NIS 2 ein Rückschritt für die Cybersicherheit

Cybersicherheit ist seit 2016 eine der Prioritäten der Europäischen Kommission. In diesem Jahr trat die Richtlinie über Netz- und Informationssysteme (NIS) als das erste europäische Cybersicherheitsgesetz in Kraft und sorgt seitdem dafür, dass die regulatorischen Anforderungen an die Cybersicherheit in den Mitgliedstaaten abgestimmt werden.

Immerhin setzt Europa mit diesen gemeinsamen Cybersicherheitsregeln der Wettbewerbsverzerrung zwischen den europäischen Ländern für Sicherheitslösungen, die nicht das gleiche Qualitätsniveau haben, ein Ende.

Doch auch wenn die NIS-Richtlinie ein Schritt in die richtige Richtung ist, so ist sie doch kein sehr restriktiver Rahmen und reicht sicher nicht aus, um der globalen Cyber-Bedrohung zu begegnen.

Defragmentierung des europäischen Cyber-Marktes

Die aktuelle Cyberstrategie der EU ist ein Echo auf die wegweisenden Maßnahmen, die in Frankreich bereits seit zehn Jahren bestehen und sich dort bewährt haben. Mit der Gründung der nationalen Agentur für die Sicherheit von Informationssystemen (Agence nationale de la sécurité des systèmes d’information; ANSSI) im Jahr 2009 und der Aufnahme spezifischer Cybersicherheitsanforderungen in sein Militärisches Programmgesetz (LPM) ab 2013 hat Frankreich seinen Unternehmen und Institutionen einen kompetenteren Umgang mit Cyberrisiken ermöglicht.

Beide Initiativen haben eine Reihe von Anforderungen hervorgebracht, die sich hauptsächlich auf die Zertifizierung von Cybersicherheitsprodukten und Dienstleistungen sowie die kontinuierliche Überwachung von Informationssystemen konzentrieren. Aus diesem Grund ist Frankreich heute eines der Länder, die am besten auf Cyber-Bedrohungen vorbereitet sind.

Eine kontinuierliche Kontrolle der Informationssysteme durch Sicherheitsaudits, Pentests oder Bug Bounty sind nur einige Möglichkeiten, Anwendungen und Online-Services zu testen, bevor es zu einem Angriff kommt. Die Einführung einer Politik der koordinierten Offenlegung von Schwachstellen (Coordinated Vulnerability Disclosure – CVD) ist ebenfalls ein Schlüsselelement zur Begrenzung des Cyberrisikos, das sich im französischen Ökosystem bewährt hat. Ein solches Programm besteht darin, Unternehmen zu ermutigen, die Zusammenarbeit mit ethischen Hackern zu fördern, indem sie ihnen einen vertrauenswürdigen Kanal zur Verfügung stellen, über den die Hacker Schwachstellen melden können.

Darüber hinaus sind weitere Maßnahmen zum Schutz vor Cyberangriffen denkbar. Öffentliche Einrichtungen und Unternehmen könnten zum Beispiel verpflichtet werden, eine VDP (Vulnerability Disclosure Policy) für die auf ihrer Plattform verkauften Produkte oder Dienstleistungen anzubieten. Oder man könnte zumindest den Nachweis verlangen, dass die Cybersicherheit bei der Konzeption eines Produktes oder Dienstes vom Hersteller oder Anbieter berücksichtigt wurde. Die Stärkung der Cybersicherheit europäischer Unternehmen und Institutionen könnte auch durch die Konsolidierung der von Softwareherstellern geforderten Auflagen erreicht werden. Es gibt also unzählige Beispiele und Instrumente zum Schutz von Organisationen vor Cyberangriffen.

NIS-2-Richtlinie ist ein Rückschritt für die Cybersicherheit

Die jüngsten Vorschläge für die NIS-2-Richtlinie, die im Groothuis-Bericht skizziert werden, senken jedoch die Anforderungen an den Cyberschutz. Von besonderem Interesse ist dabei, dass die Verpflichtung für Anbieter, zertifizierte Produkte und Dienstleistungen zu verwenden, gelockert wurde. Außerdem wird die Häufigkeit der Audits von Informationssystemen auf maximal einmal im Jahr festgelegt. Generell ist der Anreiz für die Mitgliedstaaten, eine dem Stand der Technik entsprechende Cybersicherheitsstrategie zu formulieren, stark herabgesetzt.

Gleichzeitig lehnt sich der US-amerikanische Cyber-Erlass vom 12. Mai 2021 sehr deutlich an das französische Regelwerk an. Es besteht also eine gewisse Dissonanz zwischen der US-Strategie, die sich an dem anspruchsvollen französischen Cyber-Modell orientiert, und einer Nivellierung der Maßnahmen, die derzeit für die europäische NIS-2-Richtlinie diskutiert werden. Bis Mitte 2022 müssen sie von den Mitgliedsstaaten umgesetzt werden.

Man kann sich nur fragen, warum die Europäische Union ihre Cyber-Ambitionen zurückschraubt, wenn sie mit Frankreich ein Beispiel für eine anspruchsvolle und erfolgreiche Wette vor Augen hat, die andere große Nationen bereits inspiriert. Neben dem französischen Modell kann Europa viele andere Instrumente einsetzen, um sich zu strukturieren. Wir hoffen daher, dass die gleiche positive Dynamik, die Frankreich an den Tag gelegt hat, auch auf europäischer Ebene eintreten wird. Es braucht eine Cybersicherheitspolitik, die keine Zugeständnisse bei den Anforderungen macht, damit wir wirklich über die nötigen Mittel verfügen, um ein starkes Ökosystem für den Cyberschutz zu schaffen.