EU erlässt neues Gesetz zur Abwehr von Hackern in kritischen Sektoren – POLITICO

Angesichts einer Flut von Cyberangriffen fordert die Europäische Union ihre kritischen Sektoren auf, ihre Verteidigung zu verstärken.

Am frühen Freitag haben Verhandlungsführer einer neuen EU-Cybersicherheitsrichtlinie eine Einigung erzielt, die sensible Branchen wie Banken, Energie, Telekommunikation und Transport dazu zwingen wird, ihre Netzwerke besser zu schützen und in Cybersicherheit zu investieren, um Hacker daran zu hindern, die kritischen Funktionen der Gesellschaft zu stören. Auch öffentliche Verwaltungen sind von der Richtlinie betroffen.

Das neue Gesetz ist ein Eckpfeiler einer umfassenderen EU-Strategie zur Reaktion auf die zahlreichen Wellen von Cyberangriffen, die mit der Coronavirus-Pandemie, erneuten geopolitischen Spannungen zwischen dem Westen, Russland und China und in jüngerer Zeit auf den Krieg in der Ukraine einhergingen. Zu den größeren Vorfällen gehörten cyberkriminelle „Ransomware“-Angriffe wie die auf den US-amerikanischen Ölpipelinebetreiber Colonial und das irische Gesundheitssystem sowie Cyberspionagekampagnen auf Behörden und Ministerien in der gesamten EU.

Nach der neuen Richtlinie müssen kritische Unternehmen und Organisationen Cybersicherheits-Reaktionspläne erstellen und prüfen, Cybersicherheitsvorfälle den Behörden innerhalb von 24 Stunden melden und modernste Cybersicherheitstechnologien einsetzen, um Hacks zu verhindern – oder mit beträchtlichen Bußgeldern rechnen müssen.

Vertreter von Europäischer Kommission, Parlament und EU-Rat einigten sich bei nächtlichen Gesprächen in Brüssel auf die Details der Netz- und Informationssicherheitsrichtlinie (NIS2-Richtlinie).

Das Gesetz „wird über hunderttausend Organisationen helfen, die Sicherheit stärker in den Griff zu bekommen und Europa zu einem sicheren Ort zum Leben und Arbeiten zu machen“, sagte Bart Groothuis, der niederländische liberale Europaabgeordnete, der die Verhandlungen im Namen des Europäischen Parlaments leitete. “Wenn wir im industriellen Maßstab angegriffen werden, müssen wir im industriellen Maßstab reagieren.”

Das Gesetz ist eine Überarbeitung der allerersten Cybersicherheitsgesetzgebung der EU, die 2016 verabschiedet wurde und ein erster Schritt war, um den EU-Behörden die Aufsicht und Kontrolle über die Cybersicherheit zu geben. Die Mitgliedsländer waren lange Zeit empfindlich in Bezug auf das Thema, da es eng mit der nationalen Sicherheit verbunden ist, aber die Flut störender Cyberangriffe in den vergangenen Jahren zwang die EU-Regierungen, enger auf europäischer Ebene zusammenzuarbeiten.

Die Stärkung der Cybersicherheit in Europa „berührt das Herz vieler anderer Politikbereiche, von der Entwicklung von KI, Halbleitern und dem Verteidigungssektor bis hin zu unserer Fähigkeit, das Licht an und Krankenhäuser offen zu halten“, sagte Eva Maydell, eine Mitte-Rechts-Abgeordnete des Europäischen Parlaments Bulgarien, das eng an dem Gesetz gearbeitet habe, sagte in einer SMS.

Die Gesetzgebung erlegt Unternehmen, Organisationen und öffentlichen Diensten eine lange Liste von Anforderungen auf, darunter das Patchen von Software-Schwachstellen, das Vorbereiten von Risikomanagementmaßnahmen, das Teilen von Informationen und das Informieren von Behörden über Vorfälle innerhalb von 24 Stunden sowie das Bereitstellen eines vollständigen Berichts innerhalb von drei Tagen.

Den Organisationen würden Bußgelder in Höhe von 2 Prozent des Umsatzes für Betreiber wesentlicher Dienste und 1,4 Prozent für wichtige Dienstleister drohen, entschieden die Verhandlungsführer. Diese Zahlen entsprechen in etwa dem, was Ransomware-Gruppen im Allgemeinen an Lösegeldzahlungen verlangen, wenn sie große Organisationen hacken, sagten sie.

„Der Kompromiss lautet: Zahle ich das Lösegeld, bezahle die Strafe oder investiere ich lieber in Sicherheit, bevor ich gehackt werde“, sagte Groothuis, der führende Europaabgeordnete.

Die Verhandlungsführer einigten sich auch darauf, wichtige öffentliche Verwaltungen in den Geltungsbereich des Gesetzes einzubeziehen, was bedeutet, dass auch viele Regierungsdienste die Anforderungen erfüllen müssen. Nationale Regierungen müssen auch Richtlinien entwickeln, um Cyber-Behörden dabei zu unterstützen, präventive Maßnahmen zur Verhinderung von Hacks und Angriffen einzuleiten, anstatt nur auf Krisen zu reagieren.

„Diese Vereinbarung ist keine Wunderwaffe, aber das Ausmaß dieser Herausforderung bedeutet, dass wir ein Arsenal aufbauen müssen, um unsere digitalen Netzwerke vor Schaden und Foulspiel zu schützen“, sagte Maydell, der bulgarische Europaabgeordnete.

Das Gesetz bedarf der formellen Zustimmung der EU-Mitgliedsländer und des Europäischen Parlaments. Dann liegt es an den nationalen Regierungen, die Regeln umzusetzen.