EU-Strategie für Cybersicherheit soll kritische Infrastrukturen stärken

1742
Foto: Pixabay

Zahlreiche Cyberangriffe in der Coronakrise machen deutlich, wie wichtig es ist, Krankenhäuser, Forschungszentren und andere Infrastrukturen zu schützen.

Mit ihrer vorgelegten Cybersicherheitsstrategie will die EU-Kommission Europas kollektive Abwehr gegen Cyberbedrohungen etwa in den Bereichen Binnenmarkt, Strafverfolgung, Diplomatie und Verteidigung stärken. Dazu schlägt die Kommission eine Überarbeitung der Richtlinie über Cybersicherheit (NIS-Richtlinie „NIS 2“) und eine neue Richtlinie über die Widerstandsfähigkeit kritischer Einrichtungen vor.

Die neue Cybersicherheitsstrategie ist ein zentrales Element der Gestaltung der digitalen Zukunft Europas, des Aufbauplans für Europa und der EU-Strategie für eine Sicherheitsunion. Sie bietet der EU auch die Möglichkeit, ihre Führungsrolle bei internationalen Normen und Standards im Cyberraum zu festigen und die Zusammenarbeit mit Partnern in der ganzen Welt zu stärken, um sich für einen globalen, offenen, stabilen und sicheren Cyberraum einzusetzen, der auf Rechtsstaatlichkeit, Menschenrechten, Grundfreiheiten und demokratischen Werten beruht.

Vertrauen und Sicherheit im Mittelpunkt der Digitalen Dekade der EU

Die neue Cybersicherheitsstrategie soll ein globales und offenes Internet gewährleisten und zugleich Schutzvorkehrungen bieten, nicht nur im Hinblick auf die Sicherheit, sondern auch um die europäischen Werte und die Grundrechte aller zu schützen. Aufbauend auf dem, was in den vergangenen Monaten und Jahren erreicht wurde, enthält die Strategie konkrete Vorschläge für Regulierungs-, Investitions- und Politikinstrumente auf drei EU-Aktionsfeldern:

Widerstandsfähigkeit, technologische Unabhängigkeit und Führungsrolle

Auf diesem Feld schlägt die Kommission vor, die Vorschriften über die Sicherheit von Netz- und Informationssystemen durch eine Richtlinie über Maßnahmen für ein hohes gemeinsames Maß an Cybersicherheit in der gesamten Union (überarbeitete NIS-Richtlinie oder „NIS 2“) neu zu gestalten, um die Abwehrfähigkeit kritischer öffentlicher und privater Sektoren zu verbessern: Krankenhäuser, Energienetze, Eisenbahnen, aber auch Rechenzentren, öffentliche Verwaltungen, Forschungslabore und die Herstellung kritischer medizinischer Geräte und Arzneimittel sowie sonstige kritische Infrastrukturen und Dienste müssen ihre Undurchlässigkeit in einem sich rasch verändernden und komplexen Bedrohungsumfeld bewahren.

Darüber hinaus schlägt die Kommission vor, ein Netz von Sicherheitseinsatzzentren in der gesamten EU mithilfe künstlicher Intelligenz (KI) aufzubauen, das für die EU ein echtes „Cybersicherheitsschutzschild“ mit der Fähigkeit sein wird, frühzeitige Signale für drohende Cyberangriffe zu erkennen und Maßnahmen zu ermöglichen, bevor Schäden verursacht werden. Weitere Maßnahmen umfassen die gezielte Unterstützung kleiner und mittlerer Unternehmen (KMU) im Rahmen der digitalen Innovationszentren sowie verstärkte Bemühungen, um Fachkräfte auszubilden und zu schulen, die besten Talente auf dem Gebiet der Cybersicherheit anzuziehen und zu binden sowie in eine offene wettbewerbsfähige Forschung und Innovation von Weltrang zu investieren.

Aufbau operativer Kapazitäten zur Prävention, Abschreckung und Reaktion

Die Kommission bereitet derzeit mit den Mitgliedstaaten in einem offenen und integrativen Verfahren eine neue gemeinsame Cyberstelle vor, um die Zusammenarbeit zwischen den EU-Einrichtungen und den Behörden der Mitgliedstaaten, die für die Prävention, Abschreckung und Reaktion im Hinblick auf Cyberangriffe zuständig sind (einschließlich ziviler und diplomatischer Gemeinschaften sowie der Strafverfolgungs- und Verteidigungskreise im Bereich der Cybersicherheit), zu stärken. Der Hohe Vertreter unterbreitet Vorschläge zur Stärkung des EU-Instrumentariums für die Cyberdiplomatie, um böswilligen Cyberaktivitäten, insbesondere solchen, die unsere kritische Infrastruktur, unsere Versorgungsketten und unsere demokratischen Institutionen und Prozesse betreffen, vorzubeugen, sie zu verhindern, von ihnen abzuschrecken und wirksam auf sie zu reagieren.

