NIS2: EU-Parlament einig über novellierte Richtlinie zu Netz- und IT-Sicherheit

Der zuständige Ausschuss hat fast einstimmig den Vorschlag für die neu aufgelegte Cybersicherheitsstrategie abgesegnet. Nun stehen Verhandlungen an.

Lesezeit: 4 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 1 Beitrag

(Bild: asharkyu/Shutterstock.com)

Von
  • Monika Ermert
Inhaltsverzeichnis

Der Industrieausschuss des Europäischen Parlaments hat sich mit 70 gegen 3 Stimmen auf einen Kompromisstext für die neu aufgelegte Cybersicherheitsstrategie der Gemeinschaft (NIS2) geeinigt. Trotz zahlreicher Einschränkungen gegenüber dem Vorschlag der EU-Kommission müssen die Anbieter großer und kleiner DNS-Dienste nach wie vor mit zusätzlichen Pflichten rechnen. Die NIS2 soll durch Berichts- und Sicherungspflichten für mehr Informations- und Netzsicherheit in den EU-Mitgliedsländern sorgen und der europäischen Netzsicherheitsagentur (ENISA) mehr Aufgaben geben.

Eine EU-Aufsicht über die 13 zentralen Rootserver haben die Abgeordneten am Ende doch verneint, geht aus dem Kompromiss hervor (PDF). Da nur zwei der Server tatsächlich in Europa stehen und Dezentralität und Diversität als ausreichend sicher beurteilt wurden, hatte Berichterstatter Bart Groothuis (Renew) bereits früh signalisiert, dass die Aufnahme in die NIS2 verzichtbar sei. „Diese Richtlinie gilt nicht für Root Name Server,“ heißt es in der Parlamentsposition.

Nicht von der Angel gelassen werden dagegen die Betreiber verschiedenster DNS-Dienste, die ebenso wie die Betreiber von Top-Level-Domains, Cloud-Computing-Diensten oder Content Delivery Networks von den Mitgliedsstaaten zur Absicherung ihrer Dienste gegen Ausfall- und Angriffsrisiken und zur Meldung von Vorfällen verpflichtet werden sollen.

Auf Drängen der Branche hatte das Parlament differenziert zwischen autoritativen und rekursiven DNS Diensten. „Top Level Domain Name Server“ müssen sich den Verpflichtungen unterwerfen, obwohl manch kleine TLD für die Stabilität des Netzes eine eher unbedeutende Rolle spielt, meinen Beobachter. Außerdem werden „große öffentliche rekursive Resolver“ erfasst. Solche betreiben etwa Google, Cloudflare oder Quad9. Wer seinen privaten DNS Resolver oder seine eigene Domain betreibt, bleibt, anders als ursprünglich geplant, unbehelligt.

Die Denic hatte in einer Stellungnahme gewarnt, dass eine zu kleinteilige Handhabung plötzliche Zehntausende kleiner DNS Betreiber zu kritischen Diensten machen würde.

In der umstrittenen Frage, ob die Sammlung und Publikation korrekter Domaininhaberdaten für mehr Sicherheit sorgen, bleibt die Antwort des Parlaments unentschieden. Auf jeden Fall sollen die Domaindienstleister Namen, Post- und E-Mail-Adresse sowie Telefonnummern des tatsächlichen Inhabers sammeln und diese auch bitte verifizieren. Allerdings räumen die Parlamentarier in einem bemerkenswerten Passus (Recital 59) vorsorglich selbst ein, dass die gesammelten Daten in der Praxis nie hundertprozentig korrekt sein könnten. Sie befürworten verhältnismäßige Maßnahmen zur Überprüfung.

Veröffentlicht werden sollen laut dem Text der NIS2 nur nichtpersonenbeziehbare Daten und die Datensätze juristischer Personen. Für den Zugriff auf nicht veröffentlichte Klarnamen und Adressdaten durch „berechtigte nachfragende Stellen“ verweisen die Abgeordneten auf geltendes Recht. Es gebe keinerlei neue Zugriffsrechte, versichert das Büro des Grünen Schattenberichterstatters Rasmus Andresen. Das Zugriffsregime orientiere sich an der Datenschutzgrundverordnung DSGVO.

Andresen hatte sich ursprünglich für einen noch stärkeren Rückschritt bei der Einbeziehung von DNS-Services eingesetzt. Doch dafür gab es keine Mehrheit, anders als für eine freundliche Aufforderung an die Mitgliedsstaaten, quelloffene Software vermehrt einzusetzen und gerade bei der DNS-Namensauflösung auf Diversifizierung zu setzen.

Im Verband eco wird der NIS2-Text trotzdem für noch nicht ganz DSGVO-fest befunden. „Wenn neben DNS-Registraren auch Registries und Reseller, Privacy Dienste oder Broker parallel die Personendaten von Domaininhabern erheben, steht das im Widerspruch zum Gebot der Datensparsamkeit“, findet Lars Steffen vom eco. Auch die Frage, wer berechtigt sein wird, auf alle Personendaten im Whois zuzugreifen, bleibe ein Zankapfel.

Nachbesserungen kann er sich auch an der Präzisierung des Kreises der Verpflichteten vorstellen. Sind kleine DNS-Dienstleister nun kritische Dienste oder sind doch nur Privatpersonen ausgeschlossen? Weil die NIS2 als Richtlinie überdies national umgesetzt wird, könnte es einen Flickenteppich verschiedener Regelungen geben, fürchtet er zudem.

In den kommenden Wochen wird im Trilog der endgültige Text ausgehandelt. Der Rat erwartet vom Parlament vor allem Widerspruch in Bezug auf die vorgesehenen und von ENISA mit organisierten „Peer Reviews“ zur Effektivität der Cybersicherheitsmaßnahmen in den einzelnen Mitgliedsstaaten.

(mho)