Fragen und Antworten – Cybersicherheit in der EU
Die EU verfügt heute über eine ganze Reihe von Instrumenten zum Schutz elektronischer Kommunikationsnetze, darunter die Richtlinie über die Sicherheit von Netz- und Informationssystemen (NIS-Richtlinie), den EU-Rechtsakt zur Cybersicherheit und die neuen Telekommunikationsvorschriften.
Mit der Richtlinie wurden neue Mechanismen für die Zusammenarbeit auf EU-Ebene sowie Maßnahmen zur Erhöhung der nationalen Kapazitäten und Pflichten für die Betreiber wesentlicher Dienste und die Anbieter digitaler Dienste eingeführt, damit das praktische Risikomanagement verbessert und den nationalen Behörden erhebliche Sicherheitsvorfälle gemeldet werden.
Mit dem Rechtsakt zur Cybersicherheit werden erstmals EU-weite Vorschriften für die Cybersicherheitszertifizierung von Produkten, Prozessen und Diensten eingeführt. Darüber hinaus ist darin ein neues, dauerhaftes Mandat für die EU-Cybersicherheitsagentur (ENISA) sowie eine Aufstockung der Mittel der Agentur vorgesehen, damit sie ihre Aufgaben erfüllen kann.
Nach den neuen Telekommunikationsvorschriften (dem europäischen Kodex für die elektronische Kommunikation) müssen die Mitgliedstaaten dafür sorgen, dass die Integrität und Sicherheit der öffentlichen Kommunikationsnetze gewährleistet wird und dass Betreiber verpflichtet sind, technische und organisatorische Maßnahmen zur angemessenen Beherrschung der Risiken für die Sicherheit der Netze und Dienste zu ergreifen. In der Richtlinie ist ferner vorgesehen, dass die zuständigen nationalen Regulierungsbehörden u. a. befugt sind, verbindliche Anweisungen zu erteilen, um die Einhaltung dieser Verpflichtungen sicherzustellen. Darüber hinaus können die Mitgliedstaaten Bedingungen im Hinblick auf den Schutz öffentlicher Netze gegen unbefugten Zugang an die den Betreibern erteilten Allgemeingenehmigungen knüpfen, um die Vertraulichkeit der Kommunikation zu wahren.
Überdies hat der Rat im Mai 2019 eine Sanktionsregelung eingeführt, die es der EU ermöglicht, zur Abschreckung vor Cyberangriffen und zur Reaktion auf solche Angriffe, die eine externe Bedrohung für die EU und ihre Mitgliedstaaten darstellen, gezielte restriktive Maßnahmen zu verhängen. Die neue Sanktionsregelung ist Teil des EU-Instrumentariums für die Cyberdiplomatie, eines Rahmens für eine gemeinsame diplomatische Reaktion der EU auf böswillige Cyberaktivitäten, der es der EU ermöglicht, in vollem Umfang Maßnahmen im Rahmen der Gemeinsamen Außen- und Sicherheitspolitik zu ergreifen. Dazu gehören beispielsweise Erklärungen der Hohen Vertreterin, diplomatische Demarchen und nötigenfalls restriktive Maßnahmen, mit denen auf böswillige Cyberaktivitäten reagiert werden kann.
Was ist der EU-Rahmen für die Cybersicherheitszertifizierung und welche Vorteile hat er?
Ein europäisches System für die Cybersicherheitszertifizierung ist ein umfassendes Paket von Vorschriften, technischen Anforderungen, Normen und Verfahren, das auf europäischer Ebene für die Bewertung der Cybersicherheitseigenschaften bestimmter Produkte, Dienste und Prozesse festgelegt wird.
Die Cybersicherheitszertifizierung spielt eine große Rolle, wenn es darum geht, das Vertrauen in Produkte, Dienste und Prozesse, die für das reibungslose Funktionieren des digitalen Binnenmarkts unerlässlich sind, zu stärken und deren Sicherheit zu erhöhen. Angesichts der großen Vielfalt und der vielen Verwendungsmöglichkeiten von IKT-Produkten, -Diensten und -Prozessen ermöglicht der europäische Rahmen für die Cybersicherheitszertifizierung den Aufbau maßgeschneiderter und risikobasierter EU-Zertifizierungssysteme.
Jedes europäische System sollte insbesondere Folgendes vorgeben: a) die Kategorien der erfassten Produkte und Dienste, b) die Anforderungen an die Cybersicherheit (z. B. durch Bezugnahme auf Normen oder technische Spezifikationen), c) die Art der Bewertung (z. B. Selbstbewertung oder Bewertung durch Dritte) und d) die beabsichtigte Vertrauenswürdigkeitsstufe (z. B. niedrig, mittel und/oder hoch) vorgeben.