Die EU wird sich auch dafür einsetzen, die Zusammenarbeit im Bereich der Cyberabwehr weiter zu verbessern und modernste Fähigkeiten auf diesem Gebiet zu entwickeln. Sie wird sich dabei auf die Arbeiten der Europäischen Verteidigungsagentur stützen und die Mitgliedstaaten auffordern, die Ständige Strukturierte Zusammenarbeit und den Europäischen Verteidigungsfonds in vollem Umfang zu nutzen.

Förderung eines globalen offenen Cyberraums durch verstärkte Zusammenarbeit

Die EU wird ihre Zusammenarbeit mit internationalen Partnern intensivieren, um die regelbasierte Weltordnung zu stärken, die internationale Sicherheit und Stabilität im Cyberraum zu fördern sowie die Menschenrechte und Grundfreiheiten im Internet zu schützen. Sie wird internationale Normen und Standards voranbringen, die diese Grundwerte der EU widerspiegeln, indem sie mit ihren internationalen Partnern in den Vereinten Nationen und anderen einschlägigen Foren zusammenarbeitet. Die EU wird ihr Instrumentarium für die Cyberdiplomatie weiter stärken. Außerdem wird sie durch eine EU-Agenda für den Aufbau externer Cyberkapazitäten die Bemühungen um den Aufbau solcher Kapazitäten in Drittländern verstärken. Die Cyber-Dialoge mit Drittländern, regionalen und internationalen Organisationen und der Multi-Stakeholder-Gemeinschaft werden intensiviert. Die EU wird ferner ein weltumspannendes EU-Netz für Cyberdiplomatie errichten, um für ihre Vision des Cyberraums zu werben.

Die EU ist entschlossen, die neue Cybersicherheitsstrategie im Rahmen ihres nächsten langfristigen Haushalts in den kommenden sieben Jahren durch beispiellose Investitionen in den digitalen Wandel zu unterstützen, insbesondere durch das Programm „Digitales Europa“, Horizont Europa und den Europäischen Aufbauplan. Die Mitgliedstaaten werden daher aufgefordert, die Aufbau- und Resilienzfazilität der EU in vollem Umfang zu nutzen, um die Cybersicherheit zu erhöhen und die auf EU-Ebene getätigten Investitionen zu ergänzen. Angestrebt wird ein Investitionsvolumen von bis zu 4,5 Milliarden Euro vonseiten der EU, der Mitgliedstaaten und der Industrie, insbesondere im Rahmen des Kompetenzzentrums für Cybersicherheit und des Netzes nationaler Koordinierungszentren, wobei ein großer Teil kleinen und mittleren Unternehmen zugutekommen soll.

Die Kommission will auch die industriellen und technologischen Kapazitäten der EU im Bereich der Cybersicherheit stärken, unter anderem durch Projekte, die gemeinsam aus den Haushalten der EU und der Mitgliedstaaten gefördert werden. Die EU hat die einmalige Chance, ihre Ressourcen zu bündeln, um ihre strategische Autonomie zu stärken und ihre Führungsrolle bei der Cybersicherheit der gesamten digitalen Lieferkette (einschließlich Daten und Cloud, Prozessortechnologien der nächsten Generation, ultrasichere Konnektivität und 6G-Netze) im Einklang mit ihren Werten und Prioritäten zu festigen.

Digitale und physische Widerstandsfähigkeit von Netzen, Informationssystemen und kritischen Einrichtungen

Bestehende Maßnahmen auf EU-Ebene zum Schutz wichtiger Dienste und Infrastrukturen vor physischen Risiken und Cybergefahren müssen aktualisiert werden. Mit zunehmender Digitalisierung und Vernetzung verändern sich die Cybersicherheitsrisiken ständig. Auch die physischen Risiken sind seit der Annahme der EU-Vorschriften für kritische Infrastrukturen aus dem Jahr 2008, die derzeit nur den Energie- und Verkehrssektor erfassen, komplexer geworden. Durch die Überarbeitung sollen die Vorschriften nach dem Muster der EU-Strategie für eine Sicherheitsunion aktualisiert werden, um die falsche Zweiteilung zwischen online und offline und isolierte Betrachtungsweisen zu überwinden.

