Die EU-Richtlinie für Netz- und Informationssicherheit

Wir haben uns in letzter Zeit vor allem mit der EU-Datenschutz-Grundverordnung (DS-GVO) beschäftigt, doch es gibt noch eine weitere erwähnenswerte EU-Sicherheitsinitiative. Die Richtlinie für Netz- und Informationssicherheit (NIS-RL) soll für...
Michael Buckbee
2 minute gelesen
Letzte aktualisierung 29. Oktober 2021

Wir haben uns in letzter Zeit vor allem mit der EU-Datenschutz-Grundverordnung (DS-GVO) beschäftigt, doch es gibt noch eine weitere erwähnenswerte EU-Sicherheitsinitiative.

Die Richtlinie für Netz- und Informationssicherheit (NIS-RL) soll für mehr Cyber-Sicherheit bei „unverzichtbaren Diensten“ sorgen.

Die NIS-RL ist nicht ansatzweise so ausführlich wie die DS-GVO. Sie zielt auf die Umsetzung von Mindestvorgaben für die Cybersicherheit und eine verbesserte Zusammenarbeit zwischen den Mitgliedstaaten im Hinblick auf Cyberangriffe auf entscheidende Wirtschaftssektoren ab: das Gesundheitswesen, Banken, Energie- und Telekommunikationssektor, Transport und bestimmte Online-Dienste.

So unterscheiden sich NIS-RL und DS-GVO

Gemäß der NIS-RL müssen Unternehmen in diesen Branchen Maßnahmen ergreifen, um Angriffe zu verhindern beziehungsweise deren Folgen zu minimieren, und Vorfälle mit signifikanten Auswirkungen auf die Fortführung der unverzichtbaren Dienste, die sie erbringen, melden.

Würden Hacker also beispielsweise Verbraucherdaten eines Energieversorgungsunternehmens entwenden, käme nicht die NIS-RL zur Anwendung sondern die DS-GVO. Würden die Angreifer aber die Steuerungssysteme eines Generators per Fernzugriff manipulieren und auf diese Weise für einen Systemabsturz sorgen, dann müsste die örtlich zuständige Behörde oder das jeweilige IT-Notfallteam (Computer Emergency Response Team, CERT) benachrichtigt werden.

Die NIS-RL sieht vor, dass die EU-Länder CERTs gründen, die solche Vorfälle erfassen und sich untereinander austauschen. Die CERTs sollen auch für die Umsetzung der NIS-RL zuständig sein. Während es bei der NIS-RL eher um Systeme und Ausfälle geht, regelt die DS-GVO den Umgang mit Verbraucherdaten und die Datensicherheit.

Die EU verfolgt mit der NIS-RL ähnliche Ziele wie die USA mit dem Rahmenwerk zur Computer- und Netzsicherheit kritischer Infrastrukturen (Critical Infrastructure Cybersecurity, CIS), bei dem es ebenfalls um den Schutz unverzichtbarer Dienste geht. Ein wichtiger Unterschied besteht allerdings darin, dass die US-Initiative (bislang) freiwillig ist.

Was die NIS-RL für Betreiber digitaler Dienste bedeutet

Die Betreiber von bestimmten digitalen Services und Webdiensten fallen ebenfalls unter die Regelungen der NIS-RL. Dazu gehören Online-Marktplätze (für Konsumgüter und Finanzdienstleistungen), Online-Suchmaschinen und Cloud-Computing-Dienste.

Wenn Amazon Web Services oder Airbnb in der EU Opfer einer DoS-Attacke würden, müssten sie wohl das örtliche CERT informieren. Diese Unternehmen unterliegen natürlich den derzeit geltenden EU-Rechtsvorschriften zum Schutz personenbezogener Daten sowie der DS-GVO sobald sie 2018 vollständig in Kraft tritt.

Somit müssen diese Betreiber digitaler Dienste künftig zwei Gesetzen zur Cybersicherheit gleichzeitig gerecht werden. Keine ganz einfache Situation.

Der aktuelle Stand der NIS-RL

Das EU-Parlament hat die NIS-RL soeben gebilligt, sodass sie voraussichtlich noch in diesem Sommer in Kraft treten wird. Die Mitgliedstaaten haben anschließend 21 Monate Zeit, um die Richtlinie in nationale Gesetzgebung umzusetzen. Im Anschluss bleiben ihnen weitere sechs Monate, um zu ermitteln, wer im jeweiligen Land die in der Richtlinie genannten unverzichtbaren Dienste anbietet.

What should I do now?

Below are three ways you can continue your journey to reduce data risk at your company:

1

Schedule a demo with us to see Varonis in action. We'll personalize the session to your org's data security needs and answer any questions.

2

See a sample of our Data Risk Assessment and learn the risks that could be lingering in your environment. Varonis' DRA is completely free and offers a clear path to automated remediation.

3

Follow us on LinkedIn, YouTube, and X (Twitter) for bite-sized insights on all things data security, including DSPM, threat detection, AI security, and more.

Testen Sie Varonis gratis.

Detaillierte Zusammenfassung Ihrer Datensicherheitsrisiken
Umsetzbare Empfehlungen, die auf Ihre Bedürfnisse zugeschnitten sind
Ohne Bedingungen und Auflagen

Weiter lesen

Varonis bewältigt Hunderte von Anwendungsfällen und ist damit die ultimative Plattform, um Datenschutzverletzungen zu stoppen und Compliance sicherzustellen.

die-eu-datenschutz-grundverordnung-ist-beschlossen-–-was-sie-jetzt-wissen-sollten
Die EU-Datenschutz-Grundverordnung ist beschlossen – Was Sie jetzt wissen sollten
Inzwischen ist die EU-Datenschutz-Grundverordnung (DS-GVO), die von einigen schon als „Meilenstein des digitalen Zeitalters“ bezeichnet wird, endgültig beschlossen. Wir haben uns bereits häufiger mit der Geschichte der DS-GVO beschäftigt, für...
gerüstet-für-die-eu-datenschutz-grundverordnung
Gerüstet für die EU-Datenschutz-Grundverordnung
Mit dem Ende der Trilog-Verhandlungen im Dezember 2015 wurde die endgültige Fassung der EU-Datenschutz-Grundverordnung (DS-GVO) verabschiedet. In der unendlichen Geschichte der kurz „DS-GVO“ genannten Verordnung waren immer wieder neue Hürden...
unerwartet-stürmisch:-non-compliance-und-wirtschaftskriminalität-“nach-nsa“
Unerwartet stürmisch: Non-Compliance und Wirtschaftskriminalität “nach NSA“
Von Cyril Simonnet Seit einigen Jahren klettern die Zahlen für Wirtschaftskriminalität, Dunkelziffer inbegriffen. Die Materie ist komplex und kommt es denn tatsächlich zu einer Strafverfolgung, hat man es nicht selten...
wie-sie-dsgvo-daten-mit-varonis-entdecken
Wie Sie DSGVO-Daten mit Varonis entdecken
Die DSGVO tritt in weniger als 40 Tagen in Kraft – aber es ist noch früh genug, um sich vorzubereiten. Der erste Schritt für die Vorbereitung auf die drohende Deadline…