Für Betreiber kritischer Infrastrukturen sind EU-weit einheitliche Sicherheitsrichtlinien in Arbeit. Die Regeln richten sich an Firmen, die Energie, Trinkwasser oder digitale Infrastruktur bereitstellen, Banken, Transportunternehmen sowie das Gesundheitswesen. Auch Suchmaschinen und Kommunikationsplattformen im Internet sind betroffen. (Günther Oettinger meint zwar, dass auch ein Spielzeughersteller aus Hongkong von der Richtlinie betroffen ist, aber wie Golem richtig anmerkt, liegt 1. Hongkong nicht in der EU und ist Spielzeug 2. keine kritische Infrastruktur.)

Die Regeln umfassen den Schutz gegen Versagen von Mensch und Technik, höhere Gewalt und kriminelle Angriffe. Unter dem Stichwort “Network and Information Security”, kurz NIS, sollen Mindeststandards für die Vorbeugung und Bekämpfung von IT-Sicherheisvorfällen eingeführt werden. Nach dem aktuellen Stand werden die Richtlinien in etwa zwei Jahren in Kraft treten. Anfang Dezember 2015 haben sich der EU-Ministerrat, das Europäische Parlament und die Europäische Kommission auf einen gemeinsamen Entwurf geeinigt, der auf der Cybersecurity-Strategie von 2013 beruht. Als nächstes wird die Richtlinie im Frühjahr vom Parlament verabschiedet, anschließend haben die Mitgliedsstaaten 21 Monate Zeit zur Umsetzung.

Spätestens Ende 2017 sind Unternehmen der einschlägigen Branchen verpflichtet, erweiterte Sicherheitsmaßnahmen zu treffen und schwere Sicherheitsvorfälle zu melden. Es empfiehlt sich, frühzeitig eine Reihe von Fragen zu klären: Ist Ihre Firma von der EU-Cybersecurity-Richtlinie betroffen? Welche Sicherheitsmaßnahmen sind im Einzelnen gefordert? Welche davon setzen Sie schon um, welche fehlen noch? Welche Behörde ist der konkrete Ansprechpartner für dieses Thema? Unsere Berater unterstützen Sie gerne dabei, die komplexen Detailfragen dieser Thematik umfassend und gründlich zu klären.