Mehr Cyber- und Informationssicherheit in den Organen, Einrichtungen und sonstigen Stellen der EU
Der zunehmende Anstieg krimineller Cyber-Aktivitäten, die Covid-19-Pandemie und geopolitische Herausforderungen erfordern neue Vorschriften für einheitliche Maßnahmen der Cyber- und Informationssicherheit – Ziel: Besseres Risikomanagement und Schutz vor digitalen Bedrohungen
Am 22. März 2022 hat die Europäische Kommission einen Vorschlag für neue Vorschriften für einheitliche Maßnahmen der Cyber- und Informationssicherheit in allen Organen, Einrichtungen und sonstigen Stellen der EU präsentiert. Angesichts der zunehmenden Zahl krimineller Cyber-Aktivitäten sollen die Abwehrfähigkeit erhöht, die Kapazitäten zur Reaktion auf Cyber-Bedrohungen und -Sicherheitsvorfälle ausgebaut sowie eine resiliente und sichere öffentliche Verwaltung gewährleistet werden. Die Covid-19-Pandemie sowie geopolitische Herausforderungen erfordern ein gemeinsames Cyber- und Informationssicherheitskonzept. In diesem Kontext hat die Europäische Kommission 2 Verordnungen vorgeschlagen: eine zur Cyber-Sicherheit und eine zur Informationssicherheit. Ziel ist die Erweiterung der interinstitutionellen Zusammenarbeit, um Risiken zu minimieren und die Sicherheitskultur der EU zu stärken.
"In einem vernetzten Umfeld kann ein einzelner Cyber-Sicherheitsvorfall eine gesamte Organisation treffen. Aus diesem Grund ist es so wichtig, ein starkes Schutzschild gegen Cyber-Bedrohungen und Sicherheitsvorfälle zu schaffen, die unsere Handlungsfähigkeit beeinträchtigen können. Die Verordnungen, die wir vorschlagen, sind ein Meilenstein in der Cyber- und Informationssicherheitslandschaft der EU. Grundlage ist eine verstärkte Zusammenarbeit und gegenseitige Unterstützung zwischen den Organen, Einrichtungen und sonstigen Stellen der EU sowie eine koordinierte Abwehrbereitschaft und Reaktion. Es handelt sich um ein wahrhaft kollektives EU-Unterfangen", erklärte Johannes Hahn, Kommissar für Haushalt und Verwaltung.
Verordnung zur Cyber-Sicherheit zur Stärkung des interinstitutionellen Risikomanagements
Mit dieser Verordnung soll ein Rahmen für "Governance, Risikomanagement und Kontrolle" im Bereich der Cyber-Sicherheit einhergehen. Auch der Einsatz eines neuen interinstitutionellen Cyber-Sicherheitsbeirats, eine Stärkung der Sicherheitskapazitäten und eine bessere Cyber-Hygiene sind vorgesehen. Das Mandat des Reaktionsteams für IT-Sicherheitsvorfälle der EU (CERT-EU, kurz für "The Computer Emergency Response Team for the EU Institutions, bodies and agencies") soll erweitert werden: Neben der Tätigkeit als Beratungsgremium und Diensteanbieter sollen der Austausch von Informationen über Cyber-Bedrohungen und die Koordinierung der Reaktion auf Sicherheitsvorfälle im Fokus stehen.
Der Vorschlag sieht folgende Schlüsselelemente vor:
- Stärkung des Mandats des CERT-EU und Bereitstellung der Ressourcen, die das CERT-EU zur Wahrnehmung des Mandats benötigt;
- Alle Organe, Einrichtungen und sonstigen Stellen der EU müssen einen Rahmen für "Governance", Risikomanagement und Kontrolle im Bereich der Cyber-Sicherheit festlegen; ein Grundrepertoire von Cyber-Sicherheitsmaßnahmen umsetzen; Reifebewertungen durchführen; einen Plan zur Verbesserung ihrer Cyber-Sicherheit aufstellen; Informationen zu Vorfällen über das CERT-EU untereinander weitergeben;
- Einsetzung eines neuen interinstitutionellen Cyber-Sicherheitsbeirats, um die Umsetzung der Verordnung zu steuern und das CERT-EU zu lenken;
- Umbenennung des CERT-EU von "Reaktionsteam für IT-Sicherheitsvorfälle" in "Cyber-Sicherheitszentrum", parallel zu Entwicklungen in den Mitgliedstaaten, aber unter Beibehaltung des Kurznamens "CERT-EU" aufgrund seines Wiedererkennungswerts.
