EU-Strategie für Cybersicherheit soll kritische Infrastrukturen stärken

18. Dezember 2020 -

Die EU-Kommission will mit ihrer am 16.12.2020 vorgelegten Cybersicherheitsstrategie Europas kollektive Abwehr gegen Cyberbedrohungen etwa in den Bereichen Binnenmarkt, Strafverfolgung, Diplomatie und Verteidigung stärken.

Aus EU-Aktuell vom 16.12.2020 ergibt sich:

Dazu schlägt die EU-Kommission eine Überarbeitung der Richtlinie über Cybersicherheit (NIS-Richtlinie „NIS 2“) und eine neue Richtlinie über die Widerstandsfähigkeit kritischer Einrichtungen vor.

Die neue Cybersicherheitsstrategie ist ein zentrales Element der Gestaltung der digitalen Zukunft Europas, des Aufbauplans für Europa und der EU-Strategie für eine Sicherheitsunion. Sie bietet der EU auch die Möglichkeit, ihre Führungsrolle bei internationalen Normen und Standards im Cyberraum zu festigen und die Zusammenarbeit mit Partnern in der ganzen Welt zu stärken, um sich für einen globalen, offenen, stabilen und sicheren Cyberraum einzusetzen, der auf Rechtsstaatlichkeit, Menschenrechten, Grundfreiheiten und demokratischen Werten beruht.

Vertrauen und Sicherheit im Mittelpunkt der Digitalen Dekade der EU

Die neue Cybersicherheitsstrategie soll ein globales und offenes Internet gewährleisten und zugleich Schutzvorkehrungen bieten, nicht nur im Hinblick auf die Sicherheit, sondern auch um die europäischen Werte und die Grundrechte aller zu schützen. Aufbauend auf dem, was in den vergangenen Monaten und Jahren erreicht wurde, enthält die Strategie konkrete Vorschläge für Regulierungs-, Investitions- und Politikinstrumente auf drei EU-Aktionsfeldern:

  1. Widerstandsfähigkeit, technologische Unabhängigkeit und Führungsrolle

Auf diesem Feld schlägt die EU-Kommission vor, die Vorschriften über die Sicherheit von Netz- und Informationssystemen durch eine Richtlinie über Maßnahmen für ein hohes gemeinsames Maß an Cybersicherheit in der gesamten Union (überarbeitete NIS-Richtlinie oder „NIS 2“) neu zu gestalten, um die Abwehrfähigkeit kritischer öffentlicher und privater Sektoren zu verbessern: Krankenhäuser, Energienetze, Eisenbahnen, aber auch Rechenzentren, öffentliche Verwaltungen, Forschungslabore und die Herstellung kritischer medizinischer Geräte und Arzneimittel sowie sonstige kritische Infrastrukturen und Dienste müssen ihre Undurchlässigkeit in einem sich rasch verändernden und komplexen Bedrohungsumfeld bewahren.

Darüber hinaus schlägt die EU-Kommission vor, ein Netz von Sicherheitseinsatzzentren in der gesamten EU mithilfe künstlicher Intelligenz (KI) aufzubauen, das für die EU ein echtes „Cybersicherheitsschutzschild“ mit der Fähigkeit sein wird, frühzeitige Signale für drohende Cyberangriffe zu erkennen und Maßnahmen zu ermöglichen, bevor Schäden verursacht werden. Weitere Maßnahmen umfassen die gezielte Unterstützung kleiner und mittlerer Unternehmen (KMU) im Rahmen der digitalen Innovationszentren sowie verstärkte Bemühungen, um Fachkräfte auszubilden und zu schulen, die besten Talente auf dem Gebiet der Cybersicherheit anzuziehen und zu binden sowie in eine offene wettbewerbsfähige Forschung und Innovation von Weltrang zu investieren.

