Neue EU-Cybersicherheitsstrategie und neue Regeln, um physische und digitale kritische Einheiten widerstandsfähiger zu machen

Heute (16. Dezember) präsentieren die Kommission und der Hohe Vertreter der Union für Außen- und Sicherheitspolitik eine neue EU-Strategie für Cybersicherheit. Als Schlüsselkomponente für die Gestaltung der digitalen Zukunft Europas, des Wiederauffüllungsplans für Europa und der Strategie der EU-Sicherheitsunion wird die Strategie die kollektive Widerstandsfähigkeit Europas gegen Cyber-Bedrohungen stärken und dazu beitragen, dass alle Bürger und Unternehmen in vollem Umfang von vertrauenswürdigen und zuverlässigen Diensten profitieren können digitale Werkzeuge. Unabhängig davon, ob es sich um angeschlossene Geräte, das Stromnetz oder die Banken, Flugzeuge, öffentlichen Verwaltungen und Krankenhäuser handelt, die Europäer nutzen oder häufig nutzen, verdienen sie dies mit der Gewissheit, dass sie vor Cyber-Bedrohungen geschützt sind.

Die neue Cybersicherheitsstrategie ermöglicht es der EU auch, die Führung bei internationalen Normen und Standards im Cyberspace zu verstärken und die Zusammenarbeit mit Partnern auf der ganzen Welt zu stärken, um einen globalen, offenen, stabilen und sicheren Cyberspace zu fördern, der auf Rechtsstaatlichkeit und Menschenrechten beruht Grundfreiheiten und demokratische Werte. Darüber hinaus unterbreitet die Kommission Vorschläge zur Bekämpfung der Cyber- und physischen Resilienz kritischer Einheiten und Netzwerke: eine Richtlinie über Maßnahmen für ein hohes gemeinsames Maß an Cybersicherheit in der gesamten Union (überarbeitete NIS-Richtlinie oder „NIS 2“) und eine neue Richtlinie über die Belastbarkeit kritischer Einheiten.

Sie decken ein breites Spektrum von Sektoren ab und zielen darauf ab, aktuelle und zukünftige Online- und Offline-Risiken, von Cyberangriffen bis hin zu Kriminalität oder Naturkatastrophen, auf kohärente und komplementäre Weise anzugehen. Vertrauen und Sicherheit im Zentrum des digitalen Jahrzehnts der EU Die neue Cybersicherheitsstrategie zielt darauf ab, ein globales und offenes Internet zu schützen und gleichzeitig Schutzmaßnahmen zu bieten, nicht nur um die Sicherheit zu gewährleisten, sondern auch um die europäischen Werte und die Grundrechte aller zu schützen.

Aufbauend auf den Errungenschaften der letzten Monate und Jahre enthält es konkrete Vorschläge für Regulierungs-, Investitions- und politische Initiativen in drei Bereichen der EU-Maßnahmen: 1. Resilienz, technologische Souveränität und Führung
Im Rahmen dieser Maßnahme schlägt die Kommission vor, die Vorschriften über die Sicherheit von Netz- und Informationssystemen im Rahmen einer Richtlinie über Maßnahmen für ein hohes gemeinsames Maß an Cybersicherheit in der gesamten Union (überarbeitete NIS-Richtlinie oder „NIS 2“) zu reformieren, um sie zu erhöhen Das Ausmaß der Cyber-Resilienz kritischer öffentlicher und privater Sektoren: Krankenhäuser, Energienetze, Eisenbahnen, aber auch Rechenzentren, öffentliche Verwaltungen, Forschungslabors und die Herstellung kritischer medizinischer Geräte und Medikamente sowie anderer kritischer Infrastrukturen und Dienstleistungen müssen undurchlässig bleiben in einer zunehmend schnelllebigen und komplexen Bedrohungsumgebung. Die Kommission schlägt außerdem vor, ein Netzwerk von Sicherheitsoperationszentren in der gesamten EU einzurichten, die auf künstlicher Intelligenz (KI) basieren und einen echten „Cybersicherheitsschutz“ für die EU darstellen, der Anzeichen eines Cyberangriffs früh genug erkennen und proaktive Maßnahmen ermöglichen kann Aktion, bevor Schaden auftritt. Weitere Maßnahmen umfassen die gezielte Unterstützung kleiner und mittlerer Unternehmen (KMU) im Rahmen der Digital Innovation Hubs sowie verstärkte Anstrengungen zur Qualifizierung der Belegschaft, zur Gewinnung und Bindung der besten Talente für Cybersicherheit sowie zur Investition in Forschung und Innovation, die offen sind. wettbewerbsfähig und auf Exzellenz basiert.
2. Aufbau von Betriebskapazitäten zur Verhinderung, Abschreckung und Reaktion
Die Kommission bereitet in einem fortschrittlichen und integrativen Prozess mit den Mitgliedstaaten eine neue gemeinsame Cyber-Einheit vor, um die Zusammenarbeit zwischen EU-Gremien und Behörden der Mitgliedstaaten zu stärken, die für die Verhütung, Abschreckung und Reaktion auf Cyber-Angriffe verantwortlich sind, einschließlich ziviler Strafverfolgungsbehörden. diplomatische und Cyber-Verteidigungsgemeinschaften. Der Hohe Vertreter unterbreitet Vorschläge zur Stärkung der EU-Toolbox für Cyberdiplomatie, um böswillige Cyberaktivitäten, insbesondere solche, die unsere kritische Infrastruktur, Lieferketten, demokratischen Institutionen und Prozesse betreffen, zu verhindern, zu entmutigen, abzuschrecken und wirksam zu bekämpfen. Die EU wird auch darauf abzielen, die Zusammenarbeit im Bereich der Cyber-Verteidigung weiter zu verbessern und hochmoderne Cyber-Verteidigungsfähigkeiten zu entwickeln, die auf der Arbeit der Europäischen Verteidigungsagentur aufbauen und die Mitgliedstaaten ermutigen, die ständige strukturierte Zusammenarbeit und die europäische Verteidigung in vollem Umfang zu nutzen Fonds.
3. Förderung eines globalen und offenen Cyberspace durch verstärkte Zusammenarbeit
Die EU wird die Zusammenarbeit mit internationalen Partnern intensivieren, um die regelbasierte Weltordnung zu stärken, die internationale Sicherheit und Stabilität im Cyberspace zu fördern und die Menschenrechte und Grundfreiheiten online zu schützen. Sie wird internationale Normen und Standards, die diese EU-Grundwerte widerspiegeln, durch die Zusammenarbeit mit ihren internationalen Partnern in den Vereinten Nationen und anderen relevanten Foren vorantreiben. Die EU wird ihre EU-Toolbox für Cyberdiplomatie weiter stärken und die Bemühungen zum Aufbau von Cyberkapazitäten in Drittländern durch die Entwicklung einer EU-Agenda zum Aufbau externer Cyberkapazitäten verstärken. Der Cyber-Dialog mit Drittländern, regionalen und internationalen Organisationen sowie der Multistakeholder-Community wird intensiviert.