Verordnung zur Informationssicherheit zum Schutz vor digitalen Bedrohungen
Der Vorschlag dieser Verordnung wird begleitet von der Erstellung eines Mindestkatalogs an Vorschriften und Standards zur Informationssicherheit. Diese sollen dem besseren Schutz vor den zunehmenden Bedrohungen der Informationssicherheit der betreffenden Organe, Einrichtungen und sonstigen Stellen der EU dienen. Damit soll eine stabile Grundlage für einen sicheren Informationsaustausch zwischen den Organen, Einrichtungen und sonstigen Stellen der EU und mit den Mitgliedstaaten entstehen – dieser beruht auf standardisierten Verfahren und Maßnahmen zum Schutz von Informationsflüssen.
Der Vorschlag sieht folgende Schlüsselelemente vor:
- Einführung einer effizienten "Governance" zur Förderung der Zusammenarbeit aller Organe, Einrichtungen und sonstigen Stellen der EU in Form einer interinstitutionellen Koordinierungsgruppe zur Informationssicherheit;
- Festlegung eines gemeinsamen Konzepts für die Einstufung von Informationen nach dem Grad ihrer Vertraulichkeit;
- Modernisierung der jeweiligen Informationssicherheitspolitik unter uneingeschränkter Berücksichtigung von digitalem Wandel und Telearbeit;
- Straffung der gegenwärtigen Verfahrensweisen und größere Kompatibilität zwischen den einschlägigen Systemen und Geräten.
Hintergrund: Robuster und kohärenter Sicherheitsrahmen essenziell
Der Rat der Europäischen Union hob in seiner Entschließung vom 9. März 2021 hervor, dass ein robuster und kohärenter Sicherheitsrahmen wichtig ist – zum Schutz aller Mitarbeiterinnen und Mitarbeiter, von Daten, Kommunikationsnetzen und Informationssystemen der EU sowie Entscheidungsprozessen.
Der Vorschlag der Cyber-Sicherheitsverordnung soll für Kohärenz mit der bestehenden EU-Cyber-Sicherheitspolitik gemäß folgender Rechtsvorschriften sorgen: der Richtlinie über die Sicherheit von Netz- und Informationssystemen und der künftigen Richtlinie über Maßnahmen für ein hohes gemeinsames Cyber-Sicherheitsniveau in der Union, des Rechtsakts zur Cyber-Sicherheit, der Empfehlung der Kommission zum Aufbau einer gemeinsamen Cyber-Einheit sowie der Empfehlung der Kommission zu einer koordinierten Reaktion der EU auf große Cyber-Sicherheitsvorfälle und -Krisen.
Mit der vorgeschlagenen Informationssicherheitsverordnung soll unter Straffung der entsprechenden Rechtsrahmen der Organe, Einrichtungen und sonstigen Stellen der EU der Schutz der Informationen erhöht werden. Demzufolge steht der Vorschlag im Einklang mit der EU-Strategie für die Sicherheitsunion, mit der Strategischen Agenda 2019-2024 sowie mit den Schlussfolgerungen des Rates "Allgemeine Angelegenheiten" vom Dezember 2019.
Weitere Informationen
- Neue Vorschriften für mehr Cyber- und Informationssicherheit in den Organen, Einrichtungen und sonstigen Stellen der EU, Pressemitteilung der Europäischen Kommission
- Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates zur Festlegung von Maßnahmen für ein hohes gemeinsames Cyber-Sicherheitsniveau in den Organen, Einrichtungen und sonstigen Stellen der EU, Website der Europäischen Kommission (Englisch)
- Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates über die Informationssicherheit in Organen, Einrichtungen und sonstigen Stellen der EU, Website der Europäischen Kommission (Englisch)
- Mitteilung der Kommission an das Europäische Parlament, den Europäischen Rat, den Rat, den Europäischen Wirtschafts- und Sozialausschuss und den Ausschuss der Regionen zur EU-Strategie für eine Sicherheitsunion, EUR-Lex, Website der Europäischen Union (PDF)
- Strategische Agenda 2019-2024, Tagung des Europäischen Rates – Schlussfolgerungen, Europäischer Rat (PDF)
- Zusätzliche Anstrengungen zur Stärkung der Resilienz und zur Abwehr hybrider Bedrohungen – Schlussfolgerungen des Rates, Rat der Europäischen Union (PDF)
- Neue Cybersicherheitsstrategie der EU und neue Vorschriften zur Erhöhung der Widerstandsfähigkeit kritischer physischer und digitaler Einrichtungen, Pressemitteilung der Europäischen Kommission