03.12.21

Rat beschließt Position zur EU-Cybersicherheits-Richtlinie

Im Dezember 2020 legte die Kommission einen Vorschlag zur Überarbeitung der Richtlinie zur Netz- und Informationssicherheit vor (NIS II, s. cepAnalyse 13/2021). Die Richtlinie verpflichtet die Mitgliedstaaten insbesondere dazu, Cybersicherheitsstrategien aufzustellen. Zudem sollen verschiedene Foren zur Verbesserung der Zusammenarbeit im Bereich der Cybersicherheit zwischen den Mitgliedsstaaten beitragen. Ferner müssen die Mitgliedstaaten verbindliche Regeln für das Cybersicherheitsrisikomanagement festlegen und Meldepflichten für Cybersicherheitsvorfälle implementieren.

Der Vorschlag der Kommission sieht insbesondere eine Ausweitung des Anwendungsbereichs auf viele als „wesentlich“ oder „wichtig“ eingestufte Unternehmen vor, die mehr als 50 Beschäftigte haben oder einem Jahresumsatz bzw. eine Jahresbilanz von mindestens 10 Mio. €. Als „wesentliche" und „wichtige“ Einrichtungen gelten dabei etwa Strom- und Wasserversorger, Ölproduzenten, Banken, Hersteller von Medizinprodukten, Lebensmittelproduzenten oder Betreiber von Online-Marktplätzen.

Unabhängig von ihrer Größe sollte die Richtlinie auch für zahlreiche öffentliche Verwaltungen gelten. Dem will der Rat nun einen Riegel vorschieben. So soll der Geltungsbereich auf Verwaltungen der Zentralregierungen beschränkt werden. Die Mitgliedstaaten sollen selbst darüber entscheiden, ob sie ihn auch auf Verwaltungen auf regionaler oder lokaler Ebene ausdehnen wollen. Explizit ausnehmen will der Rat ferner Einrichtungen, die in den Bereichen Verteidigung, nationale Sicherheit, öffentliche Sicherheit oder Strafverfolgung tätig sind, sowie insbesondere die Justiz, Parlamente sowie Zentralbanken.

Auch an anderer Stelle bremst der Rat. So will er der Einführung verbindlicher Peer-Reviews nicht zustimmen. Die Kommission hatte hier vorgesehen, dass die Mitgliedstaaten regelmäßig die Wirksamkeit der Cybersicherheitskonzepte der anderen Mitgliedstaaten überprüfen sollten, um ein hohes und möglichst einheitliches Sicherheitsniveau in der EU sicherstellen zu können. Der Rat setzt sich nun dafür ein, dass der Peer-Review-Prozess auf Freiwilligkeit beruhen soll und nicht, wie vorgesehen, von der Kommission, sondern von den Mitgliedstaaten gesteuert wird.

Eine weitere zentrale Änderung nimmt der Rat bei den Meldepflichten vor. Der Kommissionsvorschlag sah hier noch vor, dass alle wesentlichen und wichtigen Unternehmen den zuständigen nationalen Behörden oder nationalen Reaktionsteams für IT-Sicherheitsvorfälle neben Cybervorfällen auch „Cyberbedrohungen“, die potenziell zu einem signifikanten Cybervorfall hätten führen können, melden müssen. Auch das geht dem Rat zu weit. Er plädiert dafür die Meldepflicht für „Cyberbedrohungen“ ganz zu streichen.

Mehr Informationen zur Position des Rates zur NIS II-Richtlinie finden sie hier und hier.

Philipp Eckhardt, cep-Digitalexperte

Alle Nachrichten