Meldungen von heise online zu Folge haben sich Vertreter des EU-Parlaments und der Mitgliedsstaaten auf einen Kompromiss über die geplante Richtlinie für Netzwerk- und Informationssicherheit geeinigt. Der Kompromiss sieht vor, dass Cyberangriffe auf „wesentliche“ Infrastrukturen sowie Sicherheitsvorfälle und Datenschutzpannen gemeldet werden müssen.
Welche Unternehmen von der Meldepflicht und der Pflicht geeignete Abwehrmechanismen vorhalten zu müssen betroffen sein sollen, dürfen die Mitgliedsstaaten selbst festlegen. Unstrittig betroffen sind wohl die bereits durch das IT-Sicherheitsgesetz erfassten kritischen Infrastrukturen aus den Bereichen Energie, Verkehr, Banken, Finanzmarkt und Gesundheit. Anders als im IT-Sicherheitsgesetz sollen bei dem EU-Kompromiss aber auch soziale Netzwerke, Cloud-Dienste und Suchmaschinen von einer wohl abgeschwächten Meldepflicht und Abwehrpflicht betroffen sein. Hier ist aber noch nichts entschieden. Das Gleiche gilt für die Frage, ob und wenn ja, in welchem Umfang öffentliche Stellen betroffen sein sollen.
Wie geht es weiter?
Offene Fragen sind noch zu klären, bevor das EU-Parlament und der EU-Rat dem nun vorliegenden Kompromiss zustimmen können. Interessant für Deutschland ist die Frage, ob das gerade erst verabschiedete IT-Sicherheitsgesetz aufgrund dieser EU-Richtlinie in Kürze noch einmal anzupassen ist.