Die EU wird auch ein EU-Netzwerk für Cyberdiplomatie auf der ganzen Welt bilden, um ihre Vision vom Cyberspace zu fördern. Die EU hat sich verpflichtet, die neue Cybersicherheitsstrategie mit einem beispiellosen Maß an Investitionen in den digitalen Übergang der EU in den nächsten sieben Jahren durch den nächsten langfristigen EU-Haushalt, insbesondere das Digital Europe-Programm und Horizon Europe, sowie die Erholung zu unterstützen Plan für Europa. Die Mitgliedstaaten werden daher aufgefordert, die EU-Fazilität für Wiederaufbau und Widerstandsfähigkeit in vollem Umfang zu nutzen, um die Cybersicherheit zu verbessern und Investitionen auf EU-Ebene anzupassen.

Ziel ist es, kombinierte Investitionen der EU, der Mitgliedstaaten und der Industrie in Höhe von bis zu 4.5 Mrd. EUR zu erzielen, insbesondere im Rahmen des Kompetenzzentrums für Cybersicherheit und des Netzwerks von Koordinierungszentren, und sicherzustellen, dass ein Großteil an KMU gelangt. Die Kommission zielt auch darauf ab, die industriellen und technologischen Kapazitäten der EU im Bereich der Cybersicherheit zu stärken, unter anderem durch Projekte, die gemeinsam aus EU- und nationalen Haushalten unterstützt werden. Die EU hat die einmalige Gelegenheit, ihre Vermögenswerte zu bündeln, um ihre strategische Autonomie zu stärken und ihre Führungsposition im Bereich Cybersicherheit in der gesamten digitalen Lieferkette (einschließlich Daten und Cloud, Prozessortechnologien der nächsten Generation, hochsichere Konnektivität und 6G-Netze) entsprechend ihrer Werte und Prioritäten.

Cyber- und physische Belastbarkeit von Netzwerken, Informationssystemen und kritischen Einheiten Bestehende Maßnahmen auf EU-Ebene zum Schutz der wichtigsten Dienste und Infrastrukturen vor Cyber- und physischen Risiken müssen aktualisiert werden. Die Cybersicherheitsrisiken entwickeln sich mit zunehmender Digitalisierung und Vernetzung weiter. Seit der Verabschiedung der EU-Vorschriften für kritische Infrastrukturen von 2008, die derzeit nur den Energie- und Verkehrssektor abdecken, sind auch die physischen Risiken komplexer geworden. Die Überarbeitungen zielen darauf ab, die Regeln gemäß der Logik der Strategie der EU-Sicherheitsunion zu aktualisieren, die falsche Zweiteilung zwischen Online und Offline zu überwinden und den Silo-Ansatz zu brechen.

