Die EU-Kommissarin für die Digitale Agenda Neelie Kroes, die EU-Kommissarin für Innenpolitik Cecilia Malmström und die Hohe Vertreterin der EU für Außen- und Sicherheitspolitik Chatherine Ashton stellten heute den „Cybersicherheitsplan der EU für ein offenes, freies und chancenreiches Internet“ sowie einen Vorschlag für eine Richtlinie zur Netz- und Informationssicherheit (NIS) vor. Der Fokus liegt auf der Bekämpfung von Cyberkriminalität und der Entwicklung einer Cyberverteidigungspolitik in Zusammenhang mit der Gemeinsamen Sicherheits- und Verteidigungspolitik, denn, wie Neelie Kroes es formulierte: „Es ist höchste Zeit für ein koordiniertes Vorgehen, denn die Kosten des Nichtstuns sind weitaus höher als die Kosten des Handelns.“ Sie hatte bei der Münchner Sicherheitskonferenz Anfang Februar bereits vor einem „Wettrüsten im Cyberraum“ gewarnt.
Die Achtung der Grundwerte der EU solle durch internationale Cybersicherheitspolitik gefördert werden, indem gemeinsame Normen festgelegt werden und sich die EU dafür einsetzt, das bestehende internationale Recht im Cyberraum anzuwenden. Auch außerhalb der EU sollen Länder beim Aufbau von Cybersicherheitskapazitäten unterstützt werden. Nur ein „sicheres Internet“ schütze die Freiheiten, Rechte und Wirtschaftstätigkeit von Bürgerinnen und Bürger.
Die vorgeschlagene NIS-Richtlinie sieht für jeden EU-Staat die Errichtung einer nationalen Behörde mit ausreichender Finanz- und Personalausstattung vor, die Cyberangriffe vorbeugen und auf bereits geschehene reagieren soll. In vielen EU-Ländern fehle schlichtweg das notwendige Instrumentarium, um organisierte Cyberkriminalität verfolgen und bekämpfen zu können, erklärte Cecilia Malmström die Notwendigkeit nationaler Sicherheitszentren. Desweiteren wird in der Richtlinie eine Schaffung von Kooperationsmechanismen zwischen Mitgliedstaaten und Kommission gefordert, um Warnungen vor Sicherheitsrisiken- und vorfällen über eine sichere Infrastruktur übermittlen zu können sowie zur Koordination und Durchführung gegenseitiger Überprüfungen.
Betreiber kritischer Infrastrukturen sollen, ebenso wie solche „zentraler Dienste der Informationsgesellschaft“ (hierzu gehören laut Kommission App-Stores, eCommerce-Plattformen, Zahlungssysteme, Cloud-Computing, Suchmaschinen und soziale Netzwerke) und öffentliche Verwaltungen, „große Sicherheitsvorfälle“ melden müssen. Gegen diese auch in Deutschland diskutierte Meldepflicht hatte Bitkom erst kürzlich protestiert, sie sei unnötig und das Bundesamt für Sicherheit in der Informationstechnik „habe bereits einen guten Überblick über aktuelle Gefahren, die Unternehmen auch freiwillig meldeten“.
„Weit mehr als 40.000 EU-Unternehmen“ könnten laut der CSU-Europaabgeordneten Monika Hohlmeier von dieser Meldepflicht betroffen sein. Wer jedoch betroffen ist und wie „großer Sicherheitsvorfälle“ definiert werden, müsse jedoch im Europaparlament noch intensiv diskutiert werden.
Ein kurzes Video mit Ausschnitten aus der Pressekonferenz:
Update
EDRi-Mitglied Ross Anderson kritisierte bereits den geleakten Entwurf der Cybersicherheitsstrategie (wir berichteten) und hat diese Kritik nach der offiziellen Veröffentlichung erneut formuliert. Die Forderung beispielsweise, nationale Sicherheitszentren einzurichten, sei schon im Ansatz falsch und in der Praxis nicht umsetzbar. Zuständigkeiten an eine zentrale Behörde zu vergeben untergrabe die verfassungsrechtlichen Bestimmungen betreffend Gewaltenteilung und Rechenschaftspflicht, und nicht mal im „überwachungsfreundlichsten“ Land Europas, Großbritannien, würde dies wohl derart akzeptiert werden. In Deutschland würde dadurch laut Anderson die strikte Trennung zwischen Strafverfolgung und Nachrichtendienst aufgeweicht.
Zudem sollen den nationalen Sicherheitszentren zukünftig die erforderlichen Mittel zur Verfügung gestellt werden, um „ihren Verpflichtungen nachkommen“ zu können, einschließlich „der Befugnis zum Einholen ausreichender Informationen bei den Marktteilnehmern […] ebenso wie zum Einholen von zuverlässigem und umfassendem Datenmaterial über aktuelle Sicherheitsvorfälle.“ ‚Marktteilnehmer‘ sind, wie oben benannt, App-Stores, eCommerce-Plattformen, Zahlungssysteme, Cloud-Computing, Suchmaschinen, soziale Netzwerke und andere Kommunikationsdienste. Laut Andresan hätte das eine Ausweitung der Befugnisse zur Vorratsdatenspeicherung zur Folge – durch Telekommunikationsunternehmen und ISPs auf Diensteanbieter wie Suchmaschinen, Webmail-Anbieter, soziale Netzwerke und Betreiber von Computerspielen. Dies verstoße sowohl gegen die Verfassungen einiger Länder, sei aber ebenfalls schwer mit dem Recht auf Achtung des Privat- und Familienlebens der Europäischen Menschenrechtskonvention in Einklang zu bringen.
Bits of Freedom haben auf ihrer Seite berechtigte Bedenken bzgl. der Zugriffsrechte auf persönliche Daten (Art. 15 der Richtlinie) und des möglichen Austauschs dieser zwischen Behörden (Art. 8) angemeldet. Der Post ist leider nur auf Niederländisch, aber mit Translate ganz gut lesbar: