EU-Staaten: Keine Meldepflicht im öffentlichen Sektor bei Cyberangriffen
Der EU-Rat hat seine Position zur geplanten Richtlinie für die Netz- und Informationssicherheit abgesteckt und will im April mit dem EU-Parlament darüber verhandeln. Private Online-Anbieter müssten demnach kooperieren.
Internetknoten DE-CIX in Frankfurt.
- Stefan Krempl
Behörden und Ämter sollen nach dem Willen der EU-Staaten nicht verpflichtet werden, Sicherheits- und Datenschutzpannen sowie IT-Angriffe zu melden. Auf diese Linie zur geplanten Richtlinie für die Netzwerk- und Informationssicherheit hat sich der EU-Rat geeinigt. Zugleich hat der Ausschuss der Ständigen Vertreter der Mitgliedstaaten das Mandat an die lettische Ratspräsidentschaft erteilt, die Gespräche mit dem EU-Parlament über einen Kompromiss Ende April fortzuführen. Einigen sich beide Seiten, müssen der Ministerrat und die Abgeordneten den Entwurf nur noch formell absegnen.
Die jüngsten Verhandlungspapiere mit den Vorschlägen aller beteiligter Instanzen von voriger Woche hat die Bürgerrechtsorganisation Statewatch veröffentlicht. Die Regierungen stellen sich damit gegen den Plan der EU-Kommission, dass die Meldeauflagen auch für den öffentlichen Sektor gelten sollten. Das befürworten auch das Parlament, das seine Korrekturvorschläge bereits vor einem Jahr in 1. Lesung festgezurrt hatte, und der deutsche Regierungsentwurf für ein IT-Sicherheitsgesetz.
Anders als die Volksvertreter will der Rat, dass auch Betreiber von Internetknoten, Online-Anbieter von Zahlungs- und Geschäftsverkehr, soziale Netzwerke, Suchmaschinen oder Cloud-Dienste Sicherheitsvorfälle melden und geeignete Abwehrstrategien parat haben müssen. Die Mitgliedsstaaten selbst sollen Meldesysteme einrichten. Beteiligt werden müssten "kompetente Behörden" wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) hierzulande sowie spezielle "Computer Security Incident Response Teams" (CSIRTs). Deren Einrichtung hat der Rat als Zusatz zu bestehenden "Computer Emergency Response Teams" (CERTs) ins Spiel gebracht.
Einmal im Jahr müssten die Ansprechpartner in den Ländern einen anonymisierten Bericht über erhaltene Hinweise und entsprechend eingeleitete Maßnahmen an eine EU-Kooperationsgruppe schicken. Die Öffentlichkeit soll nur von "einzelnen" Pannen erfahren, wenn eine entsprechend große Aufmerksamkeit nötig ist, um einen einschlägigen Vorfall zu verhindern oder mit einem solchen fertig zu werden. Der europäischen Sicherheitsbehörde Enisa möchte es der Rat freistellen, mit den EU-Ländern Empfehlungen, Richtlinien und Standards zur IT-Sicherheit auszuarbeiten. (vbr)