  1. Aufbau operativer Kapazitäten zur Prävention, Abschreckung und Reaktion

Die EU-Kommission bereitet derzeit mit den Mitgliedstaaten in einem offenen und integrativen Verfahren eine neue gemeinsame Cyberstelle vor, um die Zusammenarbeit zwischen den EU-Einrichtungen und den Behörden der Mitgliedstaaten, die für die Prävention, Abschreckung und Reaktion im Hinblick auf Cyberangriffe zuständig sind (einschließlich ziviler und diplomatischer Gemeinschaften sowie der Strafverfolgungs- und Verteidigungskreise im Bereich der Cybersicherheit), zu stärken. Der Hohe Vertreter unterbreitet Vorschläge zur Stärkung des EU-Instrumentariums für die Cyberdiplomatie, um böswilligen Cyberaktivitäten, insbesondere solchen, die unsere kritische Infrastruktur, unsere Versorgungsketten und unsere demokratischen Institutionen und Prozesse betreffen, vorzubeugen, sie zu verhindern, von ihnen abzuschrecken und wirksam auf sie zu reagieren. Die EU wird sich auch dafür einsetzen, die Zusammenarbeit im Bereich der Cyberabwehr weiter zu verbessern und modernste Fähigkeiten auf diesem Gebiet zu entwickeln. Sie wird sich dabei auf die Arbeiten der Europäischen Verteidigungsagentur stützen und die Mitgliedstaaten auffordern, die Ständige Strukturierte Zusammenarbeit und den Europäischen Verteidigungsfonds in vollem Umfang zu nutzen.

  1. Förderung eines globalen offenen Cyberraums durch verstärkte Zusammenarbeit

Die EU wird ihre Zusammenarbeit mit internationalen Partnern intensivieren, um die regelbasierte Weltordnung zu stärken, die internationale Sicherheit und Stabilität im Cyberraum zu fördern sowie die Menschenrechte und Grundfreiheiten im Internet zu schützen. Sie wird internationale Normen und Standards voranbringen, die diese Grundwerte der EU widerspiegeln, indem sie mit ihren internationalen Partnern in den Vereinten Nationen und anderen einschlägigen Foren zusammenarbeitet. Die EU wird ihr Instrumentarium für die Cyberdiplomatie weiter stärken. Außerdem wird sie durch eine EU-Agenda für den Aufbau externer Cyberkapazitäten die Bemühungen um den Aufbau solcher Kapazitäten in Drittländern verstärken. Die Cyber-Dialoge mit Drittländern, regionalen und internationalen Organisationen und der Multi-Stakeholder-Gemeinschaft werden intensiviert. Die EU wird ferner ein weltumspannendes EU-Netz für Cyberdiplomatie errichten, um für ihre Vision des Cyberraums zu werben.

Die EU ist entschlossen, die neue Cybersicherheitsstrategie im Rahmen ihres nächsten langfristigen Haushalts in den kommenden sieben Jahren durch beispiellose Investitionen in den digitalen Wandel zu unterstützen, insbesondere durch das Programm „Digitales Europa“, Horizont Europa und den Europäischen Aufbauplan. Die Mitgliedstaaten werden daher aufgefordert, die Aufbau- und Resilienzfazilität der EU in vollem Umfang zu nutzen, um die Cybersicherheit zu erhöhen und die auf EU-Ebene getätigten Investitionen zu ergänzen. Angestrebt wird ein Investitionsvolumen von bis zu 4,5 Mrd. Euro vonseiten der EU, der Mitgliedstaaten und der Industrie, insbesondere im Rahmen des Kompetenzzentrums für Cybersicherheit und des Netzes nationaler Koordinierungszentren, wobei ein großer Teil kleinen und mittleren Unternehmen zugutekommen soll.

Die EU-Kommission will auch die industriellen und technologischen Kapazitäten der EU im Bereich der Cybersicherheit stärken, u.a. durch Projekte, die gemeinsam aus den Haushalten der EU und der Mitgliedstaaten gefördert werden. Die EU hat die einmalige Chance, ihre Ressourcen zu bündeln, um ihre strategische Autonomie zu stärken und ihre Führungsrolle bei der Cybersicherheit der gesamten digitalen Lieferkette (einschließlich Daten und Cloud, Prozessortechnologien der nächsten Generation, ultrasichere Konnektivität und 6G-Netze) im Einklang mit ihren Werten und Prioritäten zu festigen.

