Vereinheitlichung europaweiter Sicherheitsstandards geplant
EU überarbeitet Cybersicherheit und den Schutz kritischer Infrastruktur

Die EU-Kommission plant, die erste EU-weite Rechtsvorschrift über Cybersicherheit, die NIS-Richtlinie, und die Richtlinie zum Schutz europäischer kritischer Infrastrukturen aus dem Jahr 2008 zu überarbeiten. Ziel ist ein europaweit einheitliches Mindestmaß an Schutz für alle kritischen Infrastrukturen, sowohl analog als auch digital.

04.08.20

Während in Deutschland aktuell die Überarbeitung des IT-Sicherheitsgesetzes läuft, stehen möglicherweise auch auf europäischer Ebene Neuerungen bevor: Die EU-Kommission hat einen eigenen Fahrplan zur Überarbeitung der Richtlinie über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen (NIS-Richtlinie) – der ersten EU-weiten Rechtsvorschrift über Cybersicherheit – veröffentlicht. Zeitgleich hat sie einen Fahrplan für einen Gesetzgebungsvorschlag über Maßnahmen zur Verbesserung des Schutzes von kritischer Infrastruktur vorgelegt.

Der europäische Ansatz zum analogen Schutz kritischer Infrastrukturen abseits der IT-Sicherheit umfasst bisher nur die Bereiche Energie und Verkehr. Künftig will die Kommission sicherstellen, dass alle Sektoren eingebunden werden. Auch eine stärkere Verzahnung mit der NIS-Richtlinie wird angestrebt. Die Betroffenheit der deutschen Kommunalwirtschaft wird davon abhängen, wie die Gesetzgebungsvorschläge der Kommission aussehen, die sie für das vierte Quartal 2020 ankündigt. Für die Überarbeitung der NIS-Richtlinie gibt es eine öffentliche Konsultation, die bis zum 02. Oktober 2020 läuft. Der VKU begleitet die Prozesse, sowohl auf europäischer als auch auf Bundesebene, eng.

Die NIS-Richtlinie

Kommunale Unternehmen sind als Grundversorger häufig auch Betreiber kritischer Infrastrukturen (KRITIS). Daher müssen sie besonders hohen Anforderungen an die IT-Sicherheit genügen, um eine reibungslose Versorgung sicherzustellen. Auf europäischer Ebene ist die NIS-Richtlinie die Grundlage, um die nationalen Bestimmungen in diesem Bereich zu vereinheitlichen. In Deutschland war der Umsetzungsbedarf vergleichsweise gering, da der Maßnahmenkatalog des deutschen IT-Sicherheitsgesetzes aus dem Jahr 2015 viele Bestimmungen der NIS-Richtlinie bereits vorweggriff.

Kernaspekt der Richtlinie bisher ist die Ermittlung sogenannter Betreiber wesentlicher Dienste, welche „für die Aufrechterhaltung kritischer gesellschaftlicher und/oder wirtschaftlicher Tätigkeiten unerlässlich“ sind. Bis zum 9. November 2018 mussten EU-Mitgliedsstaaten Kriterien für die Ermittlung dieser Betreiber wesentlicher Dienste festlegen. Die Schwellenwerte für diese Einstufung sowie die darauf erwachsenden Anforderungen werden in der BSI-Kritisverordnung geregelt. Betreiber von Anlagen, die unter diese Kriterien fallen, müssen höhere Anforderungen im Bereich Cybersicherheit erfüllen und IT-Sicherheitsvorfälle an die zuständige nationale Behörde übermitteln. Die Festlegung der Kriterien für Betreiber wesentlicher Dienste im Sinne der NIS-Richtlinie ist auch ein Thema der nun anlaufenden Überarbeitung.

Nachbesserungsbedarf beim europaweiten Schutz kritischer Infrastruktur

Auf europäischer Ebene soll der Schutz kritischer Infrastruktur auch außerhalb des Bereichs IT-Sicherheit überarbeitet und weiter vereinheitlicht werden. Parallel zur NIS-Richtlinie steht auch die Überarbeitung der Richtlinie zum Schutz europäischer kritischer Infrastrukturen aus dem Jahr 2008 an. So soll die gesamte Sicherheit und Widerstandsfähigkeit kritischer Infrastruktur in der EU auch jenseits der IT-Sicherheit gestärkt und der zunehmenden Interdependenz verschiedener Sektoren Rechnung getragen werden.

EU-weit attestiert die Kommission ein mangelndes Bewusstsein über die verschiedenen Bedrohungsszenarien, denen sich Betreiber kritischer Infrastruktur gegenübersehen. Die oft grenzübergreifende Natur von Infrastrukturen und mangelnde Einheitlichkeit der nationalen Ansätze zum Schutz kritischer Infrastruktur kann im Ernstfall zu erheblichen Störungen der Versorgung führen. Um diese Missstände zu beheben, benennt die Kommission in beiden Fahrplänen den Einbezug weiterer Sektoren in die Einstufung als kritische Infrastruktur als mögliche Maßnahme. Mitgliedsstaatsübergreifend sollen alle kritischen Infrastrukturen einem Mindestmaß an Schutz unterliegen, sowohl analog als auch digital.

Schlagworte