FM4-Logo

jetzt live:

Aktueller Musiktitel:

EU-Flagge mit Schloss-Symbol und Aufschrift Cyber-Security

CC0

Erich Moechel

Ukrainekrieg treibt EU-Cybersicherheit voran

Die neue Richtlinie NIS2 bezieht wesentlich mehr Unternehmen als die alte ein, auch Behörden in Bundesländern werden erfasst. Damit sollen so dilettantische Umgangsweisen mit Cyberattacken wie zuletzt in Kärnten künftig hintangehalten werden.

Von Erich Moechel

Die neue Richtline zur Cybersicherheit (NIS2) der Union ist ausverhandelt, momentan werden gerade die letzten Kompromisse der Trilogverhandlungen eingearbeitet und ein konsolidierter Text erstellt. Erst vor einer Woche hatte der Industrieausschuss die Ergebnisse des Trilogs mit nur einer Gegenstimme einhellig bestätigt.

Diese schnelle Einigung auf verschärfte IT-Sicherheitsmaßnahmen wurde durch den Ukrainekrieg angeschoben. Die für September angesetzten Plenarabstimmungen von Rat und Parlament sind damit nur noch Formalakte. Auch Cybervorfälle auf Landesebene wie jener in Kärnten werden nach Inkrafttreten von NIS2 meldepflichtig sein.

Screenshot aus Dokument

EU Parlament

Diese Timeline stammt aus einer Zusammenstellung des EU-Parlaments zum Werdegang der NIS2-Richtlinie. Sie lässt sich aus technischen Gründen im Redaktionstool nicht verlinken.

Ein „Erdrutschsieg“ im Industrieausschuss

Der Ransomware-Angriff auf die Kärntner Landesregierung von Ende Mai. (siehe weiter unten)

„Auf einen solchen Erdrutschsieg hatte ich gehofft. Dieses Abstimmungsergebnis zeigt das Ausmaß der politischen Unterstützung für eine neue Phase im Umgang Europas mit Bedrohungen der Cybersicherheit“, so kommentierte Bart Groothuis - Berichterstatter des Parlaments zu NIS-2, die Abstimmung im Industrieausschuss. Margaritis Schinas, Vizepräsident der Kommission, betonte die Bedeutung von Nis2 angesichts der momentanen geopolitischen Entwicklungen. Nach einem eher zähen Beginn im Jahr 2020 hatte sich die Konsensfindung zuletzt immer mehr beschleunigt.

NIS2 geht über den Geltungsbereich von NIS-1 deutlich hinaus. Es werden nicht nur mehr, sondern auch andere Unternehmen davon erfasst, dabei stehen vor allem Meldepflichten für Cybervorfälle im Mittelpunkt. Da die Kriterien genauer definiert sind und in manchen Sektoren alle Unternehmen und Behörden der öffentlichen Verwaltung ab einer gewissen Größe unter NIS-2 fallen. Die Liste der Sektoren ist lang, von Gesundheitswesen, großen kommunalen Dienstleistern, Banken oder Energie- und Lebensmittelversorgern und dem Gesundheitswesen, Mobilfunk- und Internetprovidern. Für diese Firmen und Behörden gibt es nun einen Katalog an Sicherheitsauflagen, der das allgemeine Sicherheitsniveau erhöhen wird.

zu DNS

EU Ministerrat

Die letzte größere Verzögerung der Genese von NIS2 wurde vom Ministerrat Ende Dezember 2021 ausgelöst. In der finalen Ratsversion vor den Trilog-Verhandlungen war die Einbeziehung des weltweiten Domain Name Systems (DNS) als kritischer Dienst vorgesehen, der eine besondere Überprüfung bei der Registrierung von Domains notwendig macht. Es ist völlig unklar, welcher Sicherheitsgewinn von einer solchen Maßnahme im Rat erwartet wird. Der Grund, warum eine EU-Regelung wie NIS2 plötzlich zum Oberkontrolleur der weltweiten Domain Name Services im Internet werden soll, ist derzeit heute nicht bekannt. Der gesamte Richtlinienentwurf in der Version des Rats: Proposal for a Directive of the European Parliament and of the Council on measures for a high common level of cybersecurity across the Union

Meldepflichten auch in den Bundesländern

Die Vorgängerrichtlinie Richtlinie für Sicherheit in Informationsnetzen (Nis1) wurde ein knappes Jahr nach Fristablauf 2019 auch in Österreich umgesetzt.

