Das Europäische Parlament kündigte eine „vorläufige Vereinbarung“ an, die darauf abzielt, die Cybersicherheit und -resilienz von öffentlichen und privaten Einrichtungen in der Europäischen Union zu verbessern.
Die überarbeitete Richtlinie mit dem Namen „NIS2“ (kurz für Netzwerk- und Informationssysteme) soll die bestehenden Rechtsvorschriften zur Cybersicherheit ersetzen, die im Juli 2016 erlassen wurden.
Die Überarbeitung legt Grundregeln fest, die Unternehmen in den Sektoren Energie, Verkehr, Finanzmärkte, Gesundheit und digitale Infrastruktur zur Einhaltung von Risikomanagementmaßnahmen und Berichtspflichten verpflichten.
Zu den Bestimmungen der neuen Gesetzgebung gehören die Meldung von Cybersicherheitsvorfällen an die Behörden innerhalb von 24 Stunden, das Patchen von Software-Schwachstellen und die Vorbereitung von Risikomanagementmaßnahmen zur Sicherung von Netzwerken, bei deren Nichteinhaltung Geldstrafen verhängt werden können.
„Mit der Richtlinie wird offiziell das European Cyber Crises Liaison Organization Network, EU-CyCLONe, eingerichtet, das die koordinierte Bewältigung großflächiger Cybersicherheitsvorfälle unterstützen wird“, erklärte der Rat der Europäischen Union letzte Woche in einer Erklärung.
Die Entwicklung folgt den Plänen der Europäischen Kommission, Bilder und Videos von sexuellem Kindesmissbrauch bei Online-Diensteanbietern, einschließlich Messaging-Apps, zu erkennen, zu melden, zu sperren und zu entfernen, was Bedenken hervorrief, dass dies den Schutz der Ende-zu-Ende-Verschlüsselung (E2EE) untergraben könnte.
Im Entwurf der NIS2 heißt es ausdrücklich, dass die Nutzung von E2EE „mit den Befugnissen der Mitgliedstaaten zum Schutz ihrer wesentlichen Sicherheitsinteressen und der öffentlichen Sicherheit sowie zur Ermittlung, Feststellung und Verfolgung von Straftaten im Einklang mit dem Unionsrecht in Einklang gebracht werden sollte“.
Sie betonte außerdem, dass „Lösungen für den rechtmäßigen Zugang zu Informationen in der Ende-zu-Ende-verschlüsselten Kommunikation die Wirksamkeit der Verschlüsselung zum Schutz der Privatsphäre und der Sicherheit der Kommunikation aufrechterhalten und gleichzeitig eine wirksame Reaktion auf Straftaten ermöglichen sollten“.
Allerdings gilt die Richtlinie nicht für Organisationen in Bereichen wie Verteidigung, nationale Sicherheit, öffentliche Sicherheit, Strafverfolgung, Justiz, Parlamente und Zentralbanken.
Als Teil der vorgeschlagenen Vereinbarung sind die Mitgliedsstaaten der Europäischen Union verpflichtet, die Bestimmungen innerhalb von 21 Monaten nach Inkrafttreten der Richtlinie in ihr nationales Recht zu übernehmen.
„Die Anzahl, das Ausmaß, die Raffinesse, die Häufigkeit und die Auswirkungen von Cybersicherheitsvorfällen nehmen zu und stellen eine große Bedrohung für das Funktionieren von Netzwerken und Informationssystemen dar“, so der Rat in seinem Entwurf.
„Daher sind die Bereitschaft und die Effektivität der Cybersicherheit für das ordnungsgemäße Funktionieren des Binnenmarktes heute wichtiger denn je.