Digitale und physische Widerstandsfähigkeit von Netzen, Informationssystemen und kritischen Einrichtungen

Bestehende Maßnahmen auf EU-Ebene zum Schutz wichtiger Dienste und Infrastrukturen vor physischen Risiken und Cybergefahren müssen aktualisiert werden. Mit zunehmender Digitalisierung und Vernetzung verändern sich die Cybersicherheitsrisiken ständig. Auch die physischen Risiken sind seit der Annahme der EU-Vorschriften für kritische Infrastrukturen aus dem Jahr 2008, die derzeit nur den Energie- und Verkehrssektor erfassen, komplexer geworden. Durch die Überarbeitung sollen die Vorschriften nach dem Muster der EU-Strategie für eine Sicherheitsunion aktualisiert werden, um die falsche Zweiteilung zwischen online und offline und isolierte Betrachtungsweisen zu überwinden.

Um auf die wachsenden Bedrohungen durch Digitalisierung und Vernetzung zu reagieren, wird die vorgesehene Richtlinie über Maßnahmen für ein hohes gemeinsames Maß an Cybersicherheit in der gesamten Union (überarbeitete NIS-Richtlinie oder „NIS 2“) mittlere und große Einrichtungen aus einer größeren Anzahl von Sektoren erfassen, wobei deren strategische Bedeutung für Wirtschaft und Gesellschaft zum Maßstab genommen wird. Die NIS-2 stellt höhere Sicherheitsanforderungen an die Unternehmen, widmet sich der Sicherheit der Lieferketten und den Beziehungen zwischen den Anbietern, vereinfacht die Berichterstattungspflichten, sieht strengere Aufsichtsmaßnahmen durch die nationalen Behörden sowie strengere Durchsetzungsanforderungen vor und zielt auf einheitlichere Sanktionsregelungen in den Mitgliedstaaten ab. Der NIS-2-Vorschlag wird zu einem größeren Informationsaustausch und besserer Zusammenarbeit bei der Bewältigung von Cyberkrisen auf nationaler und EU-Ebene beitragen.

Mit der vorgeschlagenen Richtlinie über die Widerstandsfähigkeit kritischer Einrichtungen wird die Richtlinie über europäische kritische Infrastrukturen von 2008 erweitert und vertieft. Erfasst werden nunmehr zehn Sektoren: Energie, Verkehr, Banken, Finanzmarktinfrastrukturen, Gesundheit, Trinkwasser, Abwasser, digitale Infrastruktur, öffentliche Verwaltung und Raumfahrt. Der Richtlinienvorschlag sieht vor, dass die Mitgliedstaaten nationale Strategien zur Gewährleistung der Widerstandsfähigkeit kritischer Einrichtungen festlegen und regelmäßige Risikobewertungen durchführen. Bei diesen Bewertungen könnten auch kleinere Gruppen kritischer Einrichtungen ermittelt werden, für die Verpflichtungen zur Erhöhung ihrer Widerstandsfähigkeit gegenüber nicht cyberbezogenen Bedrohungen gelten würden, darunter auch Risikobewertungen auf Ebene der betreffenden Einrichtung, die Umsetzung technischer und organisatorischer Maßnahmen sowie die Meldung von Sicherheitsvorfällen. Die EU-Kommission wiederum würde den Mitgliedstaaten und kritischen Einrichtungen zusätzliche Unterstützung leisten, etwa durch eine Bestandsaufnahme auf Unionsebene über grenz- und sektorübergreifende Risiken, bewährte Verfahren, Methoden sowie grenzübergreifende Schulungen und Übungen, mit denen die Widerstandsfähigkeit kritischer Einrichtungen geprüft wird.

Sicherheit der nächsten Generation von Netzen: 5G und darüber hinaus

Im Rahmen der neuen Cybersicherheitsstrategie werden die Mitgliedstaaten aufgefordert, mit Unterstützung der EU-Kommission und der Europäischen Agentur für Cybersicherheit (ENISA) die Umsetzung des 5G-Instrumentariums der EU, eines umfassenden und objektiven risikobasierten Ansatzes für die Sicherheit von 5G und künftigen Generationen von Netzen, abzuschließen.

