Die Europäische Union unternimmt bedeutende SchritteDie Europäische Kommission kündigte ein neues Gesetzespaket zur Cybersicherheit an, das die Kontrollen zur Cybersicherheit in ihren Telekommunikations- und kritischen Infrastruktursektoren verschärfen soll. Ziel des Pakets ist es, risikoreiche ausländische Anbieter auszuschließen und die Abwehr staatlich geförderter Cyberbedrohungen zu stärken. Der Vorschlag spiegelt die wachsende Besorgnis wider, dass fragmentierte nationale Ansätze Lücken in der digitalen Sicherheit der EU hinterlassen haben, insbesondere nach der uneinheitlichen Umsetzung des 2020 eingeführten freiwilligen 5G-Sicherheitsinstrumentariums.
Im Rahmen des vorgeschlagenen Systems würde die Kommission erweiterte Befugnisse zur Koordinierung EU-weiter Risikobewertungen erhalten und Beschränkungen oder Verbote für in sensibler Infrastruktur eingesetzte Ausrüstung unterstützen. Die Mitgliedstaaten wären verpflichtet, Lieferanten in 18 kritischen Sektoren gemeinsam zu bewerten und dabei Herkunftsrisiken sowie Auswirkungen auf die nationale Sicherheit zu berücksichtigen. Es werden keine Unternehmen namentlich genannt. EU-Beamte hatten zuvor bereits Bedenken hinsichtlich chinesischer Technologieanbieter im Zusammenhang mit der 5G-Sicherheit geäußert.
Ein zentraler Bestandteil des Vorschlags ist ein überarbeitetes Cybersicherheitsgesetz, das den Ausschluss risikoreicher ausländischer Anbieter aus europäischen Mobilfunknetzen vorschreibt. Das aktualisierte Gesetz soll die Lieferketten der Informations- und Kommunikationstechnologie (IKT) sichern und gleichzeitig den bürokratischen Aufwand für Unternehmen reduzieren. Es führt vereinfachte Zertifizierungsverfahren durch freiwillige Programme ein, die von der Europäischen Agentur für Cybersicherheit (ENISA) verwaltet werden.
Das Gesetz würde auch die operative Rolle der ENISA erweitern. Die Agentur würde befugt, frühzeitig Bedrohungswarnungen herauszugeben, eine zentrale EU-weite Anlaufstelle für die Meldung von Sicherheitsvorfällen zu betreiben und Unternehmen in Abstimmung mit Europol und nationalen IT-Sicherheitsteams bei der Reaktion auf Ransomware-Angriffe zu unterstützen. Parallel dazu würde die ENISA Zertifizierungsprogramme für Cybersicherheitskompetenzen einführen und eine Pilot-Akademie für Cybersicherheitskompetenzen gründen, um dem Fachkräftemangel entgegenzuwirken.
Wichtigste Erkenntnisse für Politik und Industrie:
- Die EU plant die obligatorische Entfernung risikoreicher ausländischer Anbieter aus Telekommunikationsnetzen.
- Die Kommission wird stärkere Befugnisse zur Koordinierung EU-weiter Risikobewertungen erhalten.
- Die Rolle der ENISA erweitert sich auf Bedrohungswarnungen, Reaktion auf Vorfälle und Personalentwicklung.
- Die Reformen der Zertifizierungsrichtlinien zielen darauf ab, die Sicherheit zu stärken und gleichzeitig die Kosten für die Einhaltung der Vorschriften zu senken.
Bei Zustimmung des Europäischen Parlaments und des Rates der EU würde das Cybersicherheitsgesetz sofort in Kraft treten. Die Mitgliedstaaten haben ein Jahr Zeit, die Änderungen in nationales Recht umzusetzen. Dies markiert einen entscheidenden Wandel von freiwilligen Leitlinien hin zu verbindlichen EU-weiten Cybersicherheitsvorschriften.
Quelle:
