Nach den Plänen der EU-Kommission sollen zu den meldepflichtigen Kritischen Infrastrukturen neben Telekommunikationsnetzen folgende Bereiche gehören: Banken und Börsen, Energieversorger, Transport und Logistik, Gesundheitswesen, öffentliche Verwaltungen sowie "zentrale Internetunternehmen". Zu den Internetunternehmen zählt die Kommission zum Beispiel Cloud Provider, Soziale Netzwerke, E-Commerce Plattformen, App-Stores oder Suchmaschinen. Die Unternehmen sollen an die nationalen Behörden Vorfälle melden, die ihren Service stark beeinträchtigen. "Eine vorübergehende Unterbrechung bestimmter Online-Dienste ist nicht mit Angriffen auf Telekommunikationsnetze, Verkehrswege oder die Energieversorgung zu vergleichen", betonte Kempf. "Für die Anbieter gängiger Internetdienste ist eine Meldepflicht nicht gerechtfertigt." Neben dem bürokratischen Aufwand befürchteten viele Unternehmen einen Imageschaden, wenn IT-Sicherheitsvorfälle öffentlich bekannt werden. Zudem bestehe immer die Gefahr, dass die Meldungen Nachahmer auf den Plan rufen.
Meldepflichten von IT-Sicherheitsvorfällen gibt es in Deutschland bereits für die Betreiber von Telekommunikationsnetzen nach dem Telekommunikationsgesetz (TKG). Nach dem Bundesdatenschutzgesetz müssen Vorfälle gemeldet werden, wenn personenbezogene Daten betroffen sind. Das ist zum Beispiel der Fall, wenn die Zugangsdaten von Online-Diensten oder sogar Kreditkartendaten gestohlen werden.
Anonyme und freiwillige Meldungen von IT-Sicherheitsvorfällen sind in Deutschland beim BSI möglich. Die Meldestelle wurde in Zusammenarbeit mit dem BITKOM in der Allianz für Cybersicherheit auf den Weg gebracht. https://www.allianz-fuer-cybersicherheit.de/...