NIS-Richtlinie für KRITIS
Kann Europa Cyberangriffen ein Ende setzen?
Ein Kalter Krieg im Cyberspace mit China und Russland auf der einen Seite und den USA und Europa auf der anderen Seite ist ein besorgniserregendes, aber immer wahrscheinlicheres Szenario. Es stellt sich die Frage, ob Europa überhaupt die Mittel hat, um seine Institutionen und Unternehmen davor zu schützen. Ein positiver Faktor ist: Die Europäische Kommission ist sich der Herausforderungen in diesem Bereich bewusst und hat die Cybersicherheit zur Priorität gemacht. Sie bereitet aktuell eine Strategie zur Harmonisierung der rechtlichen Anforderungen an die Cyber-Sicherheit auf europäischer Ebene vor.
Die Harmonisierungsbestrebungen begannen bereits 2016 mit dem Inkrafttreten der europäischen Richtlinie zur Gewährleistung einer hohen Netzwerk- und Informationssicherheit (NIS-Richtlinie). Die Richtlinie ist das erste europäische Gesetz, das ein hohes Sicherheitsniveau in der gesamten EU erreichen soll, indem es die Widerstandfähigkeit Europas gegenüber Cyberrisiken stärkt.
Ihr Hauptziel ist es, die Entwicklung einer gemeinsamen Cyberstrategie aller Mitgliedstaaten zu unterstützen, Unternehmen und Einzelpersonen vor Cyberangriffen zu schützen, diese zu erkennen und ihre Auswirkungen zu minimieren. Die NIS-Richtlinie wird aktuell überarbeitet, wobei der aktualisierte Text derzeit im Europäischen Parlament diskutiert wird. Der niederländische Europaabgeordnete Bart Groothuis ist der federführende Berichterstatter für den Text. Im Mai 2021 legte er seinen ersten Bericht vor, der die überarbeitete Richtlinie, gemeinhin als NIS2 bezeichnet, vorstellt.
Einheitlicher Rechtsrahmen steigert Schutzniveau des Cyberspace
Die EU ermutigt die Mitgliedsstaaten, ihre Cybersicherheitspolitik durch diese regulatorischen Verpflichtungen in Einklang zu bringen. Diese Forderungen schließen sich den konstruktiven Bemühungen der Europäischen Agentur für Cybersicherheit, ENISA, an, gemeinsame Zertifizierungssysteme für Cybersicherheit zu fördern. Die Vorteile davon sind vielfältig: Dank gemeinsamer, gesetzlich verankerter Anforderungen an die Cybersicherheit schafft die Europäische Union einen einheitlichen Markt für ihre Unternehmen und erhöht das Sicherheitsniveau der Produkte. Zudem sind Unternehmen nicht mehr auf ihren nationalen Markt beschränkt, sondern können ihr Angebot effizienter auf den gesamteuropäischen digitalen Binnenmarkt ausweiten.
Durch die Förderung eines anspruchsvollen Rechtsrahmens wird in Europa das Schutzniveau des Cyberspaces zunehmen. Denn wenn alle europäischen Unternehmen beziehungsweise Unternehmen, die auf europäischem Territorium tätig sind, gezwungen sind, ihre Qualität im Hinblick auf Cybersicherheit zu erhöhen, wird dies auch einen besseren, globalen Kampf gegen groß angelegte Cyberattacken ermöglichen. Dies dürfte den Markt ankurbeln sowie den Zugang zu hochwertigen Cyberdiensten und -produkten demokratisieren, sodass letztere schließlich von allen privaten und öffentlichen Organisationen jeder Größe erworben werden können. Die Harmonisierung des Anforderungsniveaus wird darüber hinaus die Risikovorhersage und die Reaktion auf Cybervorfälle erleichtern.
Richtlinie bringt Vorteile für globalen Wettbewerb
Aus internationaler Sicht wird ein einheitliches Regelwerk zur Cybersicherheit dazu beitragen, europäische Unternehmen zu fördern und ihnen dabei zu helfen, sich dem globalen Wettbewerb, der oft weniger anspruchsvoll ist, zu stellen. Darüber hinaus wird Europa auf diese Weise die Wettbewerbsverzerrung zwischen europäischen Ländern für Lösungen, die nicht das gleiche Qualitätsniveau vorweisen, beenden.
Die NIS-2-Richtlinie stärkt zudem das Management von Vorfällen, die kritische Infrastrukturen betreffen. Die zur Diskussion stehende Richtlinie schlägt vor, die Frist für die Benachrichtigung über einen Sicherheitsvorfall auf 72 Stunden für alle europäischen Einrichtungen anzugleichen. Damit erfüllt sie gleichzeitig auch die Anforderungen der Cybersecurity Executive Order, die am 12. Mai 2021 vom Weißen Haus unterzeichnet wurde. Identische Zeitmarker auf internationaler Ebene sind ein Novum und ein Vorteil, der EU-Lösungen im Ausland begünstigen kann.
Lesetipp: EU Cybersecurity Act - Einheitliche EU-Maßstäbe für IT-Sicherheit
Zusammenfassend lässt sich sagen: Europa organisiert sich angesichts des zunehmenden Cyberrisikos, indem es einen praxisrelevanten Rahmen für seine Mitgliedsstaaten schafft. Genau dieser Rahmen sollte jedoch nicht durch kürzlich vorgeschlagene Änderungen geschwächt werden.
