Das Internet hat unser Leben verändert. Nicht nur die Art und Weise, wie unsere tägliche Kommunikation funktioniert hat sich geändert, auch Arbeit und Wirtschaft verlagern sich zunehmend in das Netz. Um die „neue“ Infrastruktur zu schützen, hat die Europäische Kommission eine Richtlinie zur Gewährleistung einer hohen gemeinsamen Netz- und Informationssicherheit in der Union (2013/0027(COD)) – kurz NIS – präsentiert. Mit dieser Richtlinie sollen öffentliche Organisationen sowie Privatunternehmen verpflichtet werden, bei Hacker-Angriffen eine Meldung an die zuständige Behörde zu liefern, damit eine Verbreitung auf andere EU-Mitgliedsstaaten verhindert werden kann.
Wie soll die NIS umgesetzt werden?
– Errichtung einer Behörde in den Nationalstaaten
– Einrichtung eines CERTs (Computer Emergency Response Team)
– Schaffung eines Kooperationsmechanismus zwischen Mitgliedsstaaten und Kommission
– Schaffung eines sicheren Kooperationsnetzes zum Informationsaustausch
– Meldepflicht von Betreibern kritischer Infrastrukturen sowie zentraler Dienste der Informationsgesellschaft
– Bündelung aller Informationen bei ENISA (Europäischer Agentur für Netz- und Informationssicherheit)
– Sanktionen sollen Mitgliedsstaaten geregelt werden („wirksame, angemessene und abschreckende“)
Neben einigenpositiven Aspekten weist der Vorschlag auch Schwächen und eine Menge offener Fragen auf. So werden die Befugnisse der neue eingerichteten nationalen Behörden von zivilgesellschaftlichen Organisationen wie EDRi oder Netzpolitik.org etwa als zu umfassend beschrieben: Die zuständige Behörde sollte über „die notwendigen Mittel verfügen, um ihre Aufgabe zu erfüllen, einschließlich von Befugnissen, ausreichende Informationen von Marktteilnehmern zu erhalten“. Diese Definition bedeutet die Umsetzung eines Pull- statt eines Push-Prinzips (beim Pull-Prinzip bekommen die Behörden die Kompetenzen selbst Daten zu holen, beim Push-Prinzip hingegen werden die Daten der Behörde übermittelt) und damit verbunden die Verwischung der Grenze von sicherheitsrelevanter und geheimdienstlicher Arbeit. Auch datenschutzrechtliche Aspekte sind im Vorschlag rar.
NIS im Europäischen Parlament – wie geht es weiter?
Das Parlament befasst sich aktuell mit dieser Richtlinie, insgesamt wurden 120 Abänderungsanträge im Ausschuss für bürgerliche Rechte, Justiz und Inneres (LIBE) eingebracht – darunter 32 von Josef Weidenholzer. Federführend ist der Binnenmarkt-Ausschuss (IMCO), der Zeitplan sieht vor, dass die erste Lesung am 10. März 2014 stattfinden soll. Mehr Informationen können hier nachgelesen werden.
CREDITS: Bild von Computerwoche.de