Verhandlungsführer des EU-Rates und des Parlaments haben sich auf einen gemeinsamen Entwurf für eine Richtlinie zur Netzwerk- und Informationssicherheit geeinigt. Auch auf einige Online-Anbieter kommen neue Auflagen zu.
Nach fast zweijährigen Verhandlungen haben sich Vertreter der Luxemburgischen Ratspräsidentschaft und des EU-Parlaments am Montagabend auf neue Regeln verständigt, mit der sie die IT bei Betreibern kritischer Infrastrukturen und großen Online-Dienstleistern sicherer machen wollen. Die betroffenen Firmen sollen demnach verpflichtet werden, Sicherheits- und Datenschutzpannen sowie IT-Angriffe zu melden. Sie müssten zudem ihre Systeme auf mögliche Lücken überprüfen und gegebenenfalls härten. Soziale Netzwerke außen vor
Die Auflagen sollen generell für Betreiber und Anbieter "essenzieller Dienste" etwa in den Bereichen Energie, Wasserversorgung, Transport, Finanzwesen, Gesundheit und Internet gelten. Dort werden konkret Verkehrsknoten, Domain-Registrierungsstellen, Online-Marktplätze wie eBay oder Amazon, Suchmaschinen wie Google und Cloud-Anbieter aufgeführt, nicht jedoch etwa Betreiber sozialer Netzwerke wie Facebook. Kleine Digitalfirmen sollen generell außen vor bleiben. Der Parlamentsberichterstatter Andreas Schwab (CDU) betonte, dass die vorgesehene Richtlinie "den Beginn der Plattform-Regulierung" markiere. Die Abgeordneten seien hier mit einer Definition der betroffenen Online-Firmen weiteren Schritten der Kommission zuvorgekommen.
Die EU-Kommission hatte ursprünglich angestrebt, dass die Meldeauflagen auch für den öffentlichen Sektor gelten sollten. Damit konnte sie sich aber nicht durchsetzen. Trotzdem begrüßte die Kommission die Einigung als wichtigen Schritt, um das Online-Umfeld besser abzusichern. Rat und Parlament müssen den Richtlinienentwurf noch formell absegnen. Internetwirtschaft zufrieden
Die Mitgliedsstaaten sollen damit dazu angehalten werden, nationale Meldesysteme einzurichten und Informationen untereinander auszutauschen. Beteiligt werden sollen "kompetente Behörden" wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) hierzulande sowie spezielle "Computer Security Incident Response Teams" (CSIRTs). Der Rat möchte sie zu bestehenden "Computer Emergency Response Teams" (CERTs) einrichten lassen.
Der Verband der Internetwirtschaft eco zeigte sich zufrieden mit dem Kompromiss und erleichtert, dass die Auflagen nicht für Kleinunternehmen gelten sollen. Insgesamt könnten mit den Vorgaben "unnötige Belastungen" vermieden werden, die nicht mit einem Sicherheitsgewinn verbunden seien. Die Bundesregierung darauf achten, dass es nicht zu größeren Differenzen mit dem erst kürzlich in Kraft getretenen nationalen IT-Sicherheitsgesetz komme, wenn sie die Richtlinie umsetzt.