Zur Verdeutlichung des bestehenden Cybersicherheitsrisikos kann ein Zertifikat auf drei Vertrauenswürdigkeitsstufen (niedrig, mittel, hoch) verweisen, die in einem angemessenen Verhältnis zu dem mit der beabsichtigten Verwendung eines Produkts, Dienstes oder Prozesses verbundenen Risiko im Hinblick auf die Wahrscheinlichkeit und die Auswirkungen eines Sicherheitsvorfalls stehen sollen. So bedeutet beispielsweise die Vertrauenswürdigkeitsstufe „hoch“, dass das zertifizierte Produkt die höchsten Sicherheitsprüfungen bestanden hat.
Das daraufhin ausgestellte Zertifikat wird von allen Mitgliedstaaten anerkannt, was den Unternehmen den grenzüberschreitenden Handel und den Verbrauchern das Verständnis der Sicherheitsmerkmale eines Produkts oder Dienstes erleichtert. Dies ermöglicht einen nutzbringenden Wettbewerb zwischen den Anbietern auf dem gesamten EU-Markt, der zu besseren Produkten und einem besseren Preis-Leistungs-Verhältnis führt.
Eingebaute Sicherheit: Überdies hält der Rahmen die an der Konzeption und Entwicklung von Produkten, Diensten und Prozessen beteiligten Hersteller oder Anbieter dazu an, schon ab den ersten Phasen der Konzeption und Entwicklung Vorkehrungen zu treffen. Dies wird es ermöglichen, die Sicherheit solcher Produkte, Dienste oder Prozesse möglichst weitgehend zu schützen, da Cyberangriffe vorausgesehen und deren Folgen so gering wie möglich gehalten werden („Security by Design“).
Der europäischen Zertifizierungsrahmen wird so weit wie möglich auf internationalen Standards beruhen, um so das Entstehen von Handelshemmnissen und technische Interoperabilitätsprobleme zu vermeiden.
Wer wird von diesem Zertifizierungsrahmen profitieren und in welcher Weise?
Zu wissen, ob ein Produkt, System oder Dienst bestimmten Anforderungen genügt, ist eine Voraussetzung für Vertrauen in digitale Systeme, auf die wir uns verlassen. Der Rahmen ist daher nützlich für:
- Bürger und Endnutzer (z. B. für Betreiber wesentlicher Dienste), die beim Kauf von Produkten und Diensten, die sie täglich gebrauchen, fundiertere Entscheidungen treffen können. Beispielsweise werden Bürger, die ein Smart-TV-Gerät kaufen möchten und sich der Cybersicherheitsrisiken bewusst sind, die sie eingehen, wenn sie Verbindungen von intelligenten Objekten über das Internet zulassen, die Möglichkeit haben, sich auf der von der EU-Cybersicherheitsagentur betriebenen Website zur europäischen Cybersicherheitszertifizierung zu informieren. Dort werden sie u. a. ein passendes Modell finden, das nach den entsprechenden Cybersicherheitsanforderungen zertifiziert wurde, aber auch Hinweise des Verkäufers für die Ersteinrichtung, die Konfiguration und den sicheren Betrieb des Fernsehgeräts und Angaben dazu, für wie lange sich der Anbieter verpflichtet hat, Cybersicherheits-Patches bereitzustellen, wenn neue Schwachstellen aufgedeckt werden.
- Anbieter und Betreiber von Produkten und Diensten, auch kleine und mittlere Unternehmen (KMU) und neugegründete Unternehmen, die Kosten und Zeit sparen, da sie nur ein einziges Verfahren zur Erlangung eines EU-weit gültigen europäischen Zertifikats durchlaufen müssen, sodass sie sich in allen Mitgliedstaaten effektiv am Wettbewerb beteiligen können. Darüber hinaus werden die Anbieter von IKT-Produkten und -Diensten sicherlich darum bemüht sein, mögliche Käufer mit einem besonderen Label auf die Sicherheitszertifizierung aufmerksam zu machen.
- Behörden‚ die – wie private und geschäftliche Einkäufer – besser in der Lage sein werden, fundierte Kaufentscheidungen zu treffen.
Um den Nutzen der Cybersicherheitszertifizierung weiter zu erhöhen, müssen die Hersteller oder Anbieter zertifizierter Produkte, Dienste oder Prozesse, auch diejenigen, denen eine EU-Konformitätserklärung ausgestellt wurde, bestimmte zusätzliche Informationen zur Cybersicherheit bereitstellen (z. B. Leitlinien und Empfehlungen zur Unterstützung der Endnutzer bei der sicheren Konfiguration, der Installation, der Bereitstellung, dem Betrieb und der Wartung der Produkte oder Dienste usw.).
