Was man vom Gesetz über Cyberresilienz erwarten kann
Das Gesetz über Cyberresilienz wurde erstmals am Dienstag (28. Februar) in der aktualisierten Fassung des Arbeitsprogramms der Europäischen Kommission vorgestellt, obwohl es bereits seit einem Jahr in Arbeit ist. Was kann man erwarten?
Das Gesetz über Cyberresilienz wurde erstmals am Dienstag (28. Februar) in der aktualisierten Fassung des Arbeitsprogramms der Europäischen Kommission vorgestellt, obwohl es bereits seit einem Jahr in Arbeit ist. Was kann man von der Initative erwarten?
Im März 2022, als Europa noch von der russischen Aggression in der Ukraine erschüttert war, trafen sich die EU-Minister in Nevers, Frankreich, und erörterten die Idee, die Kapazitäten der europäischen Länder zu stärken, um gegen groß angelegte Cyberangriffe abzuwehren.
Die damalige französische Ratspräsidentschaft schlug die Einrichtung eines Notfallfonds für Cybersicherheit vor, auf den die nationalen Regierungen zugreifen können, um vertrauenswürdige Cybersicherheitsunternehmen mit der Durchführung von Audits und der Reaktion auf Vorfälle zu beauftragen.
Dies ist die Prämisse des Cyberresilienzgesetzes, eines Verordnungsentwurfs, den die Kommission voraussichtlich am 5. April vorlegen wird. Einer mit der Angelegenheit vertrauten Quelle zufolge folgt das Modell dem ukrainischen Ansatz, wonach öffentliche Einrichtungen und private Unternehmen zusammenarbeiten, um die Cybersicherheit zu gewährleisten.
Cyber-Reserve
Die Idee fand Eingang in die Cybersicherheitspolitik der EU, die später in die Initiative Europäische Cybersolidarität umbenannt wurde. Ihr Ziel ist es, eine „Cyber-Reserve“ aus privaten, vertrauenswürdigen Anbietern einzurichten, die sich mit einer Zertifizierung qualifizieren und die Reaktion auf bedeutende Cyber-Angriffe unterstützen würden.
Die Kriterien für die Auswahl dieser vertrauenswürdigen Anbieter sind noch nicht bekannt, aber europäische Sicherheitsunternehmen wie Atos, Thales, WithSecure und BitDefender sind die wahrscheinlichsten Kandidaten. Die große Frage ist, ob der Zugang zur Reserve für US-Unternehmen wie Microsoft beschränkt sein wird.
Angesichts der Sensibilität des Themas und der jüngsten Tendenz der Kommission, europäische Unternehmen bei der Cybersicherheitszertifizierung zu bevorzugen, sind einige Einschränkungen für ausländische Unternehmen zu erwarten – zumindest der Ausschluss von Unternehmen, die feindlichen Mächten zu nahe stehen, wie es bei Huawei und der 5G Toolbox der Fall war.
Ein wichtiger Hinweis darauf, wie das Projekt ablaufen könnte, ist ein Pilotprojekt mit dem Namen Trusted Partners Programme, an dem die ENISA, die Cybersicherheitsagentur der EU, seit letztem Sommer arbeitet.
Im Rahmen des Pilotprojekts wurde eine öffentliche Ausschreibung im Wert von 28 Millionen Euro durchgeführt, die in 28 Lose für die 27 EU-Mitgliedstaaten und eines auf europäischer Ebene aufgeteilt wurde. In mehreren Ländern müssen die in Frage kommenden Bewerber eine nationale, NATO- oder EU-Sicherheitsüberprüfung, -zertifizierung oder -akkreditierung erhalten.
Politischer Rahmen
Bis Ende Januar hatte sich die EU-Kommission noch nicht entschieden, ob die Initiative einer Gesetzgebung bedürfe, hieß es aus Kommissionskreisen gegenüber EURACTIV.
Eine neue Gesetzgebung in dieser späten Phase des Mandats vorzuschlagen, dürfte beim EU-Ministerrat nicht gut ankommen. Die nationalen Vertreter beklagen, dass sie bereits überlastet seien und sich auf den Cyber Resilience Act konzentrieren wollten.
