Security-Trends 2017

EU treibt Richtlinien zur Cybersicherheit voran

| Autor / Redakteur: Thorsten Henning* / Peter Schmitz

Die Umsetzung der von der EU initiierten neuen Gesetzgebung zur Cybersicherheit rückt im neuen Jahr näher.
Die Umsetzung der von der EU initiierten neuen Gesetzgebung zur Cybersicherheit rückt im neuen Jahr näher. (Bild: Pixabay / CC0)

Zwei wichtige Normen für Sicherheit und Privatsphäre stehen derzeit in Europa im Rampenlicht: die Richtlinie zur Netz- und Informationssicherheit (NIS) und die Datenschutz-Grundverordnung (DSGVO/GDPR). Mit diesen Gesetzen verschärft die EU die Sicherheitsanforderungen für potenziell jedes Unternehmen, das sein Geschäft in Europa betreibt.

Die GDPR gilt für Unternehmen, auch wenn diese außerhalb Europas ansässig sind, und beinhaltet erhöhte mögliche Strafen von bis zu vier Prozent des jährlichen weltweiten Umsatzes. Insbesondere fordern beide Gesetze von den Unternehmen angemessene Sicherheitsmaßnahmen auf dem Stand der Technik im Hinblick auf ihre Risiken, persönliche Daten sowie den Schutz von Netzen und Informationssystemen.

Im Rahmen der NIS-Richtlinie müssen Unternehmen den Behörden Cybersicherheitsvorfälle melden, wenn diese einen signifikanten oder wesentlichen Einfluss auf die Bereitstellung oder Kontinuität ihrer Dienste haben. Entsprechend der GDPR, müssen Unternehmen den zuständigen Behörden alle Verletzungen der persönlichen Daten mitteilen, es sei denn, es ist unwahrscheinlich, dass die Verletzung in einem Risiko für die Rechte und Freiheiten des Einzelnen resultiert.

Die NIS-Richtlinie muss bis zum 10. Mai 2018 von den EU-Mitgliedstaaten in ihre nationale Gesetzen übernommen und angewandt werden. Bis zu diesem Zeitpunkt werden die Unternehmen über die spezifischen Anforderungen unterrichtet sein, die in ihrem Mitgliedstaat angewandt und durchgesetzt werden.

Die GDPR ist eine Verordnung. Die Mitgliedstaaten sind verpflichtet, diese Verordnung in Form von nationalen Gesetzen zu verabschieden, um sie umzusetzen. Die Unternehmen müssen der Regelung bis zum 25. Mai 2018 nachkommen. Zunächst aber gilt es festzustellen, ob das Unternehmen von der NIS-Richtlinie oder der GDPR oder von beiden betroffen ist.

Die NIS-Richtlinie gilt für bestimmte Unternehmen, nämlich die Betreiber von grundlegenden Diensten und für digitale Dienstleister.

  • Zu Betreibern von grundlegenden Diensten zählen Unternehmen in den Bereichen Transport, Energie und Gesundheitswesen. Die Mitgliedstaaten sind dafür verantwortlich, die Unternehmen in diesen Kategorien zu identifizieren.
  • Digitale Serviceprovider sind Unternehmen, die eine der drei Leistungen erbringen: Cloud-Computing-Services, Online-Marktplätze oder Online-Suchmaschinen.

Die GDPR gilt für Unternehmen, die eines der folgenden Kriterien erfüllen:

  • Sie sind in der EU ansässig.
  • Ihr Angebot an Waren oder Dienstleistungen richtet sich an EU-Bürger.
  • Sie erfassen das Verhalten der EU-Bürger, was innerhalb der Europäischen Union stattfindet.

Angesichts der Tiefe der Gesetze, wird das Etablieren oder Verfeinern der Cybersicherheitspraktiken in Übereinstimmung mit der NIS-Richtlinie und der GDPR einen funktionsübergreifenden Prozess notwendig machen, der sich über viele Monate erstrecken kann. Führungskräfte sollten daher das Jahr 2017 nutzen, um proaktiv einen Identifizierungsprozess zu starten, wie sich die Praxis unverzüglich mit den Gesetzen in Einklang bringen lässt. Damit geht ein mehr oder weniger großer Aufwand einher, je nachdem, wie die bisherige Sicherheitspraxis aussah.

Der jüngste EU-Vorstoß in Sachen Cybersicherheit bietet aber auch die Chance, um das Management von Cyber- und Datenschutzrisiken zu bewerten und neu auszurichten. Die Richtung ist aufgrund der Bedrohungslage bereits vorgegeben und heißt Prävention. Dies schließt die Nutzung globaler Quellen von Bedrohungsdaten mit ein, um kritische Informationsbestände besser zu schützen.

Der Beitrag stammt von unserem Schwesterportal Security-Insider.

Gerichtshof kippt anlasslose Vorratsdatenspeicherung

EuGH-Urteil

Gerichtshof kippt anlasslose Vorratsdatenspeicherung

21.12.16 - Die Staaten der Europäischen Union dürfen Telekommunikationsdienste nicht allgemein und anlasslos zur Vorratsdatenspeicherung verpflichten. So lautet der Tenor des Grundsatzurteils des Europäischen Gerichtshofs. lesen

Was Cyberkriminelle 2017 planen

Datensicherheit

Was Cyberkriminelle 2017 planen

14.12.16 - Unternehmer aufgepasst: IoT, IIoT und das Kapern von Geschäftspozessen via Emails rücken vermehrt in den Fokus der Kriminellen, desweiteren Erpresser-Software. lesen

Smartwatches werden zum Security-Thema

Mehr Sicherheit am Handgelenk

Smartwatches werden zum Security-Thema

14.10.16 - Die Smartwatch ist auf dem Weg, Bestandteil der betrieblich genutzten Mobilgeräte zu werden. Neue Modelle wie Samsung Gear S3 bieten erweiterte Security-Funktionen und Sicherheits-Apps. lesen

* Dipl.-Ing. Thorsten Henning beschäftigt sich seit über 20 Jahren mit Netzwerken und IT-Sicherheit. Er leitet bei Palo Alto Networks das Systems Engineering für Zentral- und Osteuropa und berät Großkunden zu Netzwerksicherheitslösungen der nächsten Generation. Zuvor war Thorsten Henning für namhafte Hersteller wie 3Com, Ascend Communications, Lucent Technologies und Juniper Networks tätig.

Kommentar zu diesem Artikel abgeben
Richtlinie ungleich Verordnung ungleich gesetz  lesen
posted am 05.01.2017 um 10:40 von Unregistriert


Mitdiskutieren
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 44444273 / Recht)