Um auf die wachsenden Bedrohungen durch Digitalisierung und Vernetzung zu reagieren, wird die vorgesehene Richtlinie über Maßnahmen für ein hohes gemeinsames Maß an Cybersicherheit in der gesamten Union (überarbeitete NIS-Richtlinie oder „NIS 2“) mittlere und große Einrichtungen aus einer größeren Anzahl von Sektoren erfassen, wobei deren strategische Bedeutung für Wirtschaft und Gesellschaft zum Maßstab genommen wird. Die NIS-2 stellt höhere Sicherheitsanforderungen an die Unternehmen, widmet sich der Sicherheit der Lieferketten und den Beziehungen zwischen den Anbietern, vereinfacht die Berichterstattungspflichten, sieht strengere Aufsichtsmaßnahmen durch die nationalen Behörden sowie strengere Durchsetzungsanforderungen vor und zielt auf einheitlichere Sanktionsregelungen in den Mitgliedstaaten ab. Der NIS-2-Vorschlag wird zu einem größeren Informationsaustausch und besserer Zusammenarbeit bei der Bewältigung von Cyberkrisen auf nationaler und EU-Ebene beitragen.

Mit der vorgeschlagenen Richtlinie über die Widerstandsfähigkeit kritischer Einrichtungen wird die Richtlinie über europäische kritische Infrastrukturen von 2008 erweitert und vertieft. Erfasst werden nunmehr zehn Sektoren: Energie, Verkehr, Banken, Finanzmarktinfrastrukturen, Gesundheit, Trinkwasser, Abwasser, digitale Infrastruktur, öffentliche Verwaltung und Raumfahrt. Der Richtlinienvorschlag sieht vor, dass die Mitgliedstaaten nationale Strategien zur Gewährleistung der Widerstandsfähigkeit kritischer Einrichtungen festlegen und regelmäßige Risikobewertungen durchführen. Bei diesen Bewertungen könnten auch kleinere Gruppen kritischer Einrichtungen ermittelt werden, für die Verpflichtungen zur Erhöhung ihrer Widerstandsfähigkeit gegenüber nicht cyberbezogenen Bedrohungen gelten würden, darunter auch Risikobewertungen auf Ebene der betreffenden Einrichtung, die Umsetzung technischer und organisatorischer Maßnahmen sowie die Meldung von Sicherheitsvorfällen. Die Kommission wiederum würde den Mitgliedstaaten und kritischen Einrichtungen zusätzliche Unterstützung leisten, etwa durch eine Bestandsaufnahme auf Unionsebene über grenz- und sektorübergreifende Risiken, bewährte Verfahren, Methoden sowie grenzübergreifende Schulungen und Übungen, mit denen die Widerstandsfähigkeit kritischer Einrichtungen geprüft wird.

Sicherheit der nächsten Generation von Netzen: 5G und darüber hinaus

Im Rahmen der neuen Cybersicherheitsstrategie werden die Mitgliedstaaten aufgefordert, mit Unterstützung der Kommission und der Europäischen Agentur für Cybersicherheit (ENISA) die Umsetzung des 5G-Instrumentariums der EU, eines umfassenden und objektiven risikobasierten Ansatzes für die Sicherheit von 5G und künftigen Generationen von Netzen, abzuschließen.

Einem aktuellen Bericht über die Auswirkungen der Empfehlung der Kommission zur Cybersicherheit von 5G-Netzen und die Fortschritte bei der Umsetzung des EU-Instrumentariums für Abhilfemaßnahmen zufolge sind die meisten Mitgliedstaaten seit dem Fortschrittsbericht vom Juli 2020 bereits auf gutem Wege, die empfohlenen Maßnahmen umzusetzen. Sie sollten sich nun zum Ziel setzen, die Umsetzung der Maßnahmen bis zum zweiten Quartal 2021 abzuschließen und sicherzustellen, dass die ermittelten Risiken angemessen und koordiniert eingedämmt wurden, insbesondere um die Exposition gegenüber Hochrisikoanbietern zu minimieren und die Abhängigkeit von diesen Anbietern zu vermeiden. Die Kommission legt heute auch die wichtigsten Ziele und Maßnahmen fest, mit denen die koordinierte Arbeit auf EU-Ebene fortgesetzt werden soll.

Nächste Schritte

Die Europäische Kommission und der Hohe Vertreter sind entschlossen, die neue Cybersicherheitsstrategie in den kommenden Monaten umzusetzen. Sie werden regelmäßig über die erzielten Fortschritte Bericht erstatten, das Europäische Parlament, den Rat der Europäischen Union und die Interessenträger umfassend informieren und sie in alle einschlägigen Maßnahmen einbeziehen.

Es obliegt nun dem Europäischen Parlament und dem Rat, die vorgeschlagene NIS-2-Richtlinie und die Richtlinie über die Widerstandsfähigkeit kritischer Einrichtungen zu prüfen und anzunehmen. Sobald die Vorschläge angenommen und verabschiedet sind, müssen die Mitgliedstaaten sie innerhalb von 18 Monaten nach ihrem Inkrafttreten umsetzen. Die Kommission wird die NIS-2-Richtlinie und die Richtlinie über die Widerstandsfähigkeit kritischer Einrichtungen regelmäßig überprüfen und über ihre Anwendung Bericht erstatten.

Quelle: EU-Kommission

Anzeige