Einem am 16.12.2020 veröffentlichten Bericht über die Auswirkungen der Empfehlung der EU-Kommission zur Cybersicherheit von 5G-Netzen und die Fortschritte bei der Umsetzung des EU-Instrumentariums für Abhilfemaßnahmen zufolge sind die meisten Mitgliedstaaten seit dem Fortschrittsbericht vom Juli 2020 bereits auf gutem Wege, die empfohlenen Maßnahmen umzusetzen. Sie sollten sich nun zum Ziel setzen, die Umsetzung der Maßnahmen bis zum zweiten Quartal 2021 abzuschließen und sicherzustellen, dass die ermittelten Risiken angemessen und koordiniert eingedämmt wurden, insbesondere um die Exposition gegenüber Hochrisikoanbietern zu minimieren und die Abhängigkeit von diesen Anbietern zu vermeiden. Die EU-Kommission legt am 16.12.2020 auch die wichtigsten Ziele und Maßnahmen fest, mit denen die koordinierte Arbeit auf EU-Ebene fortgesetzt werden soll.

Nächste Schritte

Die EU-Kommission und der Hohe Vertreter sind entschlossen, die neue Cybersicherheitsstrategie in den kommenden Monaten umzusetzen. Sie werden regelmäßig über die erzielten Fortschritte Bericht erstatten, das Europäische Parlament, den Rat der EU und die Interessenträger umfassend informieren und sie in alle einschlägigen Maßnahmen einbeziehen.

Es obliegt nun dem Europäischen Parlament und dem Rat, die vorgeschlagene NIS-2-Richtlinie und die Richtlinie über die Widerstandsfähigkeit kritischer Einrichtungen zu prüfen und anzunehmen. Sobald die Vorschläge angenommen und verabschiedet sind, müssen die Mitgliedstaaten sie innerhalb von 18 Monaten nach ihrem Inkrafttreten umsetzen.

Die EU-Kommission wird die NIS-2-Richtlinie und die Richtlinie über die Widerstandsfähigkeit kritischer Einrichtungen regelmäßig überprüfen und über ihre Anwendung Bericht erstatten.

Hintergrund

Cybersicherheit ist eine der obersten Prioritäten der EU-Kommission und ein Eckpfeiler des digitalen und vernetzten Europas. Die Zunahme der Cyberangriffe während der Coronavirus-Krise haben gezeigt, wie wichtig es ist, Krankenhäuser, Forschungszentren und andere Infrastrukturen zu schützen. Um die Wirtschaft und Gesellschaft in der EU zukunftsfähig zu machen, sind in diesem Bereich entschlossene Maßnahmen nötig.

In der neuen Cybersicherheitsstrategie wird vorgeschlagen, die Cybersicherheit in alle Elemente der Lieferkette einzubeziehen und die Tätigkeiten und Ressourcen der EU in den vier Bereichen der Cybersicherheit – Binnenmarkt, Strafverfolgung, Diplomatie und Verteidigung – weiter zu bündeln. Die Strategie baut auf der Mitteilung zur Gestaltung der digitalen Zukunft Europas und der EU-Strategie für eine Sicherheitsunion auf und stützt sich auf eine Reihe von Rechtsakten, Maßnahmen und Initiativen, die die EU umgesetzt hat, um die Cybersicherheitskapazitäten auszubauen und die Cyberabwehrfähigkeit Europas zu stärken. Dazu gehören die Cybersicherheitsstrategie von 2013, die 2017 überarbeitet wurde, und die Europäische Sicherheitsagenda der EU-Kommission für den Zeitraum 2015-2020. Außerdem wird mit der Strategie die zunehmende Verflechtung zwischen innerer und äußerer Sicherheit anerkannt, insbesondere im Zusammenhang mit der Gemeinsamen Außen- und Sicherheitspolitik.

