Die EU und ihre Mitgliedstaaten – insbesondere Deutschland – haben in den vergangenen Jahren auf regulatorischer Ebene Einiges in Sachen IT-Sicherheit geleistet: Das IT-Sicherheitsgesetz (IT-SiG) wurde 2015 eingeführt, die darauf basierende BSI-Kritis-Verordnung (BSI-KritisV) fertiggestellt, die nationale Cyber-Sicherheitsstrategie von 2011 wurde Ende 2016 novelliert und die Netz- und Informationssicherheitsrichtlinie der EU (NIS-RL) inklusive eines nationalen Umsetzungsgesetzes für diesen europäischen Rechtsakt im Bereich der Cybersicherheit auf den Weg gebracht. Eigentlich, so sollte man meinen und war bisher auch die nahezu einhellige Meinung, sei damit der politische Entscheidungs- und damit auch der Gesetzgebungsprozess zumindest die IT-Sicherheit betreffend vorerst abgeschlossen – zumal die Implementierungsphase der neuen Anforderungen für betroffene Betreiber und die Errichtung eines europäischen Cybersecurity-Netzwerks für die Behörden genügend anspruchsvolle Aufgaben mit sich bringt.
WannaCry als Meilenstein der europäischen IT-Sicherheitspolitik
Grundlegend geändert hat sich das rechtspolitische Klima jedoch infolge der weltweiten WannaCry-Attacke im Mai 2017. Unbekannte Angreifer konnten hier eine Sicherheitslücke im Microsoft-Betriebssystem Windows ausnutzen, ihr Schadcode verschlüsselte auf den betroffenen Rechnern die Daten und forderte Nutzer zur Zahlung eines Lösegelds auf. Die Schadsoftware infizierte nach Angaben von Europol dabei etwa 200.000 Computersysteme in 150 Ländern. Nachdem sich schon recht kurze Zeit darauf in Deutschland erste Politiker zur Verschärfung der Vorgaben des IT-SiG aussprachen, hat der Rat der Europäischen Union Ende vergangener Woche in Luxemburg die rechtliche Regulierung von Cybersicherheit erneut aufgegriffen. Vor allen Dingen die französische Regierung stellte sich hier als treibende Kraft dar und stellte auch die Überarbeitung der NIS-RL in Aussicht.
[…]
Der vollständige Beitrag kann an dieser Stelle im beck-blog abgerufen werden.