EU-Länder fordern Einrichtung eines Notfallfonds für Cybersicherheit

Die EU-Staaten haben eine Erklärung zur Stärkung der Cybersicherheitskapazitäten der EU entworfen, die unter anderem die Einrichtung eines neuen Fonds und die Aufstockung der EU-Mittel zur Unterstützung der einzelstaatlichen Bemühungen vorsieht.

Die Entscheidung soll am Mittwoch (9. März) bei einem informellen Treffen der EU-Telekommunikationsminister getroffen werden, das von der französischen EU-Ratspräsidentschaft in Nevers (Frankreich) organisiert wird. Der Zeitplan des Gipfels wurde komplett umgestellt, um den Ukraine-Konflikt zu thematisieren.

„Die jüngsten Cyberangriffe auf die Ukraine vor dem Hintergrund zunehmender geopolitischer Spannungen haben gezeigt, wie wichtig die Cyberdimension in den heutigen Konflikten ist“, heißt es in dem Entwurf, der EURACTIV vorliegt.

„Während wir anerkennen, wie wichtig es für die EU ist, die Cyber-Resilienz der Ukraine nachdrücklich zu unterstützen, unterstreicht der mögliche Übertragungseffekt solcher Cyber-Angriffe auf europäische Netzwerke auch die Notwendigkeit für die EU, mit einem ehrgeizigen und umfassenden Plan für ihre Cybersicherheit voranzukommen.“

Die EU-Minister unterzeichneten eine Liste von Maßnahmen zur Bewältigung dieser bevorstehenden Herausforderungen. Dazu gehört die Aufforderung an die Europäische Kommission, einen neuen Notfallfonds für Cybersicherheit einzurichten, um die EU auf große Cyberangriffe vorzubereiten.

Die nationalen Regierungen fordern außerdem zusätzliche EU-Mittel, um die Mitgliedstaaten beim Ausbau ihrer Cybersicherheitskapazitäten zu unterstützen. Dies soll durch die Schaffung eines Marktes für vertrauenswürdige Cybersecurity-Dienstleister für die Durchführung von Cybersecurity-Audits sowie eines Rahmens für die Reaktion auf Zwischenfälle geschehen.

Die Finanzierung sollte die Widerstandsfähigkeit von gefährdeten Anbietern stärken, die im Falle eines Konflikts ein erstes Ziel für Cyberangriffe wären. Gleichzeitig sollte die Finanzierung die Entwicklung eines Cybersicherheits-Ökosystems fördern.

„Die Förderung der Entwicklung solcher EU-Anbieter sollte eine Priorität der EU-Industriepolitik im Bereich der Cybersicherheit sein“, heißt es in der Erklärung weiter.

Das Dokument fordert außerdem die zuständigen europäischen Behörden wie die Europäische Kommission, die nationalen Telekom-Regulierungsbehörden, die Agentur der EU für Cybersicherheit (ENISA) und die Kooperationsgruppe für Netz- und Informationssicherheit (NIS) auf, eine Reihe von Empfehlungen zur Stärkung der Widerstandsfähigkeit der digitalen Infrastruktur Europas auszuarbeiten.

Die Telekom-Infrastruktur war das Thema eines Dokuments, das von der französischen Ratspräsidentschaft im Vorfeld der Diskussion in Umlauf gebracht wurde und das EURACTIV ebenfalls einsehen konnte. Das Dokument verweist auf die Abhängigkeit Europas von Infrastrukturen, die sich hauptsächlich im Besitz amerikanischer und chinesischer Unternehmen befinden – von globalen Internetverbindungen bis hin zu Unterseekabeln.

Im Dokument wird dafür plädiert, die Widerstandsfähigkeit der europäischen Netze durch die Diversifizierung der Backbone-Infrastruktur zu verstärken, unter anderem durch die kürzlich lancierte Initiative für sichere Satellitenkommunikation.

Darüber hinaus wurde in dem Dokument auf die Risiken hingewiesen, die mit der zunehmenden Nutzung des Cloud-Computing in 5G verbunden sind. Die neue Netzgeneration wird nämlich standardmäßig nicht mehr physisch, sondern virtuell mit Software verwaltet, wodurch eine effizientere Ressourcenzuweisung ermöglicht wird.

Gleichzeitig bringt diese Virtualisierung des Netzes mehr Schwachstellen mit sich.

Die Telekom-Betreiber haben sich darüber beschwert, dass sie zwar letztlich für das Funktionieren des Netzes verantwortlich sind, die Software-Anbieter aber nicht rechtlich haftbar gemacht werden können. Infolgedessen haben die Software-Anbieter möglicherweise nicht den gleichen Sinn für die Notwendigkeit, die Widerstandsfähigkeit des Netzes zu gewährleisten.

Frankreich hat versucht, Software-Anbieter in den Anwendungsbereich der überarbeiteten Richtlinie zur Netz- und Informationssicherheit (NIS2) einzubeziehen, aber der Vorschlag wurde von anderen Mitgliedstaaten zurückgewiesen. In der gemeinsamen Erklärung wird auch eine rasche Verabschiedung der NIS2 gefordert, die die Verhandlungsführer für den nächsten Monat anstreben.

„Wir brauchen einen ganzheitlichen Ansatz“, sagte der slowenische Digitalminister Mark Boris Andrijanič gegenüber EURACTIV. „Kein einziger Teil sollte ausgelassen werden, weil es eine enorme Interdependenz zwischen all unseren Systemen gibt, sei es bei Hardware oder Software.“

Darüber hinaus wies die Erklärung auf den „Cyber Resilience Act“ hin, eine bevorstehende EU-Verordnung, die gemeinsame Cybersicherheits-Standards für vernetzte Geräte und Dienste festlegen soll und derzeit für das dritte Quartal 2023 erwartet wird.

Die Telekom-Betreiber hoffen, dass die Software-Anbieter diese neuen Anforderungen erfüllen werden müssen. Es ist jedoch noch nicht klar, ob der Cyber Resilience Act nur kommerzielle Internet-of-Things-Geräte oder auch B2B-Geräte abdecken wird.

Außerdem wird erwartet, dass die Mitgliedstaaten auf die Einrichtung des neuen Kompetenzzentrums für Cybersicherheit drängen, das bald in Rumänien eröffnet werden soll. Die Verstärkung der gegenseitigen Unterstützung im Bereich der Cybersicherheit über die bestehenden Kooperationsmechanismen soll ebenfalls thematisiert werden.

„Schließlich bekräftigen [die Mitgliedstaaten] unser festes Engagement, die ukrainische digitale Infrastruktur und die Telekommunikationsnetze funktionsfähig zu halten und gleichzeitig die Cyber-Resilienz der Ukraine mit kurz- und langfristiger Hilfe zu stärken“, heißt es in der Erklärung abschließend.

Die EU-Regierungen werden am Ende des Gipfels ein neues High-Tech-Unterstützungspaket für die ukrainische Regierung ankündigen.

[Bearbeitet von Nathalie Weatherald]