Brüssel/Washington. Die EU-Kommission und US-Präsident Barack Obama haben neue Initiativen angekündigt, um wichtige IT-Infrastrukturen, Kommunikationsdienstleister und Behördennetzwerke vor Sicherheitslecks und Hackerangriffen zu schützen.
Sowohl der europäische Richtlinienentwurf zur Netz- und Informationssicherheit (NIS) als auch das US-Dekret zur Cybersicherheit streben an, die Risiken durch Cyberkriminalität zu mindern, die Opfern nach Schätzungen von Europol jährlich Schäden in einer Gesamtsumme von 290 Milliarden Euro verursacht.
Die Richtlinie soll bis spätestens Mai 2014 verabschiedet werden und gibt den EU-Mitgliedstaaten 18 Monate Zeit für die Umsetzung in nationales Recht, heißt es in einer Aussendung von Freshfields Bruckhaus Deringer.
Das US-Dekret verpflichtet die nationale Standardisierungsbehörde NIST, Performancestandards und Maßnahmen zur Vermeidung von Risiken für sensible IT-Systeme einzuführen, heißt es dort.
„Unterschiedliche Herangehensweise ist unglücklich“
„In Europa und den USA wird ein und dasselbe Ziel mit unterschiedlichen Ansätzen verfolgt. Diese unterschiedliche Herangehensweise ist unglücklich, denn sie schafft neue Grenzen, die Cyberkriminalität aber nicht kennt“, erklärt Klaus Beucher, Partner von Freshfields Bruckhaus Deringer.
Durch die EU-Richtlinie werden vor allem zwei Hauptpflichten für Unternehmen eingeführt: Das Risikomanagement für Netzwerke und die IT-Sicherheit muss einem Mindeststandard und zusätzlich einem Standard genügen, der dem Risikoprofil des jeweiligen IT-Systems entspricht. Die Richtlinie verlange aber keine bestimmten Standards oder Lösungen, heißt es.
Zweitens müssen Unternehmen künftig gravierende Störfälle in ihren IT-Systemen melden. Die jeweilige nationale Behörde könne dann in Folge in gewissen Grenzen die Öffentlichkeit über Störfälle informieren.
Das US-Dekret verfolge einen freiwilligen Ansatz. Weitere Gesetzgebungsschritte sollen folgen, wie zum Beispiel der Cyber Intelligence Sharing and Protection Act („CSIPA“).
Gesetzesentwurf in Deutschland am Tisch
In Deutschland hat die Regierungskoalition unlängst einen Entwurf eines IT-Sicherheitsgesetzes vorgelegt. Der Entwurf zeichne bereits die kommende EU-Richtlinie vor, umfasse aber neben den Kommunikationsinfrastrukturen von Betreibern aus den Branchen Energie, Verkehr, Bankwesen, Finanzmarkt und Gesundheit auch die Bereiche Wasser, Ernährung und insgesamt die Informationstechnik und Telekommunikation, heißt es.
Der Gesetzentwurf verlangt ein Mindestniveau an IT-Sicherheit bei den Betreibern und eine bessere Zusammenarbeit zwischen Staat und Betreibern kritischer Infrastrukturen.
„Für die betreffenden Unternehmen soll das IT-Sicherheitsgesetz zu erheblichem Anpassungsbedarf führen. Die Verpflichtung zu einem Mindeststandard an IT-Sicherheit wird auch Unternehmen treffen, die ihre IT durch Dienstleister betreiben lassen. Bei Missachtung der Sicherheitsstandards und Meldepflichten drohen den Unternehmen erhebliche Bußgelder und unter Umständen darüber hinaus auch Schadensersatzforderungen“, so Beucher.
Websitebetreiber sollen für Viren haften
Auch Websitebetreiber müssen künftig dafür sorgen, dass die Software mit der sie ihre Website betreiben den Mindeststandards entspricht, andernfalls drohen Haftungsrisiken: „Fängt sich ein Nutzer über das Aufrufen der Website einen Virus ein, so kann der Websitebetreiber dafür einstehen müssen. Anbieter von Telekommunikationsdiensten sollen gesetzlich verpflichtet werden, ihre Nutzer über Angriffe durch Viren zu informieren und ihnen Anti-Virensoftware zur Vorbeugung und Beseitigung der Störung bereitzustellen. Dies wurde von den Providern bisher sehr uneinheitlich gehandhabt“, so Beucher abschließend.
Link: Freshfields