Neue Cybersicherheitsvorschriften geplant: Warum Händler trotzdem auf sich allein gestellt bleiben

Cyberangriffe gehören längst zum Alltag, nicht nur für Behörden oder Großkonzerne. Auch Online-Händler geraten immer häufiger ins Visier: manipulierte Shop-Plugins, kompromittierte Zahlungsanbieter, gehackte Kundenkonten oder Erpressung durch Ransomware gehören zum Alltag. Vor diesem Hintergrund hat die Europäische Kommission ein neues Cybersicherheitspaket vorgestellt. Die Botschaft aus Brüssel: Wir brauchen mehr Cybersicherheit. Hält die EU, was sie verspricht?

Worum geht es überhaupt?

Die EU reagiert auf eine steigende Zahl professioneller Cyberangriffe, die meist aus dem Nicht-EU-Ausland kommen, gut organisiert sind, und daher selten greifbar sind. Das neue Paket setzt an drei großen Stellen an: Erstens sollen digitale Lieferketten sicherer werden. Gemeint sind alle technischen Bausteine, auf die Unternehmen angewiesen sind: Shopsoftware, Cloud-Dienste, Zahlungsanbieter, Hosting, aber auch Hardware und Netzwerktechnik. Die EU möchte besser kontrollieren, von wem diese Technik stammt, insbesondere wenn Anbieter aus Drittstaaten kommen, bei denen es Sicherheitsbedenken gibt.

Außerdem plant die EU einfachere und einheitliche Cybersicherheitszertifikate. Produkte und digitale Dienste sollen schneller und klarer darauf geprüft werden, ob sie grundlegende Sicherheitsstandards einhalten. In der Praxis bleiben diese Zertifikate jedoch freiwillig. Viele der Tools, die Händler täglich einsetzen (z. B. etwa Plugins) werden vermutlich gar nicht zertifiziert. Das bedeutet: Die Verantwortung, sichere Lösungen auszuwählen, liegt weiterhin beim Händler selbst.

Darüberhinaus will die EU die bestehenden Cybersicherheitsregeln verständlicher und leichter umsetzbar machen. Dazu gehören Anpassungen an der NIS-2-Richtlinie, die festlegt, welche Unternehmen besondere Sicherheitsmaßnahmen einhalten und Vorfälle melden müssen. Künftig soll es weniger Bürokratie, klarere Zuständigkeiten und eine zentrale Meldestelle für Sicherheitsvorfälle geben. Gerade kleinere Unternehmen sollen entlastet werden.

Gut gemeint, aber für Händler noch keine echte Hilfe

So sinnvoll diese Pläne klingen, sie lösen ein zentrales Problem nicht: Die Lücke zwischen Regulierung und Realität im Online-Handel. Denn Händler können kaum beurteilen, ob ein Anbieter ein Sicherheitsrisiko darstellt oder nicht. Wenn ein Shop wegen eines externen Dienstleisters gehackt wird, haftet am Ende trotzdem der Händler.

Kleine und mittlere Online-Händler brauchen vor allem präventive Hilfe: einfache Checklisten, verständliche Standards, konkrete Empfehlungen für Shopsoftware und Dienstleister sowie bezahlbare Sicherheitslösungen. All das liefert das EU-Paket bislang nur indirekt. Für Online-Händler bedeutet das jedoch vorerst keine echte Entlastung. Die Verantwortung für Cybersicherheit bleibt beim Unternehmen selbst.

Nach der Zustimmung durch das Europäisches Parlament und den Rat der EU tritt die neue Cybersicherheitsverordnung sofort in Kraft, während die begleitenden Änderungen der NIS-2-Richtlinie erst nach der Annahme von den Mitgliedstaaten innerhalb eines Jahres in nationales Recht umgesetzt werden müssen.

Artikelbild: http://www.depositphotos.com