2 min read
Wir haben uns in letzter Zeit vor allem mit der EU-Datenschutz-Grundverordnung (DS-GVO) beschäftigt, doch es gibt noch eine weitere erwähnenswerte EU-Sicherheitsinitiative.
Die Richtlinie für Netz- und Informationssicherheit (NIS-RL) soll für mehr Cyber-Sicherheit bei „unverzichtbaren Diensten“ sorgen.
Die NIS-RL ist nicht ansatzweise so ausführlich wie die DS-GVO. Sie zielt auf die Umsetzung von Mindestvorgaben für die Cybersicherheit und eine verbesserte Zusammenarbeit zwischen den Mitgliedstaaten im Hinblick auf Cyberangriffe auf entscheidende Wirtschaftssektoren ab: das Gesundheitswesen, Banken, Energie- und Telekommunikationssektor, Transport und bestimmte Online-Dienste.
So unterscheiden sich NIS-RL und DS-GVO
Gemäß der NIS-RL müssen Unternehmen in diesen Branchen Maßnahmen ergreifen, um Angriffe zu verhindern beziehungsweise deren Folgen zu minimieren, und Vorfälle mit signifikanten Auswirkungen auf die Fortführung der unverzichtbaren Dienste, die sie erbringen, melden.
Würden Hacker also beispielsweise Verbraucherdaten eines Energieversorgungsunternehmens entwenden, käme nicht die NIS-RL zur Anwendung sondern die DS-GVO. Würden die Angreifer aber die Steuerungssysteme eines Generators per Fernzugriff manipulieren und auf diese Weise für einen Systemabsturz sorgen, dann müsste die örtlich zuständige Behörde oder das jeweilige IT-Notfallteam (Computer Emergency Response Team, CERT) benachrichtigt werden.
Die NIS-RL sieht vor, dass die EU-Länder CERTs gründen, die solche Vorfälle erfassen und sich untereinander austauschen. Die CERTs sollen auch für die Umsetzung der NIS-RL zuständig sein. Während es bei der NIS-RL eher um Systeme und Ausfälle geht, regelt die DS-GVO den Umgang mit Verbraucherdaten und die Datensicherheit.
Die EU verfolgt mit der NIS-RL ähnliche Ziele wie die USA mit dem Rahmenwerk zur Computer- und Netzsicherheit kritischer Infrastrukturen (Critical Infrastructure Cybersecurity, CIS), bei dem es ebenfalls um den Schutz unverzichtbarer Dienste geht. Ein wichtiger Unterschied besteht allerdings darin, dass die US-Initiative (bislang) freiwillig ist.
Was die NIS-RL für Betreiber digitaler Dienste bedeutet
Die Betreiber von bestimmten digitalen Services und Webdiensten fallen ebenfalls unter die Regelungen der NIS-RL. Dazu gehören Online-Marktplätze (für Konsumgüter und Finanzdienstleistungen), Online-Suchmaschinen und Cloud-Computing-Dienste.
Wenn Amazon Web Services oder Airbnb in der EU Opfer einer DoS-Attacke würden, müssten sie wohl das örtliche CERT informieren. Diese Unternehmen unterliegen natürlich den derzeit geltenden EU-Rechtsvorschriften zum Schutz personenbezogener Daten sowie der DS-GVO sobald sie 2018 vollständig in Kraft tritt.
Somit müssen diese Betreiber digitaler Dienste künftig zwei Gesetzen zur Cybersicherheit gleichzeitig gerecht werden. Keine ganz einfache Situation.
Der aktuelle Stand der NIS-RL
Das EU-Parlament hat die NIS-RL soeben gebilligt, sodass sie voraussichtlich noch in diesem Sommer in Kraft treten wird. Die Mitgliedstaaten haben anschließend 21 Monate Zeit, um die Richtlinie in nationale Gesetzgebung umzusetzen. Im Anschluss bleiben ihnen weitere sechs Monate, um zu ermitteln, wer im jeweiligen Land die in der Richtlinie genannten unverzichtbaren Dienste anbietet.
What you should do now
Below are three ways we can help you begin your journey to reducing data risk at your company:
- Schedule a demo session with us, where we can show you around, answer your questions, and help you see if Varonis is right for you.
- Download our free report and learn the risks associated with SaaS data exposure.
- Share this blog post with someone you know who'd enjoy reading it. Share it with them via email, LinkedIn, Twitter, Reddit, or Facebook.
Michael Buckbee
Michael has worked as a sysadmin and software developer for Silicon Valley startups, the US Navy, and everything in between.