Unternehmen, die unter die Kriterien der Richtline fallen, müssen Cyberangriffe, die kritische Dienste betreffen - in der Regel sind das derzeit Ransomware-Attacken - binnen 24 Stunden die nationalen „Computer Security Incident Response Teams“ (CSIRTs), sowie die zuständige nationale Behörde benachrichtigen. Binnen 72 Stunden nach der Entdeckung eines Angriffs wird von den betroffenen Unternehmen und Behörden eine möglichst detailgenaue Beschreibung des Vorfalls eingefordert. Wie man am Beispiel der Verschlüsselungserpresser sieht, passieren diese Angriffe nämlich serienweise und länderübergreifend. Vorbeugung und Abwehr aber stehen und fallen mit dieser Meldepflicht.

Die hartnäckigsten Widerstände gegen die neuen Regelungen kamen nicht von Industrie- und Wirtschaftslobbyisten, sondern aus einer Reihe von Mitgliedsstaaten, angeführt von Deutschland. Diese Staaten wollten eine Generalausnahme für regionale Verwaltungsbehörden der Bundesländer, dagegen wehrten sich Vertreter des EU-Parlaments. Heraus kam, nicht ganz überraschend, ein Kompromiss. So einigte man sich darauf, dass die oberste Verwaltungsebene der Länder einbezogen wird, auf den Ebenen darunter gilt hingegen kein größen- sondern ein risikobasierter Ansatz. Bestimmte einzelne Bereiche können bei der Umsetzung von NIS-2 auf nationalen Ebenen als kritische Dienste definiert werden.

NIS-Richtlinie

public domain

Erwägungsgrund 54 im Richtlinienentwurf zu Maßnahmen für einen gemeinsamen hochklassigen Cybersicherheitsstandard in der Union. Die obige Passage hatte die scheidende deutsche Ratspräsidentschaft im Dezember 2020 in der Ursprungsfassung hinterlassen. Die Höhe des europäischen Sicherheitsniveaus zur Abwehr von Angriffen von Kriminellen und ausländischen Geheimdiensten soll mit den Zugriffsbedürfnissen der Strafverfolger abgewogen werden.

Dilettantismus und Fahrlässigkeit in Kärnten

Die EU-Richtlinie für „hochklassige Cybersicherheit“ mit Hintertüren (NIS2) wurde Mitte Dezember 2020 auf den Weg gebracht.

Was aus diesen beiden erratischen Passagen (Screenshot
+s oben) geworden ist, wird erst die Publikation der konsolidierten Fassung von NIS2 zeigen, die für den September zu erwarten ist. Es steht jedenfalls jetzt schon fest, dass auch die gesamte oberste Behördenebene in den Bundesländern darunter fällt. Die Vorgangsweise der Kärnter Landesregierung, diesen erfolgreichen Ransomware-Angriff erst tagelang abzustreiten wie danach den Abgriff und die Veröffentlichung zigtausender Stammdatensätze Kärntner Bürger:innen, verstößt nach dem Inkrafttreten von NIS2 gegen eine ganze Serie von Auflagen und Meldepflichten und fällt in Zukunft wohl unter „grobe Fahrlässigkeit“.

Der RSS-Feed zu diesem Blog. Sachdienliche Informationen, Metakritiken et al. sind über dieses Formular verschlüsselt und anonym beim Autor einzuwerfen. Wer eine Antwort will, gebe tunlichst eine Kontaktmöglichkeit an.

Aktuell: