Auch für die EU ist Cybersicherheit seit einigen Jahren ein relevantes Thema, dem sich der Europäische Rat im Herbst 2017 im Detail angenommen und dazu einen Maßnahmen-Katalog beschlossen hat (Quelle / lokale Kopie). Dieser umfasst die Umsetzung eines „gemeinsamen Konzepts für die Cybersicherheit in der EU“, das auf einem Vorschlag der Europäischen Kommission beruht. Nachfolgend sollen die Beschlüsse dokumentiert werden, da sie in den kommenden Monaten sicher auch weiterhin Auswirkungen auf die deutsche Gesetzgebung haben werden.
Im Kern enthält das Konzept die Umsetzung der folgenden drei Punkte:
- Aufbau eines zentralen CERT-Teams für alle Organe, Einrichtungen und sonstigen Stellen der EU (CERT-EU)
- die Einrichtung einer schlagkräftigeren EU-Agentur für Cyber-Sicherheit
- die Einführung eines EU-weiten Zertifizierungssystems für Cybersicherheit
- die rasche Umsetzung der Richtlinie zur Netz- und Informationssicherheit (NIS-Richtlinie)
Hintergrund der Beschlüsse sind, laut Ratsdokument, neben der allgemein zunehmenden Gefahren durch Cyber-Attacken – wobei hier primär Attacken wirtschaftlicher und nicht militärischer Natur und gemeint sind – auch die europäischen Abhängigkeiten und Wechselwirkungen im IT-Sektor wie bspw. im Bereich Transport oder Finanzen. Der Bereich der militärische Cyber-Sicherheit (und Reaktionsfähigkeiten) im Rahmen des geplanten europäische Verteidigungsbündnisses PESCO wurde hier bereits zu einem früheren Zeitpunkt thematisiert.
Die Beschlüsse im Einzelnen (Zitat sind, sofern nicht anders gekennzeichnet aus dem oben verlinkten Rats-Dokument):
CERT-EU
Das CERT-EU ist als Computer Emergency Response Team für „alle Organe, Einrichtungen und sonstigen Stellen der EU“ zuständig. Das CERT soll lt. Beschreibung „eine koordinierte Reaktion der EU auf Cyberangriffe gegen ihre Institutionen sicherstellen“ und dazu mit „nationalen IT-Sicherheitsteams der EU-Institutionen und Mitgliedstaaten [und] entsprechenden Stellen der NATO“ kooperieren. Eine wichtige Rolle wird dabei auch dem Aufbau nationaler Ressourcen und Anlaufstellen für die IT-Sicherheit zugedacht um die bessere Vernetzung ind Koordination EU-weit aufbauen und gewährleisten zu können. Details dazu sind im Ergebnisprotokoll des Rates für „Transport, Telecommunications and Energy Telecommunications issues“ zu finden (Quelle / lokale Kopie).
EU-Agentur für Cybersicherheit
„Einrichtung einer schlagkräftigeren EU-Agentur für Cyber-Sicherheit“ soll auf Basis der bestehenden, bislang vorallem für Koordination, Beratung und Capacity-Building zuständigen Europäische Agentur für Netz- und Informationssicherheit (ENISA) erfolgen, die ein breiteres Mandat erhalten soll um „Mitgliedstaaten, EU-Institutionen und Unternehmen zu helfen, sich gegen Cyberangriffe zu wehren.“ Das Protokoll der Tagung des Rates spricht dabei von einem „legislative proposal“ über das debattiert wurde und welches auf breite Zustimmung gestoßen ist. Dieses wird im Prokokoll erwähnt mit folgender Beschreibung: „a legislative proposal for a Cybersecurity Act, proposing to upgrade the current European Union Agency for Network and Information Security (ENISA) into a permanent EU Cybersecurity Agency and to create an EU-wide certification framework for ICT products and services“. Details zum angenommenen Proposal sind hier zu finden (lokale Kopie) und das Proposal im Wortlaut gibt es hier (lokale Kopie). Die Befugnis-Erweiterung zum einen die Aufstockung der Personal- und Sachmittel und erweitert das Portfolio der ENISA um die folgenden Aspekte:
- ENISA would be in charge of the incident response teams (CSIRTs) secretariat at EU level and would provide assistance on request to Member States to handle incidents.
- ENISA would handle large scale cybersecurity incidents.
- ENISA would be in charge of the incident response teams (CSIRTs) secretariat at EU level and would provide assistance on request to Member States to handle incidents
Darüber hinaus soll ENISA auch mit der neu beschlossenen Zertifizierung (siehe nächster Punkt) betraut werden.
EU-weiten Zertifizierungssystems für Cybersicherheit
Künftig sollen „IKT‑Produkte, ‑Dienstleistungen und ‑Prozesse“ in der EU mit einer speziellen Zertifizierung versehen werden können um über die entsprechende Standarisierung „die Marktfragmentierung zu verringern, regulatorische Hindernisse auszuräumen und Vertrauen zu schaffen„. Eine weiterführende Beschreibung zu dem Vorhaben definiert die Zertifizierung folgendermaßen:
The proposed certification framework will provide EU-wide certification schemes as a comprehensive set of rules, technical requirements, standards and procedures. This will be based on agreement at EU level for the evaluation of the security properties of a specific ICT-based product or service e.g. smart cards. The certification will attest that ICT products and services that have been certified in accordance with such a scheme comply with specified cybersecurity requirements. The resulting certificate will be recognized in all Member States, making it easier for businesses to trade across borders and for purchasers to understand the security features of the product or service. (Quelle / lokale Kopie).
Umsetzung der Richtlinie zur Netz- und Informationssicherheit (NIS-Richtlinie)
Mit diesem Vorhaben, das in Deutschland am sichtbarsten durch das Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) wird, betont der EU-Rat erneut die Dringlichkeit der Umsetzung der im Mai 2016 beschlossenen EU Regeln für die Cybersicherheit, die im August 2016 in Kraft getreten sind und bis Mai 2018 in nationalem Recht jeweils umzusetzen sind. Das Protokoll des Rats-Beschlusses fasst die NIS-Richtlinie nochmals wie folgt zusammen
Die Richtlinie über Netz- und Informationssicherheit (NIS‑Richtlinie) wurde erlassen, um die Zusammenarbeit zwischen den Mitgliedstaaten in der zentralen Frage der Cybersicherheit zu verstärken. Sie enthält Sicherheitspflichten für Betreiber wesentlicher Dienste (in kritischen Sektoren wie Energie, Verkehr, Gesundheit und Finanzen) und Anbieter digitaler Dienste (Online-Marktplätze, Online-Suchmaschinen und Cloud-Computing-Dienste). Zudem verpflichtet die NIS‑Richtlinie jedes EU‑Land, eine oder mehrere nationale Behörden zu benennen und eine Strategie zur Bewältigung von Bedrohungen durch Cyberkriminalität festzulegen.
Im Detail sind die Vorschriften im Amtsblatt der EU dokumentiert (lokale Kopie).
Abschließend sei an dieser Stelle noch auf eine kleine Anfrage (lokale Kopie) der Bundestagsfraktion DIE LINKE verwiesen. In dieser wird die Bundesregierung nach den konkreten nationalen Umsetzungsplanungen in Bezug auf die beschlossene Verbesserung der „Reaktionsfähigkeit der EU auf Cyberangriffe“ befragt und welche Schritte sich aus dem übernommenen „Cybersicherheitspaket“ für Deutschland mutmaßlich ergeben.