Wir haben uns in letzter Zeit vor allem mit der EU-Datenschutz-Grundverordnung (DS-GVO) beschäftigt, doch es gibt noch eine weitere erwähnenswerte EU-Sicherheitsinitiative.
Die Richtlinie für Netz- und Informationssicherheit (NIS-RL) soll für mehr Cyber-Sicherheit bei „unverzichtbaren Diensten“ sorgen.
Die NIS-RL ist nicht ansatzweise so ausführlich wie die DS-GVO. Sie zielt auf die Umsetzung von Mindestvorgaben für die Cybersicherheit und eine verbesserte Zusammenarbeit zwischen den Mitgliedstaaten im Hinblick auf Cyberangriffe auf entscheidende Wirtschaftssektoren ab: das Gesundheitswesen, Banken, Energie- und Telekommunikationssektor, Transport und bestimmte Online-Dienste.
So unterscheiden sich NIS-RL und DS-GVO
Gemäß der NIS-RL müssen Unternehmen in diesen Branchen Maßnahmen ergreifen, um Angriffe zu verhindern beziehungsweise deren Folgen zu minimieren, und Vorfälle mit signifikanten Auswirkungen auf die Fortführung der unverzichtbaren Dienste, die sie erbringen, melden.
Würden Hacker also beispielsweise Verbraucherdaten eines Energieversorgungsunternehmens entwenden, käme nicht die NIS-RL zur Anwendung sondern die DS-GVO. Würden die Angreifer aber die Steuerungssysteme eines Generators per Fernzugriff manipulieren und auf diese Weise für einen Systemabsturz sorgen, dann müsste die örtlich zuständige Behörde oder das jeweilige IT-Notfallteam (Computer Emergency Response Team, CERT) benachrichtigt werden.
Die NIS-RL sieht vor, dass die EU-Länder CERTs gründen, die solche Vorfälle erfassen und sich untereinander austauschen. Die CERTs sollen auch für die Umsetzung der NIS-RL zuständig sein. Während es bei der NIS-RL eher um Systeme und Ausfälle geht, regelt die DS-GVO den Umgang mit Verbraucherdaten und die Datensicherheit.
Die EU verfolgt mit der NIS-RL ähnliche Ziele wie die USA mit dem Rahmenwerk zur Computer- und Netzsicherheit kritischer Infrastrukturen (Critical Infrastructure Cybersecurity, CIS), bei dem es ebenfalls um den Schutz unverzichtbarer Dienste geht. Ein wichtiger Unterschied besteht allerdings darin, dass die US-Initiative (bislang) freiwillig ist.
Was die NIS-RL für Betreiber digitaler Dienste bedeutet
Die Betreiber von bestimmten digitalen Services und Webdiensten fallen ebenfalls unter die Regelungen der NIS-RL. Dazu gehören Online-Marktplätze (für Konsumgüter und Finanzdienstleistungen), Online-Suchmaschinen und Cloud-Computing-Dienste.
Wenn Amazon Web Services oder Airbnb in der EU Opfer einer DoS-Attacke würden, müssten sie wohl das örtliche CERT informieren. Diese Unternehmen unterliegen natürlich den derzeit geltenden EU-Rechtsvorschriften zum Schutz personenbezogener Daten sowie der DS-GVO sobald sie 2018 vollständig in Kraft tritt.
Somit müssen diese Betreiber digitaler Dienste künftig zwei Gesetzen zur Cybersicherheit gleichzeitig gerecht werden. Keine ganz einfache Situation.
Der aktuelle Stand der NIS-RL
Das EU-Parlament hat die NIS-RL soeben gebilligt, sodass sie voraussichtlich noch in diesem Sommer in Kraft treten wird. Die Mitgliedstaaten haben anschließend 21 Monate Zeit, um die Richtlinie in nationale Gesetzgebung umzusetzen. Im Anschluss bleiben ihnen weitere sechs Monate, um zu ermitteln, wer im jeweiligen Land die in der Richtlinie genannten unverzichtbaren Dienste anbietet.
Wie soll ich vorgehen?
Im Folgenden finden Sie drei Möglichkeiten, wie Sie das Datenrisiko in Ihrem Unternehmen verringern können:
Vereinbaren Sie eine Demo mit uns, um Varonis in Aktion zu erleben. Wir passen die Session an die Datensicherheitsanforderungen Ihres Unternehmens an und beantworten alle Fragen.
Sehen Sie sich ein Beispiel unserer Datenrisikobewertung an und erfahren Sie, welche Risiken in Ihrer Umgebung lauern könnten. Varonis DRA ist völlig kostenlos und bietet einen klaren Weg zur automatischen Sanierung.
Folgen Sie uns auf LinkedIn, YouTubeund X (Twitter), um kurze Einblicke in alle Themen der Datensicherheit zu erhalten, einschließlich Data Security Posture Management (DSPM), Bedrohungserkennung, KI-Sicherheit und mehr.