Das erste EU-weite Cybersicherheitsgesetz, die 2016 in Kraft getretene NIS-Richtlinie, trug dazu bei, bei den Netz- und Informationssystemen in der gesamten EU ein hohes gemeinsames Sicherheitsniveau zu erreichen. Im Rahmen ihres zentralen politischen Ziels, Europa für das digitale Zeitalter fit zu machen, kündigte die EU-Kommission im Februar 2020 die Überarbeitung der NIS-Richtlinie an. Durch den 2019 in Kraft getretenen EU-Rechtsakt zur Cybersicherheit wurde Europa mit einem Rahmen für die Cybersicherheitszertifizierung von Produkten, Diensten und Prozessen ausgestattet, zudem wurde dadurch das Mandat der EU-Agentur für Cybersicherheit (ENISA) gestärkt.

Was die Cybersicherheit von 5G-Netzen anbelangt, so haben die Mitgliedstaaten mit Unterstützung der EU-Kommission und der ENISA mit dem im Januar 2020 angenommenen 5G-Instrumentarium der EU einen umfassenden und objektiven risikobasierten Ansatz eingeführt. Bei der Überprüfung ihrer Empfehlung vom März 2019 zur Cybersicherheit von 5G-Netzen kam die EU-Kommission zu dem Schluss, dass die meisten Mitgliedstaaten Fortschritte bei der Umsetzung des Instrumentariums erzielt haben.

Ausgehend von der Cybersicherheitsstrategie der EU von 2013 hat die EU eine kohärente und umfassende internationale Cyberpolitik entwickelt. In Zusammenarbeit mit ihren Partnern auf bilateraler, regionaler und internationaler Ebene hat sich die EU für einen globalen, offenen, stabilen und sicheren Cyberraum eingesetzt, der an den Grundwerten der EU ausgerichtet ist und auf Rechtsstaatlichkeit beruht. Die EU hat Drittländer dabei unterstützt, ihre Fähigkeit zur Abwehr gegen Cyberangriffe und ihre Fähigkeit zur Bekämpfung der Cyberkriminalität zu verbessern. Ferner hat sie mithilfe der EU Cyber Diplomacy Toolbox aus dem Jahr 2017 weiter zur internationalen Sicherheit und Stabilität im Cyberraum beigetragen, u.a. indem sie 2019 erstmals ihre Cybersanktionen angewandt und und acht Personen und vier Organisationen und Einrichtungen in eine entsprechende Liste aufgenommen hat. Die EU hat auch bei der Zusammenarbeit im Bereich Cyberabwehr erhebliche Fortschritte erzielt, insbesondere was die Kompetenzen im Bereich der Cyberabwehr anbelangt, insbesondere durch den Politikrahmen für die Cyberabwehr sowie im Rahmen der ständigen strukturierten Zusammenarbeit (PESCO) und der Arbeit der Europäischen Verteidigungsagentur.

Die Cybersicherheit ist eine Priorität, die auch im nächsten langfristigen EU-Haushalt (2021-2027) zum Ausdruck kommt. Im Rahmen des Programms Digitales Europa wird die EU Forschung, Innovation und Infrastruktur im Bereich Cybersicherheit, sowie die Cyberabwehr und die Cybersicherheitsbranche der EU unterstützen. Darüber hinaus werden im Rahmen der Reaktion auf die Coronavirus-Krise, bei der es während des Lockdowns verstärkt zu Cyberangriffen kam, mit dem Europäischen Aufbauplan zusätzliche Investitionen in die Cybersicherheit sichergestellt.

Die EU erkennt seit Langem die Notwendigkeit an, die Widerstandsfähigkeit kritischer Infrastrukturen zu gewährleisten, mit denen Dienstleistungen erbracht werden, die für das reibungslose Funktionieren des Binnenmarkts sowie für das Leben und die Existenzgrundlagen der europäischen Bürger von wesentlicher Bedeutung sind. Aus diesem Grund hat die EU im Jahr 2006 das Europäische Programm für den Schutz kritischer Infrastrukturen (EPCIP) aufgelegt und 2008 die Richtlinie über europäische kritische Infrastrukturen (EKI) verabschiedet, die für den Energie- und den Verkehrssektor gilt. Diese Maßnahmen wurden in späteren Jahren durch verschiedene sektorale und sektorübergreifende Maßnahmen zu spezifischen Aspekten wie Sicherung der Klimaverträglichkeit, Katastrophenschutz oder ausländische Direktinvestitionen ergänzt.