EU-Parlament beschließt Cybersicherheitsanforderungen für EU-Einrichtungen
Der Industrieausschuss des Europäischen Parlaments hat am Donnerstag (9. März) für den Berichtsentwurf der Abgeordneten Henna Virkkunen gestimmt, der die Einführung gemeinsamer Cybersicherheitsstandards in allen EU-Institutionen vorschlägt und damit den Weg für die Aufnahme von Trilog-Verhandlungen ebnet.
Die EU ist der Einführung von gemeinsamer Cybersicherheitsstandards für alle EU-Institutionen einen Schritt näher gerückt. Die Bedrohungslage ist aufgrund des Anstiegs an Cyberangriffen zuletzt stark gestiegen.
Der Industrieausschuss des Europäischen Parlaments hat am Donnerstag (9. März) dem Berichtsentwurf der Abgeordneten Henna Virkkunen zugestimmt. Damit wird der Weg für Verhandlungen zwischen dem Parlament, den EU-Staaten und der Kommission geebnet.
Der Gesetzesentwurf zielt darauf ab, ein „hohes gemeinsames Niveau der Cybersicherheit in den Organen, Einrichtungen, Ämtern und Agenturen der Union“ zu schaffen.
Die Gesetzesinitiative ist eine Reaktion auf die zunehmenden Bedenken hinsichtlich der Cybersicherheit, die vor allem durch die zunehmende Digitalisierung der öffentlichen Einrichtungen und Verwaltungsverfahren sowie die mangelnde Vorbereitung der EU-Einrichtungen auf mögliche Angriffe ausgelöst wurden.
„Ein hohes Maß an Cybersicherheitsvorbereitung muss in den EU-Einrichtungen die Norm sein“, sagte Virkkunen. „Wir müssen sicherstellen, dass wir über ausreichende technische Fähigkeiten, Kenntnisse und Ressourcen verfügen, um den immer ausgefeilteren Bedrohungen der Cybersicherheit wirksam begegnen zu können.“
Das Gesetz wurde im März 2022 von der EU-Kommission vorgeschlagen. Im selben Monat veröffentlichte der Europäische Rechnungshof eine Studie, die die Cybersicherheitskapazitäten der EU-Institutionen als unzureichend kritisierte.
Nach Angaben des Rechnungshofs sind die EU-Einrichtungen zunehmend attraktive Ziele für Cyberangriffe, wobei die Zahl der schweren Vorfälle zwischen 2018 und 2021 um mehr als das Zehnfache gestiegen ist. Dieser Trend ist zum Teil auf die COVID-19-Pandemie zurückzuführen, bei der immer mehr Menschen von zu Hause aus arbeiten.
In dem Bericht wurde eine Überarbeitung der Cybersicherheitsinfrastruktur der EU gefordert: „Die EU muss mehr tun, um ihre eigenen Behörden zu schützen.“
Der Kommissionsvorschlag sieht die Einführung gemeinsamer Cybersicherheitsstandards vor, wie zum Beispiel einen Governance-Rahmen, Risikobewertungen und Pläne zur Verbesserung der Cybersicherheit.
Die Verordnung würde auch die Kapazität und die Finanzierung des EU-Reaktionsteams für Computer-Sicherheitsvorfälle (CERT-EU) erweitern, das die IKT-Sicherheit der Institutionen und Organisationen der Union überwacht.
Der Berichtsentwurf des Parlaments sieht zusätzliche Zuständigkeiten für das CERT-EU vor, wie beispielsweise eine koordinierende Rolle bei der Offenlegung von Schwachstellen und die Beauftragung mit dem Vorschlagen von Kriterien und Maßstäben für die von den EU-Einrichtungen angenommenen Cybersicherheitsrahmen.
Die Änderungen sehen außerdem vor, dass das CERT-EU als „autonomer interinstitutioneller Dienstleister für alle EU-Einrichtungen“ eingerichtet wird, der in eine Kommissionsdienststelle integriert ist und dessen Funktionsweise regelmäßig bewertet wird.
Dies würde Änderungen an der Struktur des CERT-EU ermöglichen, einschließlich seiner möglichen Wiedereinführung als Amt der Union. Damit würde man auf das reagieren, was im Berichtsentwurf als „die wachsende Bedeutung der Cybersicherheit und das ständig steigende Bedrohungsniveau“ bezeichnet wird.
Der Bericht regelt auch den Zeitrahmen für die Meldung bedeutender Cybervorfälle neu und gleicht die Anforderungen an die Meldefristen mit denen der NIS2-Richtlinie ab.
Nach den Änderungen des Berichts müssen die Einrichtungen innerhalb von 24 Stunden nach Bekanntwerden eines Vorfalls eine Frühwarnung und innerhalb von 72 Stunden eine formelle Meldung über den Vorfall mit einer ersten Einschätzung der Schwere und der Auswirkungen übermitteln.
„Ein gemeinsamer Rahmen für Cybersicherheitsmaßnahmen für EU-Einrichtungen ist notwendig, um ihre Widerstandsfähigkeit und Reaktionsfähigkeit auf Vorfälle zu verbessern“, sagte Berichterstatter Virkkunen nach der einstimmigen Annahme des Berichtsentwurfs durch den Industrieausschuss.
„Alle EU-Einrichtungen sind miteinander verbunden, und es sollte kein schwaches Glied in der Kette geben. Ein interinstitutioneller Ansatz wird es den EU-Einrichtungen ermöglichen, ihre Cybersicherheitsmaßnahmen und Reaktionen auf Cyberbedrohungen und potenzielle Angriffe zu entwickeln.
Der Bericht des Parlaments soll ohne Abstimmung im Plenum angenommen werden. Da sich der EU-Ministerrat im November auf seinen Standpunkt zu dem Dossier geeinigt hat, werden in den kommenden Wochen interinstitutionelle Verhandlungen, sogenannte Triloge, beginnen.
In seinem Ansatz hat der Rat Elemente zur Stärkung des CERT-EU, insbesondere seiner Kapazitäten für den Informationsaustausch, und zur Verbesserung der Koordinierung bei der Reaktion auf schwerwiegende Cyber-Vorfälle festgelegt.
[Bearbeitet von Luca Bertuzzi/Alice Taylor]
