Weniger wäre mehr
Freiburg/Berlin. Hybride Kriegsführung, Hackerangriffe, Cyberattacken: Parlament und Rat haben sich in Brüssel auf neue Cybersicherheitsvorschriften verständigt. Laut der sogenannten NIS-2-Richtlinie sollen künftig rund 160.000 europäische Unternehmen und Behörden einheitlichen EU-Vorgaben zum Management von Cyberrisiken und zur Meldung von Cybervorfällen unterliegen. Das Centrum für Europäische Politik (cep) hält einige Regelungen für zu weit gefasst und fordert eine effizientere Fokussierung.
„Unter die neuen Vorschriften fallen auch Unternehmen, die nicht systemrelevant sind, Unternehmen also, die Produkte und Dienstleistungen anbieten, die für das Funktionieren der Gesellschaft nicht absolut zentral sind. Es ist zu befürchten, dass die zuständigen Behörden in der Praxis mit der Aufsicht von etwa 160.000 Einrichtungen überfordert sind“, warnt cep-Cyberexperte Philipp Eckhardt. „Auch wenn die Richtlinie mehr Rechtssicherheit schafft und Wettbewerbsverzerrungen vorbeugt: Weniger wäre mehr, eine stärkere Priorisierung daher angezeigt gewesen“, sagt der Freiburger Wissenschaftler.
Dass künftig Risiken in der Lieferkette verstärkt berücksichtigt werden müssen, erhöht nach Ansicht von Eckhardt das Cybersicherheitsniveau in der EU. Die Verantwortung sollte jedoch nicht allein auf den Schultern der unter die Regulierung fallenden Einrichtungen liegen. Eckhardt begrüßt, dass künftig eine Vielzahl von Unternehmen Zwischenfälle nach einem geordneten Verfahren melden müssen. Solche Meldungen wurden in der Vergangenheit nicht immer abgegeben, aus Angst vieler betroffener Unternehmen, einen Imageschaden zu erleiden. „Freiwillig hat das oft nicht zufriedenstellend funktioniert. Die Meldepflicht ist auch deshalb zu begrüßen, weil sie anderen Unternehmen dabei hilft, Sicherheitslücken zu erkennen und zu schließen“, betont Eckhardt.
cepAdhoc: NIS-2-Richtlinie: Neue EU-Vorgaben zur Cybersicherheit