Der federführende Ausschuss des Europäischen Parlaments hat am Donnerstag (28. Oktober) einen Gesetzesvorschlag verabschiedet, der die kritischen Einheiten Europas vor Cyberangriffen schützen soll.
Der Ausschuss für Industrie, Forschung und Energie (ITRE) des Parlaments billigte die sogenannte NIS2-Richtlinie, eine Überarbeitung der Richtlinie über die Sicherheit von Netz- und Informationssystemen. Die bestehende NIS-Richtlinie war die erste EU-weite Gesetzgebung, die Mindestanforderungen an die Cybersicherheit für Unternehmen und Organisationen festlegte, die grundlegende Dienste bereitstellen.
Obwohl die NIS-Richtlinie erst 2016 verabschiedet wurde, führte die Schnelllebigkeit der Cyberumgebung zu einer Überarbeitung der Rechtsvorschriften, um die Cybersicherheitsanforderungen zu stärken und den Anwendungsbereich auf mehr Unternehmen mit einem hohen Risikoprofil auszuweiten, basierend auf der Kritikalität ihrer Rolle in der Wirtschaft und in demokratischen Prozessen.
„Wir sehen nicht nur, dass die Zahl der Cyberangriffe zunimmt, sondern auch der gesellschaftliche Schaden und die gesellschaftlichen Auswirkungen“, sagte Klara Jordan, Chief Public Policy Officer am CyberPeace Institute, auf einer von EURACTIV organisierten Veranstaltung am Dienstag (26. Oktober). .
Jourdan betonte, dass eine Harmonisierung der Cybersicherheitsstandards in der gesamten EU angesichts der Vernetzung der Lieferketten noch notwendiger sei, da ein Angriff mehrere Länder gleichzeitig betreffen könne.
Breiteres Spektrum
Während der Zweck von NIS2 darin bestand, den Geltungsbereich der vorherigen Gesetzgebung zu erweitern, wurde er im parlamentarischen Text noch weiter ausgeweitet und umfasst schätzungsweise 160.000 Einheiten.
Die Organisationen, die unter die neuen Cybersicherheitsanforderungen fallen, werden anhand von zwei Kriterienkatalogen identifiziert. Das objektive Kriterium umfasst Unternehmen mit einem Umsatz von 10 Mio. € und mindestens 50 Mitarbeitern. Das qualitative Kriterium umfasst Einrichtungen, die für die wirtschaftlichen und demokratischen Prozesse von grundlegender Bedeutung sind.
„Cybersicherheit war jahrelang ein Nischenthema, heute ist es das nicht mehr. Jeder Profi wird Ihnen sagen, dass es auf das höchste Niveau gebracht werden sollte; Der CEO sollte einbezogen werden“, sagte Bart Groothuis, der für die Akte verantwortliche Europaabgeordnete, gegenüber EURACTIV und merkte an, dass die Sanktionen für nachweisbare Fahrlässigkeit genau dies erreichen sollen.
Die Geldstrafen können bis zu 2% des Unternehmensumsatzes betragen, was dem gleichen Prozentsatz entspricht, den Ransomware-Angriffe normalerweise verlangen. Auch Mitglieder des oberen Managements könnten von einer vorübergehenden Sperre betroffen sein.
„Die Philosophie lautet nicht mehr, ob Sie von entscheidender Bedeutung sind, sondern ob Sie für das Geschäftsmodell der Ransomware von entscheidender Bedeutung sind“, argumentierte der niederländische Gesetzgeber.
In den letzten anderthalb Jahren war Ransomware, insbesondere gegen Lieferketten, laut einem am Mittwoch (27. Oktober) veröffentlichten Bericht der EU-Cybersicherheitsbehörde ENISA die größte Cyberbedrohung in Europa.
„Die Mitgliedstaaten wollen mehr Flexibilität bei der Einbeziehung von Unternehmen und Einrichtungen gemäß ihrer Risikobewertung und möchten Bürokratie für kleine Unternehmen vermeiden“, sagte Tamara Tafra, Cybersicherheitsberaterin bei der kroatischen Ständigen Vertretung bei der EU.
