Um die kritische Infrastruktur EU-weit besser gegen Störungen abzusichern, hat sich die EU auf eine neue Richtlinie zur Netz- und Informationssicherheit (NIS-RL) geeinigt. Diese Richtlinie muss noch formal vom Europäischen Parlament gebilligt werden und wird voraussichtlich im August 2016 in Kraft treten. Die Mitgliedsstaaten haben dann 2 Jahre lang Zeit, um die Richtlinie in nationales Recht umzusetzen – in Österreich etwa durch die Schaffung eines Cybersicherheits-Gesetzes.
Die Europäischen Cyber Sicherheitsstrategie soll umgesetzt werden durch
- die Verbesserung der Netz- und Informationssicherheit (NIS) und
- ein verpflichtendes Risikomanagement sowie
- Meldeverpflichtung bei Vorfällen.
Durch diese Maßnahmen soll es möglich werden, kritische Bereiche in der EU besser auf Notfälle vorzubereiten und mittels Computer Security Incident Response Teams (CSIRT als neues Akronym statt wie bisher CERT) EU-weite Koordination zu gewährleiten.
Da sichere Netze und Informationssystem als Voraussetzung für das Funktionieren des Binnenmarktes gelten, versucht die EU durch ein akkordiertes Vorgehen aller Mitgliedstaaten mögliche gravierende Störfälle zu vermeiden.
Als kritische Bereiche gelten vor allem die Energiewirtschaft, Wasserversorgung, Logistik/Transport, Finanzwesen, Gesundheitswesen sowie der Informations- und Internetbereich (z.B. Netzwerkbetreiber und Telekoms).
In all diesen Bereichen ist es spätestens mit dem Inkrafttreten der neuen Richtlinie notwendig, ein funktionierendes Informationssicherheits-Managementsystem zu betreiben und somit die Anforderungen der ISO/IEC 27001 in allen kritischen Teilbereichen, Diensten und Anwendungen umzusetzen.
Bei der nationalen Umsetzung in Österreich wird sich zeigen, inwieweit das Gesetz Verwaltungsstrafen vorsieht, welche Firmen bzw. Betreiber betroffen sind und für welche Bereiche und in welchen Umfang auch verpflichtende Zertifizierungen vorgeschrieben werden.
EDU/days 2024
