Die EU will Cyberkriminalität bekämpfen und nimmt dazu die Anbieter und Betreiber von Diensten in die Pflicht. Lange wurde im Rahmen der Trilog-Verhandlungen zwischen Kommission, Rat und Parlament der Europäischen Union darum gerungen, ob und in welcher Form eine europäische Regelung zur Eindämmung wirtschaftlicher Schäden durch Cyberkriminalität und zum Schutz von Internetnutzerinnen und -nutzern vor Gefahren aus dem Cyberraum getroffen werden kann. Am Ende der Verhandlungen stand die EU-Richtlinie über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen (NIS-Richtlinie), die am heutigen Tag in Kraft tritt. Die Richtlinie legt gemeinsame Mindestanforderungen für Kapazitätsaufbau und -planung, Informationsaustausch, Zusammenarbeit sowie gemeinsame Sicherheitsanforderungen für Betreiber wesentlicher Dienste und Anbieter digitaler Dienste fest.
Die NIS-Richtlinie verpflichtet die Betreiber wesentlicher Dienste dazu, sich besser vor Cyber-Attacken zu schützen, Sicherheitsvorfälle zu melden und sich über Sicherheitslücken auszutauschen. Wesentliche Dienste, die von der Richtlinie umfasst werden, sind die so genannten kritischen Infrastrukturen wie Energiekonzerne, Flughäfen, Kliniken und Wasserversorger, Banken und Finanzdienstleister. Damit sind z.B. auch Versorgungsunternehmen oder Krankenhäuser mit Sitz in Rheinland-Pfalz betroffen. Die Anbieter digitaler Dienste sind etwas schwächer reguliert, die an sie gestellten Sicherheitsanforderungen sollen grundsätzlich geringer sein. Sie müssen allerdings ebenfalls Angriffe auf ihre Systeme melden und Sicherheitsvorsorge treffen. Ein Netzwerk von IT-Sicherheitsbehörden aus den Mitgliedstaaten soll grenzüberschreitende Vorfälle untersuchen und auf diese reagieren.
Der rheinland-pfälzische Landesbeauftragte für den Datenschutz und die Informationsfreiheit, Prof. Dr. Dieter Kugelmann, begrüßt die Richtlinie und die darin vorgesehene Einbindung der Datenschutzbehörden: Datenschutz heißt auch Schutz kritischer Infrastrukturen, die ohne die Verarbeitung gerade auch sensibler Daten nicht vernünftig arbeiten können. Die Initiative der EU ist daher sehr zu begrüßen. Es steht außer Frage, dass der Datenschutzbeauftragte Rheinland-Pfalz seinen Beitrag dazu leisten wird, die Sicherheit und den Datenschutz im Netz für Verbraucherinnen und Verbraucher zu erhöhen.
Bereits im Sommer des vergangenen Jahres hatte der Bundesgesetzgeber mit dem Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) Maßnahmen ergriffen, die die Verbesserung der IT-Sicherheit von Unternehmen, den verstärkten Schutz der Bürgerinnen und Bürger im Internet und in diesem Zusammenhang auch die Stärkung des Bundesamts für Sicherheit in der Informationstechnik und des Bundeskriminalamts gewährleisten sollen. Es bleibt abzuwarten, inwieweit die Umsetzung der NIS-Richtlinie zu Modifikationen des IT-Sicherheitsgesetzes führen wird.