Der Text des Parlaments geht auf diese Bedenken ein und schlägt eine automatisierte Berichterstattung vor, die nach Ansicht der Abgeordneten den Verwaltungsaufwand minimieren würde.
Parlamentsänderungen
Während der allgemeine Anwendungsbereich erweitert wurde, schließt der vom Parlament verabschiedete Text eine spezielle Kategorie aus, die Root-Server, die die Grundlage für die Architektur des Internets bilden.
Die Internet Society, eine globale NGO, hat gewarnt, dass die Regulierung von Root-Diensten die unbeabsichtigten Folgen einer Fragmentierung des Internets haben könnte Präzedenzfall.
Groothuis hat erkannt, dass die derzeitige Internet-Governance auf Basis von Domain Name Systems gegenüber Cyberangriffen zu fragil ist und daher reguliert werden sollte. Er kritisierte jedoch die EU-Kommission dafür, dass sie die Regulierung von Root-Servern vorschlug und argumentierte, dass sie gegen die Philosophie des freien Internets verstoße.
Eine weitere Textänderung ist die Differenzierung der Meldepflichten. Informationssicherheit basiert auf dem CIA-Trias: Vertraulichkeit des Netzwerks, Integrität der Daten und Verfügbarkeit Ihres Dienstes (CIA).
Bei Groothuis kann die Verfügbarkeit leicht bewertet werden und sollte innerhalb von 24 Stunden gemeldet werden, während die Integritäts- und Vertraulichkeitsbewertung bis zu drei Tage dauern kann, was auf einen ähnlichen Vorschlag in den USA hindeutet, der kürzlich denselben Ansatz verfolgte.
Darüber hinaus enthält der ITRE-Vorschlag Bestimmungen zum DSGVO-konformen Austausch von Daten zur Bekämpfung der Cyberkriminalität und beinhaltet sogar eine Verantwortung für die Weitergabe sensibler Daten.
Groothuis behauptete, dass der Informationsaustausch in den letzten Jahren aus Angst vor Haftung stark zurückgegangen sei. Zum Beispiel können Behörden die von einer bestimmten Ransomware-Gruppe verwendeten IP-Adressen, frühere E-Mail-Adressen oder Bitcoin-Wallets kennen.
Geopolitischer Kontext
Aufgrund seiner früheren Erfahrung als Leiter der Cybersicherheit im niederländischen Verteidigungsministerium hielt Groothuis die Ambition des Vorschlags für vom internationalen Szenario diktiert.
„Als wir in den Niederlanden anfingen, die Kriminalität im Internetbanking zu bekämpfen, war das ein riesiges Problem. In drei Monaten haben wir das um über 90 % reduziert. In den uns umgebenden Ländern, Belgien und Deutschland, stieg sie im gleichen Zeitraum um 90 %“, sagte der Gesetzgeber und stellte fest, dass Cyberangriffe immer auf das schwächste Glied abzielen.
Groothuis stellt fest, dass die durchschnittlichen Ausgaben eines US-Unternehmens bereits 41 % höher sind als die eines europäischen, und die Kluft könnte sich weiter vergrößern, da Washington nach einer Reihe von hochrangigen Angriffen wie dem der Colonial Pipeline immer mehr Ressourcen mobilisiert.
Er plädiert auch für eine aktive Haltung zur Cyber-Abwehr, die aufkommende Risiken durch feindliche Mächte antizipiert und dabei China und Russland heraushebt. Aus diesem Grund hält der Vorschlag auch fest, dass bei der Bewertung des Risikos einer Organisation nichttechnische Faktoren berücksichtigt werden sollten.
Für David Harmon, EU-Direktor für Cybersicherheit und Datenschutz bei Huawei, sollten diese nichttechnischen Überlegungen nicht dieselbe Fragmentierung der 5G-Toolbox wiederholen, da ein koordinierter Ansatz auf EU-Ebene Rechtssicherheit gewährleisten würde.
Da der Ausschusstext mit sehr großer Mehrheit angenommen wurde, ist keine Abstimmung im Plenum zu erwarten.
[Edited by Zoran Radosavljevic]