Frankreich: Vorreiter für europäische Cyberstrategie
Die aktuelle Cyberstrategie der EU ist ein Echo auf die wegweisenden Maßnahmen, die in Frankreich bereits seit einem Jahrzehnt bestehen und sich bewährt haben. Mit der Gründung der nationalen Agentur für die Sicherheit von Informationssystemen (Agence nationale de la sécurité des systèmes d'information; ANSSI) im Jahr 2009 und der Aufnahme spezifischer Cybersicherheitsanforderungen in sein Militärisches Programmgesetz (LPM) ab 2013 hat Frankreich seinen Unternehmen und Institutionen einen kompetenteren Umgang mit Cyberrisiken ermöglicht.
Beide Initiativen haben eine Reihe von Anforderungen hervorgebracht, die sich hauptsächlich auf die Zertifizierung von Cybersicherheitsprodukten und -dienstleistungen sowie die kontinuierliche Überwachung von Informationssystemen konzentrieren. Aus diesem Grund ist Frankreich heute eines der Länder, die am besten auf Cyber-Bedrohungen vorbereitet sind.
Die kontinuierliche Überwachung der Informationssysteme erfolgt in Frankreich durch Sicherheitsaudits, Pentests oder sogenannte Bug-Bounty-Programme. Jede der Maßnahmen ermöglicht die Identifizierung von Schwachstellen und ist damit ein wesentlicher Schritt zur Reduzierung von Cyberrisiken. Darüber hinaus ist die Einführung eines Programms zur koordinierten Offenlegung von Schwachstellen (= Coordinated Vulnerability Disclosure, CVD) ein entscheidendes Element zur Begrenzung von Cyberrisiken, das sich im französischen Ökosystem bewährt hat.
Auch in den Vereinigten Staaten wurde gerade ein Gesetzesentwurf eingebracht, der alle staatlichen Zulieferer dazu verpflichten soll, ein Programm zur Offenlegung von Schwachstellen einzurichten. Letzteres ermutigt Unternehmen dazu, die Zusammenarbeit mit Schwachstellenforschern, sogenannten ethischen Hackern, zu fördern, indem sie ihnen einen vertrauenswürdigen Kanal bieten, um Schwachstellen zu melden, ohne rechtliche Konsequenzen befürchten zu müssen.
Deutschland: Engagement zur Stärkung der Cybersicherheit
In Deutschland ruft beispielsweise die Bundeswehr seit Oktober 2020 ethische Hacker über eine Vulnerability Disclosure Policy (VDP) dazu auf, das IT-System der Bundeswehr aktiv auf Schwachstellen zu überprüfen. Mit Erfolg: Zahlreiche Meldungen wurden seitdem eingereicht, einige Schwachstellen konnten bereits behoben werden.
Auch die Bundesregierung nimmt sich dem Thema CybersicherheitCybersicherheit seit einigen Jahren verstärkt an: 2011 wurde der Nationale Cyber-Sicherheitsrat als strategischer Ratgeber der Bundesregierung eingerichtet. Er identifiziert langfristige Handlungsnotwendigkeiten und leitet daraus Impulse zur Stärkung der Cybersicherheit ab. Sein bisheriger Schwerpunkt liegt insbesondere auf dem Schutz kritischer Infrastrukturen und der Cyber-Außenpolitik Deutschlands. 2016 hat die Bundesregierung zudem eine Cyber-Sicherheitsstrategie für Deutschland beschlossen, der Fortschreibungsprozess 2021 hat bereits begonnen. Zu den Zielen zählen unter anderem ein sicheres und selbstbestimmtes Handeln in einer digitalisierten Umgebung, ein enger Austausch zwischen Staat und Wirtschaft sowie eine zeitgemäße Cyber-Sicherheitsarchitektur. Alles zu Security auf CIO.de
Änderungen in NIS-2-Richtlinie senken Anforderungen an Cyberschutz
Die Beispiele und Werkzeuge zum Schutz von Organisationen vor Cyberangriffen sind zahlreich. Um die Cybersicherheit von europäischen Unternehmen und Institutionen zu stärken, müssen die Anforderungen an Softwarehersteller erhöht werden.
Die jüngsten Vorschläge für die NIS-2-Richtlinie, die im Groothuis-Bericht skizziert werden, senken jedoch die Anforderungen an den Cyberschutz. Von besonderem Interesse ist dabei, dass die Verpflichtung für Anbieter wesentlicher Dienste, zertifizierte Produkte und Dienstleistungen zu verwenden, gelockert wurde. Außerdem wird die Häufigkeit der Audits von Informationssystemen auf maximal einmal im Jahr festgelegt. Diese Häufigkeit ist überraschend - ein Minimum anstelle eines Maximums wäre sinnvoller.
Zudem ist der Anreiz für die Mitgliedstaaten, eine dem Stand der Technik entsprechende Cybersicherheitsstrategie zu formulieren, insgesamt nun deutlich geringer, als es angesichts der hohen Cyberbedrohungslage der Fall sein sollte. Die Änderungsanträge würden, sofern sie angenommen werden, sowohl mit den Anforderungen eines Mitgliedstaates als auch eines strategischen Partners der EU (z. B. den USA) an die Cybersicherheit nicht übereinstimmen.
Keine Zugeständnisse in Hinblick auf Cybersicherheit
Wir können nur mutmaßen, warum die Europäische Union ihre Cyber-Ambitionen zurückschrauben würde, obgleich diese zuvor ein Beispiel für einen anspruchsvollen und erfolgreichen Ansatz waren. Jenseits des französischen Modells kann Europa natürlich noch andere Instrumente mobilisieren, um seine Cybersicherheitsambitionen zu strukturieren und zu erreichen. Es bleibt zu hoffen, dass sich die von Frankreich eingesetzte positive Dynamik auf europäischer Ebene entfalten kann - dank einer Richtlinie, die keine Zugeständnisse bei den Anforderungen an ein robustes Cybersicherheitsökosystem macht. (bw)