISA wächst
Geht es nach dem ITRE-Ausschuss, kämen auch auf die European Union Agency für Cybersecurity (ENISA) neue Aufgaben zu. Sie wäre zum Beispiel künftig verantwortlich, Maßgaben zur Umsetzung von Sicherheitsmaßnahmen zu formulieren, Meldetemplates zu entwickeln und Standards für die Abwehr von Sicherheitsvorfällen zu erarbeiten. Einmal im Jahr würde sie einen „Bericht zur Lage der Cybersicherheit in der Europäischen Union“ veröffentlichen. Darin soll auch explizit dargestellt werden, wie es um die Sicherheit von Conntected Products bestellt ist.
Außerdem müsste sie eine gemeinsame europäische Datenbank über Cyberschwachstellen verwalten. Nicht zuletzt soll sie auch ein Register aufbauen, das „Informationen über wesentliche und wichtige Einrichtungen enthält, zu denen Anbieter von DNS-Diensten, TLD-Namensregistern und Anbieter von Cloud-Computing-Diensten, Rechenzentrumsdiensten, Content-Delivery-Netzen, Online-Marktplätzen, Online-Suchmaschinen und Plattformen für soziale Netzwerke gehören.“ Die neuen Aufgaben der ENISA könnten zu weiteren Kosten führen, wird in dem überarbeiteten Erwägungsgrund 82 ausgeführt. Deswegen „sollte ihr Haushalt entsprechend aufgestockt werden“.
Andresen lobt Ausdehnung des Geltungsbereichs
„Ich bin sehr zufrieden mit dem gefundenen Kompromiss zur Parlamentsposition“, sagt der Europaabgeordnete Rasmus Andresen (Grüne), Schattenberichterstatter seiner Fraktion im ITRE-Ausschuss für die NIS-Reform. Das betreffe besonders die Ausdehnung des Geltungsbereichs der Kritischen Infrastrukturen auf das Universitätswesen. Er begrüße ebenso, dass es eine breite Unterstützung für den Vorschlag gegeben habe, die Anforderungen der Richtlinie auf das gesamte Gesundheitswesen auszuweiten. „Die neuen Bestimmungen zu Connected Products werden ebenfalls einen Beitrag dazu leisten, Cybersicherheit zu fördern. Wichtig ist auch, dass bei öffentlichen Ausschreibungen künftig Open-Source-Produkte stärker gefördert werden sollen“
Ein wenig kritischer sieht Andresen den parteiübergreifenden Kompromiss zur aktiven Cyberverteidigung als Teil der nationalen Cybersicherheitsstrategien. Sie habe jedoch in der Beschlussvorlage einen rein defensiven Charakter. „Grundsätzlich sind wir als Grüne der Meinung, dass die im September verabschiedete Cybersicherheitsstrategie der Bundesregierung angepasst werden sollte – auch in Bezug auf das, was in Brüssel beschlossen wird.“
Wann es zu der Abstimmung im EU-Parlament über den ITRE-Beschluss kommt, steht noch nicht fest. „Ich rechne damit, dass es in den Trilogverhandlungen noch weiteren Gesprächsbedarf über die Einbeziehung von neuen Bereichen geben wird, die künftig als Kritische Infrastruktur gelten sollen“, sagt Andresen.
