Abo

Services:

Golem pur

Golem.de ohne Werbung nutzen
Mehrseitige Artikel auf einer Seite lesen
RSS-Volltext-Feed für Artikel
Ab 2,50€ im Monat

Die im Europäischen Rat vertretenen Länder haben sich auf eine Richtlinie zur IT-Sicherheit geeinigt. (Bild: EU)

EU-Rat: Keine Meldepflicht für Behörden bei Datenschutzpannen

Die im Europäischen Rat vertretenen Länder haben sich auf eine Richtlinie zur IT-Sicherheit geeinigt. (Bild: EU)

Der EU-Rat hat sich darauf geeinigt, dass Behörden auch künftig keine IT-Sicherheitsvorfälle oder Datenschutzpannen melden müssen, private Anbieter hingegen schon. Das EU-Parlament muss dem Vorschlag noch zustimmen. Die Abgeordneten haben aber einen anderen Vorschlag.

Die EU-Staaten haben sich auf ihre Richtlinie für die Netz- und Informationssicherheit geeinigt. Demnach sollen künftig private Unternehmen IT-Sicherheitsvorfälle melden und entsprechende Abwehrmaßnahmen einrichten. Die Richtlinien sollen aber nicht für Behörden und öffentliche Einrichtungen gelten.

Das Mandat für die Verhandlungen mit dem EU-Parlament hat der Europäische Rat, in dem die EU-Staaten vertreten sind, an Lettland übertragen. Das Land hat aktuell die Ratspräsidentschaft inne. Aus den von Statewatch veröffentlichten Verhandlungspapieren geht hervor, dass das EU-Parlament und die EU-Kommission anders als der EU-Rat die Meldepflicht für Behörden befürworten. Der Regierungsentwurf zum IT-Sicherheitsgesetz der großen Koalition in Deutschland sieht das ebenfalls vor. Ein Kompromiss zwischen EU-Rat und EU-Parlament soll bis Ende April 2015 fertig sein.

Nationale Einrichtungen berichten europäischer Koordinationsgruppe

Die geplante EU-Richtlinie für die Netz- und Informationssicherheit verpflichtet Betreiber von Internetdiensten und kritischen Infrastrukturen sowie Geldinstitute und Zahlungsanbieter, IT-Sicherheitsvorfälle zu melden. Einzelne EU-Staaten müssen entsprechende Meldesysteme einrichten. Daran müssen sich dafür geeignete nationale Einrichtungen ("competet authorities") beteiligen, etwa das Bundesamt für Sicherheit in der Informationstechnik BSI. Außerdem sollen nach Willen des EU-Rats zusätzlich zu den bestehenden CERTs (Computer Emergency Response Teams) sogenannte Computer Security Incident Response Teams (CSIRTs) eingerichtet werden.

Einmal im Jahr sollen die nationalen Einrichtungen anonymisierte Berichte über die gesammelten Vorfälle an eine noch zu gründende EU-Koordinationsgruppe schicken. Vorfälle sollen nur dann der Öffentlichkeit mitgeteilt werden, wenn sie akut sind und eine Beteiligung der Anwender benötigt wird, um sie zu beheben. Der EU-Rat will auch die europäische Sicherheitsbehörde Enisa (Europäische Agentur für Netz- und Informationssicherheit) einbinden. Sie soll zusammen mit den Ländern beispielsweise neue Standards erarbeiten können.