Welchen besonderen Mehrwert bietet der Rahmen für KMU und Start-ups?
KMU und neugegründete Unternehmen stehen üblicherweise vor größeren Schwierigkeiten, wenn sie neue Märkte mit anderen Anforderungen erschließen wollen. Der Rahmen wird helfen, derartige Markteintrittsschranken für KMU und neugegründete Unternehmen zu verringern, da die Unternehmen das Zertifizierungsverfahren für ihre Produkte nur einmal durchlaufen müssen und das entsprechende Zertifikat dann in der gesamten EU gilt. Da zudem von einer weltweit steigenden Nachfrage nach sichereren Lösungen auszugehen ist, werden Unternehmen, auch KMU, deren Produkte zertifiziert sind, bei der Bedienung dieser Nachfrage einen Wettbewerbsvorteil haben. Außerdem macht die Möglichkeit, dass bei jenen Produkten, Verfahren und Diensten, die ein geringes Risiko darstellen, die Einhaltung der Sicherheitsanforderungen von den Unternehmen selbst bescheinigt werden kann, den Rahmen gerade für KMU und neugegründete Unternehmen noch attraktiver.
Nehmen Sie das Beispiel eines KMU, das IKT-Anwendungen für größere Unternehmen entwickelt und vertreibt, die ihrerseits bestimmte Garantien dafür verlangen, dass die Anwendungen angemessen sicher sind und nach bewährten, sicheren Programmierungsverfahren entwickelt wurden. Anhand eines europäischen Cybersicherheitszertifikats kann das KMU sowohl die Sicherheit seiner Produkte als auch die Sicherheit seiner Entwicklungsverfahren nachweisen und so die Anforderungen seiner Kunden nicht nur in einem Mitgliedstaat, wie dies heute häufig der Fall ist, sondern in der gesamten EU erfüllen.
Wird die Cybersicherheitszertifizierung obligatorisch werden?
Die Zertifizierungssysteme dieses Rahmens sind freiwillig, d. h. die Anbieter können selbst entscheiden, ob sie ihre Produkte zertifizieren lassen wollen. Dennoch sieht der Rechtsakt zur Cybersicherheit vor, dass die Kommission die Effizienz und die Nutzung der angenommenen europäischen Cybersicherheitszertifizierungssysteme bewerten soll. Dabei wird sie insbesondere auf die Frage eingehen, ob ein bestimmtes europäisches Cybersicherheitszertifizierungssystem durch das einschlägige Unionsrecht verbindlich vorgeschrieben werden sollte, um ein angemessenes Maß an Cybersicherheit von IKT-Produkten, -Diensten und -Prozessen sicherzustellen und das Funktionieren des Binnenmarktes zu verbessern. Darüber hinaus könnte in anderen Rechtsvorschriften auf nationaler oder EU-Ebene auf bestehende Zertifizierungssysteme verwiesen werden, was eine einfache Möglichkeit wäre, um künftige Anforderungen an Produkte oder Systeme festzulegen.
Auf welche Weise wird die EU-Cybersicherheitsagentur gestärkt?
Bislang hatte die EU-Cybersicherheitsagentur ein befristetes Mandat, das zuletzt im Jahr 2013 verlängert worden war und im Jahr 2020 auslaufen sollte. Durch den Rechtsakt zur Cybersicherheit hat die Agentur ein dauerhaftes Mandat erhalten, sodass sie nun eine stabile Grundlage für die Zukunft hat.
Die bereits bestehenden Aufgaben der EU-Cybersicherheitsagentur, wie die Unterstützung der Politikentwicklung und ‑umsetzung sowie der Aufbau von Kapazitäten im Bereich der Cybersicherheit, sind gestärkt und neu ausgerichtet worden. Und es sind neue Aufgaben hinzugekommen, vor allem im Hinblick auf die Cybersicherheitszertifizierung.
Ferner enthält das neue Mandat wichtige zusätzliche Aufgaben, die der EU-Cybersicherheitsagentur durch die 2016 verabschiedete NIS-Richtlinie übertragen worden sind, z. B. die Rolle des Sekretariats des Netzes der IT-Notfallteams (CSIRTs), in dem die nationalen CSIRTs der EU-Mitgliedstaaten zusammenwirken. Damit sie dieser größeren Verantwortung gerecht werden kann, soll das Personal der Agentur um 50 % wachsen. Gleichzeitig sollen die Finanzmittel der Agentur verdoppelt werden, nämlich von 11 auf 23 Mio. EUR über einen Zeitraum von 5 Jahren.
Was sind die wichtigsten Aufgaben der EU-Cybersicherheitsagentur im Rahmen des neuen Mandats?
- Unterstützung der Umsetzung der Politik im Bereich der Cybersicherheit, insbesondere der NIS-Richtlinie und anderer politischer Initiativen mit Bezug zur Cybersicherheit in verschiedenen Sektoren (z. B. Energie, Verkehr, Finanzen). Die EU-Cybersicherheitsagentur wird zudem auch den Mitgliedstaaten bei der Umsetzung bestimmter auf die Cybersicherheit bezogener Aspekte der Unionspolitik und des Unionsrechts im Bereich des Datenschutzes und des Schutzes der Privatsphäre zur Seite stehen.
- Aufbau von Cybersicherheitskapazitäten, z. B. durch Schulungen zur Verbesserung der Fähigkeiten und Fachkompetenzen der EU-Organe und der Behörden der Mitgliedstaaten, auch im Hinblick auf die Reaktionsfähigkeit auf Cybervorfälle und die Überwachung der Regulierung auf dem Gebiet der Cybersicherheit.
- Marktbezogene Aufgaben (Normung, Cybersicherheitszertifizierung), z. B. Analyse relevanter Trends auf dem Cybersicherheitsmarkt, um Angebot und Nachfrage besser aufeinander abzustimmen und um die Entwicklung der EU-Politik auf dem Gebiet der IKT-Normung und der IKT-Cybersicherheitszertifizierung zu unterstützen.
- Operative Zusammenarbeit und Krisenmanagement zur Stärkung der bestehenden präventiven operativen Fähigkeiten und zur Unterstützung der operativen Zusammenarbeit in Ihrer Rolle als Sekretariat des CSIRTs-Netzes. Außerdem wird die EU-Cybersicherheitsagentur die Mitgliedstaaten, die dies wünschen, bei der Bewältigung von Sicherheitsvorfällen unterstützen und eine wichtige Rolle bei der koordinierten Reaktion der EU auf große grenzüberschreitende Cybersicherheitsvorfälle und ‑krisen spielen.
- Koordinierte Offenlegung von Sicherheitslücken: Die EU-Cybersicherheitsagentur wird die Mitgliedstaaten und die Organe, Einrichtungen und sonstigen Stellen der Union bei der Aufstellung und Umsetzung von Strategien für eine Offenlegung von Sicherheitslücken auf freiwilliger Basis unterstützen. Darüber hinaus wird sie helfen, die Zusammenarbeit zwischen Organisationen, Herstellern oder Anbietern besonders gefährdeter Produkte und Dienste sowie Mitgliedern der Forschungsgemeinschaft im Bereich der Cybersicherheit, die solche Schwachstellen aufspüren, zu verbessern.
Wie lautet die Empfehlung der Europäischen Kommission für ein gemeinsames Vorgehen der EU bei der Sicherheit der 5G-Netze?
Die Netze der fünften Generation (5G) werden künftig das Rückgrat unserer Gesellschaften und Volkswirtschaften bilden, vor allem auch in vielen lebenswichtigen Sektoren wie Energie, Verkehr, Bankwesen und Gesundheit, was die Notwendigkeit verdeutlicht, etwaige Schwachstellen in Bezug auf Sicherheit und Vertrauen zu beseitigen. Im März 2019 empfahl die Europäische Kommission eine Reihe operativer Schritte und Maßnahmen, die der Gewährleistung eines hohen Cybersicherheitsniveaus der 5G-Netze in der gesamten EU dienen. Insbesondere empfahl sie den Mitgliedstaaten, bis Oktober 2019 eine EU-weite Risikobewertung vorzunehmen und dann bis Dezember 2019 mögliche Abhilfemaßnahmen zu nennen.
Die nächsten Schritte
Die Europäische Kommission regte insbesondere in ihrem Vorschlag für das Programm „Digitales Europa“ an, im nächsten EU-Haushaltszeitraum die Investitionen in die Cybersicherheit und in hochmoderne Digitaltechnik in der EU erheblich auszuweiten. Ferner schlug sie ein neues europäisches Kompetenzzentrum und Netz für Cybersicherheit vor, das Ressourcen bündeln und Prioritäten mit den Mitgliedstaaten abstimmen soll, um einschlägige Projekte im Bereich der Cybersicherheit durchzuführen. Ziel des Vorschlags ist auch die Schaffung eines Netzes nationaler Koordinierungszentren und einer Kompetenzgemeinschaft für Cybersicherheit, um eine bessere Zusammenarbeit zu erreichen und Synergien zwischen den vorhandenen Fachleuten und Fachstrukturen in den Mitgliedstaaten zu erzielen. Dies steht im Einklang mit dem vordringlichen Ziel, die Wettbewerbsfähigkeit der EU-Cybersicherheitsbranche zu steigern und die Cybersicherheit zu einem Wettbewerbsvorteil für andere europäische Wirtschaftszweige zu machen.
