Sie befinden sich hier:

Neue EU-Strategie für die Cybersicherheit

Kritische Infrastrukturen (wie Krankenhäuser und Energienetze) sollen in der EU künftig besser vor Cyberangriffen und Naturkatastrophen geschützt werden.

Unterhändler der EU-Staaten und des Europaparlaments verständigten sich nach Aussage der französische EU-Ratspräsidentschaft am 26.06.2022 darauf, die geltenden Sicherheitsregeln für Netz- und Informationssysteme zu verschärfen, da sie immer häufiger Ziel von Cyberattacken seien.

Das Kerngeschäft von kritischen Sektoren wie Verkehr, Energie, Gesundheit und Finanzen ist zunehmend von digitalen Technologien abhängig. Zwar bringt die Digitalisierung enorme Chancen mit sich und bietet Lösungen für viele der Herausforderungen, vor denen Europa steht, gleichzeitig setzt sie die Wirtschaft und Gesellschaft aber auch Cyberbedrohungen aus. So nimmt die Zahl und Komplexität von Cyberangriffen und Cyberkriminalität in ganz Europa zu. Diese Tendenz dürfte in Zukunft noch steigen, da bis 2024 voraussichtlich 22,3 Milliarden Geräte weltweit mit dem Internet der Dinge verbunden sein werden.

Durch die Stärkung der Reaktionsfähigkeit im Bereich Cybersicherheit im Hinblick auf einen offenen und geschützten Cyberraum soll das Vertrauen der Bürger in digitale Instrumente und Dienste gestärkt werden.

Im Oktober 2020 riefen die Staats- und Regierungschefs der EU daher dazu auf, die Fähigkeit der EU zu verbessern,

  • sich vor Cyberbedrohungen zu schützen,
  • für ein sicheres Kommunikationsumfeld zu sorgen, insbesondere durch Quantenverschlüsselung,
  • den Zugang zu Daten für Gerichts- und Strafverfolgungszwecke sicherzustellen.

Im Dezember 2020 legten die Europäische Kommission und der Europäische Auswärtige Dienst (EAD) eine neue EU-Strategie für die Cybersicherheit vor. Mit dieser Strategie soll die Widerstandsfähigkeit Europas gegenüber Cyberangriffen gestärkt und gewährleistet werden, dass alle Bürger und Unternehmen in vollem Umfang von vertrauenswürdigen und zuverlässigen Diensten und digitalen Instrumenten profitieren können. Die neue Strategie enthält konkrete Vorschläge für den Einsatz von Regulierungs-, Investitions- und Politikinstrumenten.

Der Rat hat am 22. März 2021 Schlussfolgerungen zur Cybersicherheitsstrategie angenommen, in denen er hervorhebt, dass die Cybersicherheit für den Aufbau eines widerstandsfähigen, grünen und digitalen Europas von wesentlicher Bedeutung ist. Die EU- inister haben als zentrales Ziel festgelegt, strategische Autonomie zu erreichen und zugleich eine offene Wirtschaft zu bewahren. Dazu gehört auch die Stärkung der Fähigkeit zu autonomen Entscheidungen im Bereich der Cybersicherheit, um die digitale Führungsrolle der EU und ihre strategischen Kapazitäten zu stärken.

Darüber hinaus arbeitet die EU an zwei Legislativvorschlägen, mit denen gegenwärtige und künftige Online- und Offline-Risiken angegangen werden sollen:

  • eine aktualisierte Richtlinie zum besseren Schutz von Netz- und Informationssystemen (NIS-Richtlinie);
  • eine neue Richtlinie über die Resilienz kritischer Einrichtungen.

Die Richtlinie zur Netz- und Informationssicherheit (NIS-Richtlinie) wurde 2016 eingeführt. Sie war die erste EU-weite gesetzgeberische Maßnahme mit dem Zweck, die Zusammenarbeit zwischen den Mitgliedstaaten beim entscheidenden Thema der Cybersicherheit zu verstärken. Sie enthält Sicherheitspflichten für Betreiber wesentlicher Dienste (in kritischen Sektoren wie Energie, Verkehr, Gesundheit und Finanzen) und Anbieter digitaler Dienste (Online‑Marktplätze, Online‑Suchmaschinen und Cloud‑Computing‑Dienste).

Im Dezember 2020 hat die Europäische Kommission eine überarbeitete NIS-Richtlinie (NIS2) vorgeschlagen, die die Richtlinie von 2016 ersetzen soll. Der neue Vorschlag trägt der sich verändernden Bedrohungslage und dem digitalen Wandel Rechnung, der durch die COVID‑19-Krise beschleunigt wurde.

Der Rat und das Europäisches Parlament haben im Mai 2022 eine vorläufige Einigung über die neuen Maßnahmen erzielt. Mit den neuen Vorschriften wird

  • die Stärkung von Risiko- und Sicherheitsvorfallmanagement und Zusammenarbeit sichergestellt und
  • der Anwendungsbereich der Vorschriften ausgeweitet.

Den neuen Regeln zufolge müssen die EU-Staaten in Zukunft nationale Strategien und regelmäßige Risikoanalysen erarbeiten, um kritische Infrastrukturen zu bestimmen. Auch die Infrastruktureinrichtungen selbst müssen entsprechende Risikoanalysen erstellen und gegebenenfalls Maßnahmen ergreifen, um ihre Widerstandsfähigkeit zu erhöhen. Außerdem ist vorgesehen, ein Sanktionssystem einzuführen. Es soll Bußgelder ermöglichen, sobald sich Betreiber nicht an Sicherheitsauflagen halten.

Das Europaparlament und die EU-Staaten müssen die Einigung noch formell bestätigen. Sobald die neuen Regeln in Kraft sind, haben die Länder 21 Monate Zeit, sie zu ratifizieren.

Fundstelle:

Veröffentlichung „Cybersicherheit: Wie die EU Cyberbedrohungen begegnet“ – abrufbar im Internet unter https://www.consilium.europa.eu/de/policies/cybersecurity/ 

nach oben