wf Berlin – IT-Sicherheit wird in Deutschland und in Europa großgeschrieben. Maßgeblich ist die Network- und Informationssicherheitsrichtlinie (NIS) aus dem Jahr 2016. Danach sind alle EU-Mitgliedstaaten verpflichtet, für sogenannte Kritische Infrastrukturen (Kritis) ein Aufsichtssystem zu etablieren. Zu kritischen Infrastrukturen gehören Sektoren wie Energie, Transport, Lebensmittel und auch Finanzen.Deutschland hat seit 2015 das IT-Sicherheitsgesetz, das auch Kritis regelt. Anders als bei übrigen Sektoren bestehen, bußgeldbewehrt, schärfere Meldepflichten für Kritis. Dort müssen gezielt auch nicht kriminelle Vorfälle an das Bundesamt für Sicherheit in der Informationstechnik (BSI) reportiert sowie die Auswirkungen und die Risiken für die IT-Infrastruktur beschrieben werden. Zudem wirkt die Kontrolle präventiv: Kritis müssen Sicherheitskonzepte ausarbeiten und von einem externen Auditor alle zwei Jahre überprüfen lassen. Das Ergebnis wird vom BSI erneut daraufhin überprüft und bewertet, ob es ausreicht. Der Finanzsektor war in diesen Fragen stets Vorreiter, da Regelungen zur IT-Sicherheit frühzeitig in das Kreditwesengesetz gelangten.Es gibt aber keine europäische Gesetzgebung, die für die europäischen Agenturen oder die EU-Institutionen IT-Sicherheitsanforderungen stellt. Dies gilt spiegelbildlich auch für Deutschland. Ausgeklammert haben der europäische und der deutsche Gesetzgeber von den Vorgaben für kritische Infrastruktur den Sektor Staat samt seiner IT-Systeme. Sie kontrollieren sich damit selbst. Darunter fällt auch Target2. Auch die EU-Kommission überwacht ihre IT-Sicherheit allein, obwohl sie als Behörde sehr viel Geld verwaltet.Die europäische IT-Sicherheitsagentur European Union Agency for Cybersecurity (Enisa) mit Sitz in Griechenland ist in den vergangenen Jahren enorm vergrößert worden. Sie nimmt Meldungen aus den Mitgliedstaaten entgegen, informiert die EU-Kommission, berät und unterstützt auf Anforderung. Sie hat aber keine Kontrollbefugnisse.