31.07.2015

Europäische Informationssicherheit: eco warnt vor Einbeziehung sämtlicher Webdienste

  • Europaweite Harmonisierung im Bereich kritischer Infrastrukturen begrüßenswert
  • Fragmentierung und Umsetzungsunterschiede vermeiden
  • Anwendungsbereich auf tatsächlich kritische Infrastrukturen konzentrieren

Das Gesetzgebungsverfahren für eine europäische Richtlinie zur Netz- und Informationssicherheit (NIS-Richtlinie) steht kurz vor dem Abschluss. Mit dem Gesetzesverfahren möchte die Europäische Kommission die Zusammenarbeit der Mitgliedstaaten untereinander verbessern und so die Widerstandsfähigkeit und Abwehrbereitschaft der EU gegen Cyberangriffe erhöhen. Bis spätestens Ende 2015 soll die Richtlinie beschlossen sein. In einem neu veröffentlichten Positionspapier begrüßt eco – Verband der deutschen Internetwirtschaft grundsätzlich die Bestrebungen für eine europaweite Harmonisierung der gesetzlichen Verpflichtungen zur IT-Sicherheit, sieht aber auch noch einige entscheidende ungelöste Probleme. Der Verband warnt insbesondere davor, sämtliche Dienste der Informationsgesellschaft, vom kleinen Webshop bis hin zum großen Social Media Dienst, in den Anwendungsbereich miteinzubeziehen. Eine solche Pauschalisierung sei nicht sinnvoll, da es sich nicht bei jedem Dienst um eine kritische Infrastruktur handelt und insbesondere kleine Unternehmen unnötig belastet würden. eco plädiert stattdessen für eine präzise und konkrete Definition des Anwendungsbereichs sowie einen differenzierten, risikobasierten Ansatz, wie er zuletzt auch im deutschen IT-Sicherheitsgesetz angewendet wurde.

Fragmentierung und Umsetzungsunterschiede vermeiden

Oberstes Ziel müsse es sein, europaweit einheitliche Kriterien zur Identifizierung und Festlegung kritischer Infrastrukturen zu schaffen. Die Richtlinie sollte daher präzise Kriterien festlegen und den Mitgliedstaaten keine großen Spielräume zur eigenen regulatorischen Ausgestaltung lassen. Nur so könne der Gesetzgeber eine Fragmentierung und Beeinträchtigung des gemeinsamen digitalen Binnenmarkts in Europa vermeiden.

Anwendungsbereich auf tatsächlich kritische Infrastrukturen konzentrieren

eco fordert außerdem, dass sich der Anwendungsbereich der Richtlinie auf tatsächlich kritische Infrastrukturen konzentriert. Insbesondere Bereiche, für die bislang gar keine Vorgaben zur IT-Sicherheit existierten, müssten bereits regulierten Bereichen angeglichen werden.

Das vollständige eco Positionspapier zur europäischen NIS-Richtlinie ist hier online verfügbar.