Die Direktive 2016/1148 zur Sicherheit von Netzwerken und Informationssystemen (Network and Information Security, NIS) wurde am 6. Juli 2016 durch das Parlament und den Rat der Europäischen Union verabschiedet, um die Vielzahl von Lücken hinsichtlich Cyber-Sicherheit zu schließen. Diese europäische Direktive zielt darauf ab, einheitliche Regelungen zur Sicherung von Netzwerken und Informationssystemen in den EU-Mitgliedsstaaten zu schaffen und soll bis spätestens zum 9. Mai 2018 jeweils in nationales Recht der Mitgliedsstaaten umgesetzt werden.

Für Unternehmen und Wirtschaftsbereiche, die sich permanent Cyber-Bedrohungen und der Gefahr technischer Störungen ausgesetzt sehen, will die Direktive einen sicheren Cyberspace befördern, sodass diese ihren Geschäftsbetrieb möglichst risikofrei ausüben können.

Um eine sichere Online-Umgebung zu schaffen, sollen Benutzer einer zentralen Anlaufstelle („single point of contact“) bei den zuständigen nationalen Behörden („competent national authorities“) Mitteilung über jegliche Form von Cyber-Attacken oder -Zwischenfällen machen können. Die Direktive schlägt daher die Schaffung einer diesbezüglichen Kooperationsgruppe als Mechanismus für die Zusammenarbeit innerhalb der EU sowie Computer-Notdienste, benannt „Computer Security Incident Response Teams” (CSIRT), vor. Unternehmen, die Hauptleidtragenden von Cyberkriminalität, können so Probleme im Zusammenhang mit Cybersicherheit auf nationaler wie auf EU-Ebene identifizieren, reportieren und lösen. Einige europäische Verbände wie beispielsweise die französische Vereinigung der Anbieter von Software und Internetlösungen (Association Française des Editeurs de Logiciels et de Solutions Internet, AFDEL) sehen dies jedoch kritisch. Ihrer Ansicht nach sollten Unternehmen mittlerer Größe vorzugsweise anstreben, höhere Mittel zur Finanzierung besserer Netzwerk- und Informationssysteme aufzubringen, um ihre Wettbewerbsfähigkeit nicht zu gefährden.

Die Anbieter wesentlicher technisch-digitaler Dienstleistungen gehen bedeutsame Verpflichtungen gegenüber den sie in Anspruch nehmenden Unternehmen ein. Wirtschaftsbereiche, die Cyber-Bedrohungen vorwiegend ausgesetzt sind (Banken, Finanz- und E-Commerce-Dienstleister), tragen höhere Risiken hinsichtlich der von ihnen erhaltenen und möglichweise weiterzuleitenden Daten. Daher müssen sie ihren Nutzern eine bessere Verwaltung dieser Daten und entsprechende Risikominimierung gewährleisten können.

Nicht zuletzt ist eine ‘nationale Strategie’ wesentlicher Aspekt der Direktive: Um Cyber-Attacken besser einschätzen und verhindern zu können, müssen Nutzer über die Risiken, die sie eingehen, aufgeklärt werden. Daher sind die Mitgliedsstaaten mittels neuer Auflagen, die strategisch an die Agierenden und deren Risikobewusstsein gerichtet sind, angehalten, ihre EDV-Sicherheitsbemühungen zu intensivieren. Dieses Element der Sensibilisierung des Verantwortungsbewusstseins der Akteure muss in den Vordergrund gerückt und weiterentwickelt werden, denn trotz der Verschärfung der gesetzlichen Vorgaben, betrifft Cyber-Kriminalität immer größere Bereich der Wirtschaft.