In der bereits 2013 vorgeschlagenen NIS-Richtlinie zur Netzwerk- und Informationssicherheit gab es jetzt am 7. Dezember endlich eine Einigung. Die wohl wichtigste Festlegung. Internetkonzerne müssen schwere Hackerangriffe melden, sonst drohen Strafen.

WER MUSS VORFÄLLE MELDEN?

Betroffen sind hauptsächlich die Internetriesen wie Google oder Amazon. Für kleine Unternehmen gelten die Regelungen nicht. Diese müssen aber natürlich weiterhin Daten-Lecks, aus dem viele personenbezogene Informationen entweichen, laut § 42a BDSG ihrer Aufsichtsbehörde und auch der Öffentlichkeit mitteilen. Aber auch Infrastruktubetreiber aus Logistik, Finanzen, Energie und Gesundheitswesen werden durch die NIS-Richtlinie in Sachen IT-Sicherheit demnächst stärker in die Verantwortung genommen werden.

MELDUNG ANONYM?

Schwere Angriffe auf die Systeme können dabei aber auch anonym gemeldet werden, solange kein Systemausfall droht. In diesem Fall muss der Name der Firma in jedem Falle mit genannt werden. Wer sich nicht daran hält, muss mit Strafen von bis zu 100.000 Euro rechnen.

WIE FUNKTIONIERT DAS EU WEIT?

Wie das BSI auf der eigenen Internetseite verlauten lässt sollen EU-Mitgliedsstaaten „eine zentrale Stelle für NIS-Meldungen einrichten. NIS-Meldestellen sollen EU-weit vernetzt sein und sich gegenseitig und die ENISA über Vorfälle informieren. Die nationalen NIS-Meldestellen, die auf diesem Weg Informationen erhalten haben, sollen diese an die Unternehmen in ihren Zuständigkeitsbereichen weitergeben. Reaktionen auf NIS-Bedrohungen sollen die NIS-Behörden und die ENISA EU-weit koordinieren. Zur Zeit laufen dazu Verhandlungen auf EU-Ebene.“