EU-Kommission will „schwerwiegende“ IT-Sicherheitsvorfälle definieren
Ein Ausschuss der EU-Kommission prüft derzeit, wie „bedeutende“ IT-Sicherheitsvorfälle definiert werden können. Gemäß der EU-weiten Cybersicherheitsgesetzgebung NIS2 müssen diese Vorfälle den Behörden schnell gemeldet werden.
Ein Ausschuss der EU-Kommission prüft derzeit, wie „bedeutende“ IT-Sicherheitsvorfälle definiert werden können. Gemäß der EU-weiten Cybersicherheitsgesetzgebung NIS2 müssen diese Vorfälle den Behörden schnell gemeldet werden.
Die letzten Rückmeldungen der EU-Staaten zum Durchführungsrechtsakt, der die Regeln für die Umsetzung der Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der EU (NIS2-Richtlinie) auf nationaler Ebene festlegt, wurden für Mittwoch (2. Oktober) erwartet.
Die Mitgliedstaaten liegen bei der Umsetzung der Richtlinie in nationales Recht weit hinter dem Zeitplan zurück. Am 17. Oktober läuft die Frist ab.
Nur Belgien, Kroatien, Ungarn, Litauen und Lettland haben ihre Umsetzung abgeschlossen. Die übrigen Eu-Staaten befinden sich in unterschiedlichen Phasen der Ausarbeitung ihrer jeweiligen nationalen NIS2-Gesetze. Die Niederlande haben einen Vorschlag ausgearbeitet, der ihren Angaben zufolge jedoch wahrscheinlich nicht fristgerecht fertiggestellt werden kann.
Die Europäische Kommission beabsichtigt derzeit nicht, den Mitgliedstaaten eine Verlängerung zu gewähren, wie Euractiv von mehreren Quellen erfuhr.
Durchführungsrechtsakte bieten eine wichtige Orientierungshilfe, wenn es keine nationalen Gesetze gibt, die die Schritte zur Einhaltung der Vorschriften klarstellen, und häufig auch keine angemessen besetzten nationalen Behörden, an die sich Unternehmen mit Fragen wenden können.
Dieser spezielle Durchführungsrechtsakt legt bestimmte Schwellenwerte fest, ab denen ein Sicherheitsvorfall als „bedeutend“ eingestuft wird.
Gemäß NIS2 müssen solche Vorfälle innerhalb von 24 Stunden, nachdem der Diensteanbieter davon Kenntnis erlangt hat, in einer „Frühwarnung“ gemeldet werden. Dies schließt auch eine Angabe darüber ein, ob der Vorfall auf böswillige oder rechtswidrige Handlungen zurückzuführen ist und ob er grenzüberschreitende Auswirkungen haben wird.
Eine zweite Meldung muss innerhalb von 72 Stunden erfolgen und eine erste Einschätzung der Schwere und der Auswirkungen des Vorfalls enthalten.
Jeder Vorfall, der zu einer Gesundheitsschädigung oder zu finanziellen Verlusten von über 500.000 Euro oder fünf Prozent des jährlichen Gesamtumsatzes eines betroffenen Unternehmens führt, gilt laut dem neuesten Entwurf des Durchführungsrechtsakts, den Euractiv einsehen konnte, als „bedeutend“.
Der Rechtsakt legt auch einen Mindestschwellenwert für die Schwere eines Vorfalls fest. Dieser liegt bei fünf Prozent der von einem Vorfall betroffenen EU-Nutzer und gilt für Cloud-Computing-Dienstleister, Anbieter von Content-Delivery-Netzwerken, Online-Marktplätze, Suchmaschinen, Social-Media-Plattformen und Anbieter von verwalteten (Sicherheits-)Diensten.
Für solche und weitere Unternehmen muss laut Durchführungsrechtsakt jeder Vorfall gemeldet werden, bei dem der Verdacht besteht, dass er auf böswillige Handlungen zurückzuführen ist.
Das könnte bedeuten, dass viele Vorfälle gemeldet werden, die möglicherweise keinen betrieblichen Schaden verursachen, erklärte der Branchenverband ITI gegenüber Euractiv. Die Kategorien sollten verfeinert werden, um besser mit dem tatsächlichen Schaden übereinzustimmen und sich an internationalen Standards auszurichten, so der Verband.
„Unternehmen sind sich möglicherweise nicht einmal bewusst, wie viele Nutzer von einem bestimmten Sicherheitsvorfall betroffen sind, vor allem innerhalb des festgelegten Zeitrahmens“, erklärte Alexandre Roure, Head of Policy und Deputy Head of Office beim Branchenverband CCIA Europe, gegenüber Euractiv.
Roure bezog sich dabei insbesondere auf Cloud-Dienste, bei denen Unternehmen ihre Dienste möglicherweise an Business-to-Business-Unternehmen verkaufen, die wiederum Dienstleistungen für andere Unternehmen oder Verbraucher erbringen.
„Auf der Grundlage des aktuellen Entwurfs mit seinen übermäßig weit gefassten Definitionen ist es auch nahezu unmöglich, die potenziellen finanziellen und rufschädigenden Auswirkungen eines Vorfalls innerhalb der ersten 24 Stunden genau einzuschätzen. Wenn sich nichts ändert, werden Unternehmen im Unklaren darüber gelassen, ob sie jeden einzelnen Vorfall melden sollten oder nur die wirklich schwerwiegenden“, sagte er.
Der leitende Beauftragte für Cybersicherheit und Betrieb der EU-Cybersicherheitsagentur, Hans de Vries, vertrat eine andere Sichtweise.
In Bezug auf die Überberichterstattung von Vorfällen erklärte er, er wisse nicht, „ob die Zahlen nicht zu niedrig oder zu hoch sind“, ohne den Durchführungsrechtsakt gesehen zu haben. Er schlug vor, „mit den Zahlen zu arbeiten und effektiv zu sein“. In der vorherigen Fassung der Richtlinie „war der Schwellenwert so hoch, dass wir kaum Meldungen hatten, die den Schwellenwert erfüllten“, fügte er hinzu.
Unternehmen mögen aufgrund des Verwaltungsaufwands und der Angst vor Sanktionen zögern, Meldungen zu erstatten, aber diese Informationen seien für die Gesellschaft von entscheidender Bedeutung, sagte er.
[Bearbeitet von Owen Morgan/Martina Monti/Kjeld Neubert]
