Ob Stromproduzenten, Logistik-Konzerne oder Wasserwerke: Die EU will die Unternehmen in ihren Mitgliedsstaaten stärker vor Cyber-Angriffen schützen. Einer entsprechenden Richtlinie für mehr Netz- und Informationssicherheit (NIS) hat der Ausschuss für Binnenmarkt und Verbraucherschutz des Europarlaments grünes Licht erteilt. Den Plänen zufolge will die EU Unternehmen aus den Wirtschaftsbereichen Energie, Bank, Transport, Gesundheit und Wasser resistenter gegen Attacken aus dem Internet machen. Auch die Betreiber von Suchmaschinen, Online-Märkte und Cloud Services sollen sich so besser vor Cyberangriffen wappnen können.
„Ich begrüße die Einigung auf IT-Sicherheitsstandards für kritische Infrastrukturen wie Wasserversorgung und Flughäfen. Allerdings kann dies nur ein Anfang sein“, kommentierte Jan Philipp Albrecht, innen- und netzpolitischer Sprecher der Grünen im Europaparlament, das Votum. Dem Netzexperten gehen die Pläne nicht weit genug. „Noch immer fehlt ein genereller Mindeststandard für die Sicherheit bei Soft- und Hardware“, bemängelt er. Auch bringe die NIS-Richtlinie Verbrauchern nicht viel mehr Schutz vor Angriffen und Datenverlusten. Albrecht sprach sich für eine bessere Kommunikation zwischen IT-Sicherheitsbehörden der Mitgliedsstaaten aus.
Immer wieder sind europäische Unternehmen Ziel von Hackerangriffen – nicht selten mit verheerenden Folgen. Erst jüngst zeigte eine DIHK-Studie, dass Netzattacken in deutschen Unternehmen Schäden in Höhe von 50 Milliarden Euro anrichteten. Vor allem kleine und mittelgroße Firmen seien nicht „cyber-ready“, ihnen mangele es an adäquater Ausstattung für mehr Sicherheit. So warnte die DIHK, die meisten Mittelständler hätten noch gar nicht erkannt, in welcher Gefahr ihre Daten schwebten.
Die neue EU-Richtlinie sieht unter anderem vor, dass jeder Mitgliedstaat eine Behörde für die einheitliche Netz- und Informationssicherheit (NIS) benennt. Ferner sollen die einzelnen nationalen Behörden mit der EU-Kommission kooperieren, um Sicherheitsrisiken auszumachen und zu entschärfen. Zudem ist ein IT-Notfallteam (Computer Emergency Response Team, Cert) vorgesehen, das in jedem Land kurzfristig bei Problemen eingreifen kann. Das Cert behebt dann Sicherheitsvorfälle und Risiken nach einem festgelegten Ablauf. Die IT kleinerer Unternehmen soll regelmäßig auf den Prüfstand gestellt werden.
Besonders infrastruktursensible Bereiche wie die Stromversorgung oder der Transportsektor seien anfällig für Cyberattacken, sagt Andreas Schwab (CDU), Sprecher des Binnenmarktausschusses im EU-Parlament. Während es in der EU noch keinen derartigen Fall gab, war die Ukraine kurz vor Weihnachten Ziel eines Hackerangriffs: Wie das Cybersecurity-Unternehmen Eset mitteilte, schleusten Hacker einen „Black Energy“-Trojaner in das Firmennetzwerk ein – mit Erfolg. Die Stromversorgung war für mehrere Tage unterbrochen.
Nach der Zustimmung des Ausschusses muss nun noch das Plenum des Parlaments abstimmen. Die Zustimmung gilt als sicher. Bereits im Dezember vergangenen Jahres hatte sich das Parlament mit der Kommission und den Mitgliedstaaten auf die Richtlinie geeinigt. Nach Veröffentlichung im Amtsblatt der EU haben die EU-Staaten knapp zwei Jahre Zeit, die europäischen Vorgaben in nationales Recht umzusetzen.
