Rat verhandelt über Kommissionsvorschläge zur Cybersicherheit

Auch die EU-Kommission sieht dringenden Handlungsbedarf. Ende 2020 legte sie daher einen Richtlinienvorschlag zur Stärkung der Netz- und Informationssicherheit (NIS 2.0) vor. Der Vorschlag verpflichtet nun viele weitere Unternehmen dazu, Maßnahmen zum Management von Cyberrisiken zu implementieren und Cybersicherheitsvorfälle an staatliche Behörden zu melden. Die Richtlinie zur Netz- und Informationssicherheit [(EU) 2016/1148] verpflichtet u.a. Energieversorger, Banken, Unternehmen aus dem Transportsektor sowie bestimmte Anbieter digitaler Dienste zu diesen Maßnahmen. Mit der NIS 2.0 sollen künftig etwa auch Betreiber von Wasserstoffproduktionsanlagen, Abwasserunternehmen und Automobilhersteller erfasst sein. Ziel ist es, alle Unternehmen zu erfassen, die wesentlich beziehungsweise wichtig für eine Gesellschaft sind.

Derzeit wird sowohl im Europäischen Parlament als auch im Rat um eine Positionierung zum Kommissionsvorschlag gerungen. Der Ministerrat wird nun auf seiner Sitzung am 4. Juni intensiv über das Thema beraten und einen ersten Zwischenbericht zum Verhandlungsstand beschließen.

Das cep begrüßt die Vorschläge der EU-Kommission zur Stärkung der Cybersicherheit. Jedes Unternehmen hat zwar üblicherweise ein Eigeninteresse daran, die Sicherheit ihrer Netzwerk- und Informationssysteme sicherzustellen, da deren Ausfall Umsatzeinbußen nach sich ziehen und Reputationsschäden verursachen kann. Oft sind die wirtschaftlichen Anreize für Unternehmen, in Cybersicherheit zu investieren, jedoch suboptimal gering, da sie häufig die Kosten eines Cybervorfalls nicht voll tragen müssen und einen Teil der Kosten auf Dritte, etwa ihre Kunden, abwälzen können. Die Ausweitung des Anwendungsbereichs geht jedoch zu weit. Denn es werden künftig auch viele Unternehmen von der Richtlinie erfasst, die Produkte oder Dienstleistungen anbieten, die für das Funktionieren einer Gesellschaft nicht entscheidend sind.