Das EU-Parlament, die EU-Kommission und der Rat haben sich innerhalb mehrerer Trilog-Verhandlungen auf einen gemeinsamen Richtlinienvorschlag zur Netz- und Informationssicherheit (NIS) geeinigt. Die NIS-Richtlinie soll den Schutz der Daten-Infrastruktur in den 28 Mitgliedstaaten vereinheitlichen. Die vorangegangenen Maßnahmen zur NIS beruhten lediglich auf Freiwilligkeit und führten somit zu einer Vielzahl heterogener Lösungsansätze.

Mit der neuen Richtlinie soll festgelegt werden, welche Vorkehrungen Betreiber wesentlicher Dienste (z.B. Energie, Verkehr, Finanzen und Gesundheit) und digitaler Dienste (z.B. E‑Commerce-Plattformen, Suchmaschinen und Cloud-Dienste) in Bezug auf die Computer- und Netzsicherheit treffen müssen. So sollen sie verpflichtet werden, Maßnahmen zur Abwehr von Cybergefahren zu ergreifen und schwere Sicherheitszwischenfälle zu melden, doch werden für die beiden Kategorien von Betreibern jeweils unterschiedliche Regeln gelten.

Außerdem sollen die Mitgliedstaaten verpflichtend eine Strategie für Netz- und Informationssicherheit erstellen und zuständige Behörden benennen. Darüber hinaus ist eine Kooperationsgruppe auf EU-Ebene vorgesehen, um ein strategisches Vorgehen zu sichern und operative Tätigkeiten zu leiten. Für diese operative Zusammenarbeit ist ein Netzwerk nationaler Soforteinsatzteams für IT-Sicherheitsvorfälle (Computer Security Incident Response Teams – CSIRT) angedacht.

Der vereinbarte Text wird heute dem Ausschuss der Ständigen VertreterInnen der Mitgliedstaaten zur Billigung vorlegt. Danach muss der Richtlinien-Entwurf noch durch das Plenum des Europäischen Parlaments. Dies kann bei Trilog-Ergebnissen jedoch als eher formaler Akt gewertet werden. Die Mitgliedstaaten haben danach 21 Monate Zeit für eine nationale Umsetzung. Darüber hinaus ist noch eine sechs monatige Frist zur Bekanntgabe der Betreiber „wesentlicher Dienste“ vorgesehen.

Bild: FotoHiero / pixelio.de