Cyber-Abwehrstrategie: EU-Staaten legen Positionspapier vor
Die EU-Verteidigungsminister haben am Dienstag (23. Mai) Schlussfolgerungen zur Cyberverteidigung angenommen, in denen sie auf die Notwendigkeit hinweisen, Überschneidungen in der institutionellen Architektur zu vermeiden, und ihre Prioritäten für die Entwicklung von Fähigkeiten und die freiwillige Koordinierung im Verteidigungssektor darlegen.
Die EU-Staaten legten sich am Dienstag (23. Mai) auf ihre Prioritäten für die Entwicklung von Fähigkeiten zur Abwehr von Cyberangriffen dar.
Das 18 Seiten lange Dokument, das von den Verteidigungsministern der 27 Mitgliedsstaaten unterzeichnet wurde, ist eine Reaktion auf die gemeinsame Mitteilung der Europäischen Kommission und der Hohen Vertreter über die EU-S zur Cyberabwehr vom vergangenen November.
Das Dokument befürwortet, „weiter in unsere modernen und interoperablen Streitkräfte, Spitzentechnologien und modernste Cyberverteidigungsfähigkeiten zu investieren und Partnerschaften zur Bewältigung gemeinsamer Herausforderungen zu stärken“.
Als Hauptbedrohung für die Sicherheit der EU-Netzwerke nannten die Mitgliedsstaaten vor allem Russland. Sie bezogen sich allerdings auch auf China.
Was die Notwendigkeit der „Abschreckung vor Cyberangriffen“ und die offensiven Cybermaßnahmen betrifft, die die EU-Mitgliedstaaten zu Verteidigungszwecken ergreifen könnten, blieben die EU-Länder vage.
EU-interne Koordinierung
Das Dokument des Rates für Auswärtige Angelegenheiten betont, dass die Zusammenarbeit mit anderen EU-Institutionen, -Gremien und -Agenturen, wie ENISA und CERT-EU, „jede unnötige Doppelarbeit“ vermeiden sollte.
ENISA, die EU-Agentur für Cybersicherheit, hat vor kurzem einen Rahmen für Cybersicherheitsfähigkeiten eingeführt, der als praktisches Instrument zur Ermittlung von Aufgaben, Kompetenzen, Fähigkeiten und Kenntnissen im Zusammenhang mit den Aufgaben von Cybersicherheitsexperten in der EU fungieren soll.
CERT-EU ist das ‚Computer Security Incident Response‘ Team der EU, das die IKT-Sicherheit der Institutionen und Organisationen der Union überwacht. Derzeit plant die EU, die Kapazität und die Finanzierung des CERT-EU zu erweitern und es mit einer koordinierenden Rolle bei der Offenlegung von Schwachstellen und mit dem Vorschlag von Benchmarks für die Cybersicherheitsrahmen der Institutionen zu beauftragen.
Entwicklung von Fertigkeiten
Zum Thema Bildung, Ausbildung und Übungen im Bereich der Cybersicherheit hob der Rat verschiedene Projekte hervor, ließ aber die Cyber-Skills Academy der Kommission außen vor. Diese wird nur am Ende des Dokuments und im Zusammenhang mit dem Mangel an Fachkräften mit Cyber-Kompetenzen erwähnt.
Die Cybersecurity Skills Academy wurde von der Kommission Mitte April ins Leben gerufen, um den anhaltenden Fachkräftemangel im Bereich der Cybersicherheit zu beheben und die Widerstandsfähigkeit der EU im Bereich der Cybersicherheit zu verbessern.
Stattdessen hob der Rat die Projekte der Ständigen Strukturierten Zusammenarbeit (Pesco) hervor, die vor fünf Jahren ins Leben gerufen wurden, um die Fähigkeiten der EU zu bewerten. Die Pesco-Projekte, welche diese Woche von den EU-Verteidigungsministern überprüft wurden, sind mit den Bedenken verbunden, dass einige der insgesamt 68 Projekte nur langsam vorankommen und wegen Kapazitätsengpässen eingestellt werden könnten.
Koordinierter Ansatz für die Verteidigung
Der Rat forderte die nationalen Regierungen zudem auf, „nicht rechtsverbindliche freiwillige Empfehlungen nach dem Vorbild der NIS2-Richtlinie zu entwickeln, um die Cybersicherheit in der Verteidigungsgemeinschaft zu erhöhen.“
Die überarbeitete Netz- und Informationsrichtlinie (NIS2) führt spezifische Verpflichtungen für Einrichtungen ein, die als wesentlich oder wichtig für das Funktionieren der Gesellschaft gelten.
Die NIS2-Richtlinie ist auch ein Bezugspunkt für das neue Cybersicherheitsgesetz der EU, dem Cyber Resilience Act. Vor einem Monat schlug die schwedische EU-Ratspräsidentschaft eine Überarbeitung des Cyber Resilience Act vor, um den nationalen Regierungen die Möglichkeit zu geben, zusätzliche Sicherheitsanforderungen für IKT-Produkte aufzuerlegen, die von Einrichtungen verwendet werden, die gemäß NIS2-Richtlinie als wesentlich oder wichtig eingestuft werden.
Unterstützung für die Industrie
Der Rat hob auch die Notwendigkeit hervor, „eine europäische Cybersicherheitsindustrie aufzubauen, wobei die Unterstützung durch das ECCC ein wesentlicher Pfeiler für die Funktionsfähigkeit dieses Mechanismus ist“.
Während das Europäische Kompetenzzentrum für Cybersicherheit (ECCC) vor einem Jahr eingerichtet wurde, ist das Büro in Bukarest erst vor zwei Wochen eröffnet worden und bleibt personell weiterhin stark unterbesetzt.
Auch ist der langjährige Streitpunkt zwischen der Europäischen Kommission und Rumänien, die Ernennung des Exekutivdirektors des Zentrums, noch nicht abgeschlossen.
[Bearbeitet von Zoran Radosavljevic]