Auf nationaler Ebene sind die EU-Länder auch mit der Umsetzung der überarbeiteten Richtlinie zur Netz- und Informationssicherheit (NIS2) und zur Widerstandsfähigkeit kritischer Einrichtungen sowie mit der Einrichtung regionaler Sicherheitsoperationszentren (SOC) beschäftigt, für die vor zwei Wochen ein Aufruf zur Finanzierung abgeschlossen wurde.
Die Vision der Kommission ist, dass regionale SOCs zusammengeschlossen werden, um Gefahreninformationen auf EU-Ebene auszutauschen und einen „Cyber-Schutzschild“ zu bilden. Die Initiative Cybersolidarität soll die zugrundeliegende europäische Aufdeckungsinfrastruktur schaffen.
Eine weitere politische Frage ist, ob die Kommission versuchen wird, die gemeinsame Nutzung von Gefahreninformationen vorzuschreiben – eine Maßnahme, die von den EU-Ländern abgelehnt wird, da diese sensible Informationen enthalten könnten, welche die nationale Sicherheit gefährden könnten, wenn sie in die falschen Hände geraten.
Der eigentliche Grund für einen Legislativvorschlag sei jedoch, dass es keinen rechtlichen Rahmen für die Zuweisung dieser Mittel gebe, hieß es aus EU-Kommissionskreisen gegenüber EURACTIV.
Ein aktueller Präzedenzfall ist das Chips-Gesetz: Es legt fest, unter welchen Bedingungen Unternehmen, die zur Steigerung der europäischen Halbleiterkapazität beitragen, staatliche Beihilfen erhalten können.
Die Organisationen, die für die Unterstützung der vertrauenswürdigen Anbieter in Frage kommen, sind die wichtigen Unternehmen, die unter NIS2 identifiziert wurden. Dennoch könnte die Beauftragung der EU-Länder mit der Verteilung der Mittel im Widerspruch zu den EU-Beihilfevorschriften stehen.
Die Frage der Governance ist jedoch ziemlich heikel, da sie die Rolle des Europäischen Kompetenzzentrums für Cybersicherheit in Frage stellt.
„Governance“
Das EU-Gremium wurde 2021 eingerichtet, um die europäischen Kapazitäten im Bereich der Cybersicherheit zu stärken. Die Kommission hatte gehofft, das Kompetenzzentrum in Brüssel unter ihren Fittichen zu behalten, aber Rumänien ist es gelungen, seine erste EU-Einrichtung in Bukarest zu erhalten.
Wie EURACTIV im vergangenen April enthüllte, verzögerte die EU-Kommission daraufhin die Ernennung des neuen Exekutivdirektors des Zentrums, um die Schirmherrschaft über dieses zu behalten. Zwei Jahre nach ihrer Gründung fehlt der EU-Einrichtung immer noch ein Spitzenposten und sie ist personell stark unterbesetzt.
Die Kommission zögert jedoch, dem Kompetenzzentrum völlige Unabhängigkeit zu gewähren, gerade weil es die für den Aufbau von Cybersicherheitskapazitäten bestimmten EU-Mittel verwalten soll.
Anders ausgedrückt würde ein Ausschluss der EU-Einrichtung von der Initiative ihre Existenzberechtigung diskreditieren. Gleichzeitig scheint die ENISA die einzige Einrichtung zu sein, die in der Lage ist, ein Projekt wie dieses durchzuführen.
Haushalt
Die Mittel für die Cyber-Solidaritätsinitiative sollen aus dem Programm „Digitales Europa“ stammen. Genau wie der Chips Act wird das Projekt jedoch wahrscheinlich mit der harten Realität eines bereits angespannten EU-Haushalts und der mangelnden Bereitschaft der Mitgliedstaaten, zusätzliche Ressourcen zu investieren, kollidieren.
Bemerkenswerterweise nimmt die Cyberverteidigungspolitik diese Haushaltszwänge vorweg, indem sie feststellt, dass „der Umfang der Maßnahmen und die Aufteilung der Kosten spezifischer Interventionen von den verfügbaren EU-Mitteln abhängen würde, die EU aber auch einen Mehrwert schaffen würde, indem sie die Verfügbarkeit und Bereitschaft einer solchen Reserve auf EU-Ebene sicherstellt.“
[Bearbeitet von Nathalie Weatherald]
