Das neue Cybersicherheitspaket der Europäischen Kommission

Europa

Cyberangriffe werden immer komplexer und sind eine enorme Gefahr für Wirtschaft, Staat und Gesellschaft. Die Europäische Kommission hat im September 2017 auf diese erhöhte Gefährdungslage reagiert und ein neues Sicherheitspaket vorgestellt.

Regulatorisch hat sich in Deutschland und Europa in den letzten Jahren einiges getan. Neben dem deutschen IT-Sicherheitsgesetz und der KRITIS-Verordnung wurden auf der europäischen Ebene die NIS-Richtlinie (Netzwerk- und Informationssicherheit) und die EU-Datenschutzgrundverordnung verabschiedet. Das Cybersicherheitspaket knüpft nun an diese Regelungen an. Patrick von Braunmühl, Leiter Public Affairs der Bundesdruckerei, stellt die zahlreiche Vorschläge, Maßnahmen und Regulierungsvorschläge für eine stärkere europäische Zusammenarbeit vor.

Stärkung der ENISA

Das Paket enthält einen Gesetzesentwurf für eine dauerhafte Stärkung der Europäischen Agentur für Netz- und Informationssicherheit (ENISA). Sie soll zu einer europäischen Koordinierungsstelle für Cyberabwehrmaßnahmen ausgebaut werden und ein größeres Aufgabengebiet erhalten.

Patrick von Braunmühl

Patrick von Braunmühl, Leiter Public Affairs der Bundesdruckerei GmbH

Neben der Implementierung und Weiterentwicklung der NIS-Richtlinie soll sie etwa den Aufbau eines europaweiten, freiwilligen Zertifizierungsverfahrens koordinieren. Durch einen solchen EU-Rahmen könnten Anbieter-Unternehmen ein verlässliches und international vergleichbares Sicherheitsniveau nachweisen. Im Wettlauf um die technische Souveränität geht von der Kommission damit das richtige Signal aus. Denn nur durch die Förderung von Kooperation können Märkte entstehen, die wiederum zu Innovationen führen – und Innovationen sind bekanntlich die Triebfeder für Wachstum und Wohlstand.

Eine europaweite IT-Haftung?

Derzeit überprüft die EU-Kommission auch ihr Vorgehen bei der Haftung für IT-Produkte. Angesichts von Millionen internetfähigen Geräten, die sich zunehmend im Internet der Dinge vernetzen, fehlen hier noch klare Regeln. Denn viele dieser Geräte haben kein ausreichendes Sicherheitsniveau und bieten damit neue potenzielle Angriffsflächen. Im Zuge einer Herstellerhaftung wären Anbieter verpflichtet, für sichere Lösungen und Dienste zu sorgen. Die Europäische Kommission präsentiert ihre Vorstellungen dazu voraussichtlich im Juni 2018.

Bis dahin hat sich in Deutschland eine neue Koalition gebildet. Gegenstand der laufenden Koalitionsverhandlungen ist – wenn auch nur am Rande – das Thema IT-Haftung. Nahezu alle großen deutschen Parteien hatten im Vorfeld der Wahlen Vorschläge für Haftungsregelungen gemacht. Nicht nur vor diesem Hintergrund werden die genauen Wortlaute des kommenden Koalitionsvertrags mit Spannung zu erwarten sein.

Mehr Bildung, mehr Forschung

Der IT-Fachkräftemangel zieht sich nicht nur durch Deutschland, sondern durch die ganze EU. So schlägt die Kommission den Aufbau eines European Cybersecurity Research and Competence Centre vor, um eine bessere Koordinierung von Forschung und Entwicklung zu erreichen. Das Thema Cybersicherheit soll in Lehrplänen für Schulen und Universitäten, aber auch bei Weiterbildungsmaßnahmen in Unternehmen stärker berücksichtigt werden. Das Center soll sich dabei an ein breit angelegtes „cybersecurity competence network“ ansiedeln, welches die Technologieforschung im Bereich Cybersicherheit bündeln soll.

Datenschutz

Die Kommission hat ebenso zahlreiche Regulierungsvorschläge zur Stärkung des digitalen Binnenmarkts vorgestellt. Dabei sorgt derzeit besonders die e-privacy-Verordnung für erhitzte Gemüter. Im Januar 2017 hatte die Kommission ihren Vorschlag für die e-Privacy-Verordnung vorgestellt, die auch auf der Privacy Conference des BITKOM unter Beteiligung der Bundesdruckerei diskutiert wurde. Die neue Verordnung soll die e-Privacy-Richtlinie von 2002 ablösen und dabei unter anderem die Sicherheit und Vertraulichkeit elektronischer Kommunikation stärken und die Regeln für Tracking-Technologien wie Cookies klarer definieren. Es sind genau diese Regelungen, welche noch umstritten sind. Zuletzt hatte das Europäische Parlament seine Vorschläge zur geplanten e-Privacy-Verordnung mit 318 Fürstimmen und 280 Gegenstimmen verabschiedet. Eine Einigung unter den EU-Institutionen ist eigentlich für Mai 2018 vorgesehen. Dieser Termin gilt jedoch, aufgrund der vielen Streitpunkte als unrealistisch.

Auf nationaler Ebene wird derzeit die Datenschutzgrundverordnung (DSGVO) diskutiert. Um einen ausreichenden Schutz der Daten zu gewährleisten, hat der Gesetzgeber zahlreiche neue Informations- und Dokumentationspflichten eingeführt. Dazu zählen etwa die Berücksichtigung des Datenschutzes bei der Produktentwicklung (Privacy by Design), die Einführung eines Datenschutzmanagementsystems oder die Benennung und Schulung von Datenschutzkoordinatoren. Obwohl die Anforderungen bis Mai 2018 umgesetzt sein müssen, fühlen sich nach einer aktuellen Umfrage der Bundesdruckerei zwei Drittel der deutschen Mittelständler von den gesetzlichen Regeln zu Datenschutz und IT-Sicherheit überfordert. „In der Beratung können wir Unternehmen bei der Umsetzung der Datenschutzgrundverordnung helfen und gleichzeitig ein Konzept für die Informationssicherheit erstellen“, so Dr. Dirk Woywod, Bereichsleiter Consult & Services in der Bundesdruckerei.