EU-Cybersicherheitgesetz: EU-Staaten verpassen Frist

Die meisten EU-Staaten haben die EU-Richtlinie zur Stärkung der Standard-Cybersicherheitsmaßnahmen (NIS2) bisher nicht umgesetzt. Unterschiedliche nationale Gegebenheiten haben die Implementierung immer weiter verzögert. 

Am Donnerstag (17. Oktober) wird die Kommission voraussichtlich einen Durchführungsrechtsakt „zur Festlegung der technischen und methodischen Anforderungen“ der Cybersicherheitsmaßnahmen (Network and Information Security Directive, NIS2) an Domainnamen-Dienstleister, Namensregister und Cloud-Computing-Dienstleister veröffentlichen.

Die Mitgliedstaaten hatten nach der Veröffentlichung der zweiten EU-Richtlinie zur Netzwerk- und Informationssicherheit im offiziellen EU-Amtsblatt im Dezember 2022 fast zwei Jahre Zeit, um die Richtlinie in nationales Recht umzusetzen. Operative und politische Hindernisse standen dem jedoch im Weg.

Unterschiede im Geltungsbereich, bei den Zertifizierungen, den verwendeten Standards und den Umsetzungsfristen der umgesetzten und vorgeschlagenen nationalen Gesetze erschwerten die Koordinierung zwischen den Mitgliedstaaten.

Der niederländische Berichterstatter des EU-Parlaments für die Cybersicherheitsmaßnahmen, Bart Groothuis (Renew), sagte gegenüber Euractiv, dass die mangelnde Umsetzung nicht die tatsächliche Bedrohung widerspiegle.

Ein Kommissionssprecher teilte Euractiv am Mittwoch (16. Oktober) mit, dass nur Belgien, Italien, Kroatien und Lettland die Institution über eine Umsetzung der Richtlinie in nationales Recht informiert hätten. Letztere hätten jedoch nur eine teilweise Umsetzung vorgenommen.

Ungarn und Litauen haben ebenfalls nationale Gesetze zur EU-Richtlinie zur Stärkung der Standard-Cybersicherheitsmaßnahmen (NIS2) verabschiedet.

Operative Schwierigkeiten

„Das Problem bei der mangelhaften Umsetzung von NIS2 liegt darin, dass die Regierungen [zuvor] zu viele Agenturen, Abteilungen und Behörden mit verstreuten und sich überschneidenden Zuständigkeiten im Bereich der Cyberabwehr geschaffen haben“, erklärte Groothuis.

Die Mitgliedstaaten waren bei der Verabschiedung der EU-Richtlinie im Jahr 2022 unterschiedlich gut vorbereitet.

Griechenland beispielsweise verfügte erst Anfang dieses Jahres über eine unabhängige Cybersicherheitsbehörde, nachdem im Januar ein Gesetz zur Einrichtung vorgeschlagen worden war.

Im Gegensatz dazu betreiben die Niederlande bereits seit 2012 und Frankreich seit 2009 eine solche Behörde.

Die Richtlinie, die durch die Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union (NIS2) ersetzt wird, verpflichtete die EU-Staaten, eine oder mehrere für den Bereich Cyber zuständige Behörden zu benennen. Die Maßnahmen enthielten ebenfalls die Verpflichtung, Cybersicherheitsbehörden einzurichten, nationale Cybersicherheitsstrategien zu verabschieden und ein Reaktionsteam für Computersicherheitsverletzungen (Computer Security Incident Response Teams, CSIRT) aufzubauen.

Ein Fachkräftemangel, der von der EU-Kommission auf bis zu 883.000 Personen geschätzt wird, hat die Einrichtung von Behörden ebenfalls verzögert.

Durch den regulären politischen Betrieb wurde die Verzögerungen noch verstärkt, da in den Staaten nationale oder lokale Wahlen stattfanden.

Die vorgezogenen Parlamentswahlen in Frankreich im Juni führten zu weiteren Verschiebungen, und der Gesetzesentwurf wurde am erst am Dienstag (15. Oktober) in einer Kabinettssitzung vorgelegt.

Fragmentierungsproblem

Die unterschiedlichen Umsetzungsgesetze und -fristen bedeuten, dass eine Harmonisierung noch in weiter Ferne liegt.

Sebastijan Čutura, leitender Manager bei der Europäischen Organisation für Cybersicherheit (ECSO), sagte gegenüber Euractiv, dass Unterschiede bei den Fristen für die Meldung von Vorfällen im Rahmen anderer EU-Vorschriften zur Cybersicherheit, beim Geltungsbereich der nationalen Gesetze oder bei den Fristen für die Einhaltung der nationalen Gesetze zu einer Fragmentierung führen würden.

„Große Unternehmen müssen sicherstellen, dass ihre zentralisierten Informationssysteme den nationalen Gesetzen in den Staaten entsprechen, in denen sie tätig sind“, erklärte Ouala Barhoumi, Cybersecurity-Manager bei der Beratungsfirma Wavestone, gegenüber Euractiv.

Die Art und Weise, wie Staaten Regeln für die Umsetzung von NIS2-Sicherheitsmaßnahmen definieren, bezieht sich oft auf unterschiedliche Standards.

„ISO 27001 ist nach wie vor die beliebteste Wahl, […] einige Staaten stützen ihre Richtlinien auf das NIST-Rahmenwerk, während andere die zuvor genannten Standards mit zusätzlichen Rahmenwerken wie CIS Controls und/oder IEC 62443 kombinieren“, erzählt Čutura.

Bei der ISO 27001 handelt es sich um eine internationale Norm, welche die Anforderungen für Einrichtung, Umsetzung, Aufrechterhaltung und fortlaufende Verbesserung eines dokumentierten Informationssicherheits-Managementsystems spezifiziert.

Da der Entwurf des Durchführungsrechtsakts der Kommission „Anforderungen an die Cybersicherheit und Cyberhygiene festlegt, die für Unternehmen mit EU-Präsenz, die unter NIS2 fallen, umgesetzt werden müssen, könnten einige der Anforderungen umfangreicher sein und zu längerfristigen Projekten wie dem Drittparteirisiko und der Geschäftskontinuität führen“, sagte Arthur Sivanathan, Senior Director für Sicherheits- und Risikomanagement bei Gartner.

In der Zwischenzeit hat sich die Cyber-Bedrohungslandschaft weiterentwickelt. Groothuis merkte an, dass die Cybersicherheitsartikel (NIS2) zur Verschlüsselung bereits teilweise veraltet seien, da sie das Quantencomputing nicht berücksichtigen.

„Der nächste Schritt, den die EU schnell unternehmen sollte, ist der Schutz vor Quantencomputern, die in der Lage sind, Verschlüsselungen zu knacken“, fügte Sivanathan hinzu.

[Bearbeitet von Rajnish Singh/Alice Taylor-Braçe/Kjeld Neubert]