EU-Kommission: Firmen müssen Hackerangriffe melden

Vertreter von EU-Kommission, EU-Parlament und Mitgliedstaaten haben sich auf die sogenannte NIS-Richtlinie zu Netzwerk- und Informationssicherheit geeinigt. Mit diesem ersten EU-Gesetz zur IT-Sicherheit werden große Internet-Unternehmen wie Amazon und Google verpflichtet, gegen sie gerichtete schwere Hackerangriffe den Behörden zu melden. Andernfalls drohen Strafen. Durch die Richtlinie möchte die EU-Kommission für mehr Schutz vor Terrorangriffen durch das Internet sorgen.

Kleine Unternehmen sind von den Bestimmungen noch ausgenommen. Das heißt aber nicht, dass sie massive Angriffe verschweigen dürfen. Im Falle eines Daten-Lecks, aus dem viele personenbezogene Informationen entweichen, müssen sie das unter anderem ihrem Landesdatenschutzbeauftragten mitteilen. Mehr dazu finden Sie in unserem Ratgeber zum Datenschutz. Ebenfalls nicht betroffen von der NIS-Richtlinie sind soziale Netzwerke wie Facebook.

Das Gesetz wurde bereits 2013 von der EU-Kommission vorgeschlagen, die Verhandlungen gestalteten sich allerdings kompliziert. Zusätzlich sieht die Richtlinie vor, dass Anbieter von essenziellen Dienstleistungen wie Banken oder Energieversorger ihre digitale Infrastruktur besser gegen Angriffe aus dem Netz absichern müssen. Dazu sollen die Mitgliedsstaaten stärker in Hard- und Software investieren und besser untereinander kooperieren.

Deutsches Gesetz zur IT-Sicherheit bereits seit Sommer

In Deutschland wurde bereits im Juni ein Gesetz zur IT-Sicherheit beschlossen, das der NIS-Richtlinie relativ ähnlich ist: Firmen werden dadurch verpflichtet, Cyberangriffe an Behörden zu melden. Sofern kein Ausfall von Systemen droht, kann diese Meldung auch anonym erfolgen. Das Gesetz gilt für circa 2.000 Unternehmen wie Energieversorger, Banken und Krankenhäuser – also Firmen, bei denen durch die Attacken Auswirkungen auf das Gemeinwohl zu befürchten sind. Wenn ein Angriff verschwiegen wird, drohen Strafen von bis zu 100.000 Euro. Unklar bleibt laut Kritikern allerdings, wie die Schwere des Hackerangriffs definiert ist, ab der eine Meldung erforderlich ist.

Weiterführende Links:

  • So schützen Sie Ihre Passwörter vor Hacker-Angriffen.
  • mDM verrät Ihnen, worauf Sie beim Löschen von Firmendaten achten müssen, um sensible Daten vor Dritten zu schützen.