Werbung

Um auf die wachsenden Bedrohungen durch Digitalisierung und Vernetzung zu reagieren, wird der Richtlinienvorschlag über Maßnahmen für ein hohes gemeinsames Maß an Cybersicherheit in der gesamten Union (überarbeitete NIS-Richtlinie oder „NIS 2“) mittlere und große Unternehmen aus mehr Sektoren abdecken, basierend auf ihrer Kritikalität für die Wirtschaft und Gesellschaft. NIS 2 stärkt die Sicherheitsanforderungen an die Unternehmen, befasst sich mit der Sicherheit von Lieferketten und Lieferantenbeziehungen, rationalisiert die Berichtspflichten, führt strengere Aufsichtsmaßnahmen für nationale Behörden ein, verschärft die Durchsetzungsanforderungen und zielt auf die Harmonisierung der Sanktionsregelungen in den Mitgliedstaaten ab. Der NIS 2-Vorschlag wird dazu beitragen, den Informationsaustausch und die Zusammenarbeit beim Management von Cyberkrisen auf nationaler und EU-Ebene zu verbessern. Die vorgeschlagene CER-Richtlinie (Critical Entities Resilience) erweitert sowohl den Geltungsbereich als auch die Tiefe der europäischen Richtlinie über kritische Infrastrukturen von 2008. Mittlerweile werden zehn Sektoren abgedeckt: Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheit, Trinkwasser, Abwasser, digitale Infrastruktur, öffentliche Verwaltung und Raumfahrt. Nach dem Richtlinienvorschlag würden die Mitgliedstaaten jeweils eine nationale Strategie zur Gewährleistung der Widerstandsfähigkeit kritischer Unternehmen verabschieden und regelmäßige Risikobewertungen durchführen. Diese Bewertungen würden auch dazu beitragen, eine kleinere Untergruppe kritischer Unternehmen zu identifizieren, die Verpflichtungen unterliegen würden, um ihre Widerstandsfähigkeit gegenüber Nicht-Cyber-Risiken zu verbessern, einschließlich Risikobewertungen auf Unternehmensebene, Ergreifen technischer und organisatorischer Maßnahmen und Benachrichtigung über Vorfälle.

Die Kommission würde ihrerseits die Mitgliedstaaten und kritischen Stellen ergänzend unterstützen, indem sie beispielsweise einen Überblick auf Unionsebene über grenzüberschreitende und sektorübergreifende Risiken, bewährte Verfahren, Methoden, grenzüberschreitende Schulungsaktivitäten und zu testende Übungen erstellt die Widerstandsfähigkeit kritischer Einheiten. Sicherung der nächsten Netzgeneration: 5G und darüber hinaus Im Rahmen der neuen Cybersicherheitsstrategie werden die Mitgliedstaaten mit Unterstützung der Kommission und der Europäischen Cybersicherheitsagentur ENISA aufgefordert, die Umsetzung der EU-5G-Toolbox, eines umfassenden und objektiven Risikos, abzuschließen -basierter Ansatz für die Sicherheit von 5G und zukünftigen Generationen von Netzwerken.

Laut einem heute veröffentlichten Bericht über die Auswirkungen der Empfehlung der Kommission auf die Cybersicherheit von 5G-Netzen und die Fortschritte bei der Umsetzung der EU-Toolbox zur Minderung von Maßnahmen sind die meisten Mitgliedstaaten seit dem Fortschrittsbericht vom Juli 2020 bereits auf einem guten Weg zur Umsetzung die empfohlenen Maßnahmen. Sie sollten nun darauf abzielen, ihre Umsetzung bis zum zweiten Quartal 2021 abzuschließen und sicherzustellen, dass identifizierte Risiken auf koordinierte Weise angemessen gemindert werden, insbesondere um das Risiko von Lieferanten mit hohem Risiko zu minimieren und die Abhängigkeit von diesen Lieferanten zu vermeiden. Die Kommission legt heute auch die wichtigsten Ziele und Maßnahmen fest, die darauf abzielen, die koordinierte Arbeit auf EU-Ebene fortzusetzen.

Margrethe Vestager, Executive Vice President für ein für das digitale Zeitalter geeignetes Europa, sagte: "Europa engagiert sich für die digitale Transformation unserer Gesellschaft und Wirtschaft. Deshalb müssen wir sie mit beispiellosen Investitionen unterstützen. Die digitale Transformation beschleunigt sich, kann aber nur erfolgreich sein." wenn Menschen und Unternehmen darauf vertrauen können, dass die verbundenen Produkte und Dienstleistungen, auf die sie sich verlassen, sicher sind. "

Der Hohe Vertreter Josep Borrell sagte: "Internationale Sicherheit und Stabilität hängen mehr denn je von einem globalen, offenen, stabilen und sicheren Cyberspace ab, in dem Rechtsstaatlichkeit, Menschenrechte, Freiheiten und Demokratie respektiert werden. Mit der heutigen Strategie verstärkt die EU den Schutz Regierungen, Bürger und Unternehmen vor globalen Cyber-Bedrohungen und um eine Führungsrolle im Cyberspace zu übernehmen, um sicherzustellen, dass jeder die Vorteile des Internets und des Einsatzes von Technologien nutzen kann. "

Margaritis Schinas, Vizepräsidentin für europäische Lebensweise, sagte: "Cybersicherheit ist ein zentraler Bestandteil der Sicherheitsunion. Es gibt keinen Unterschied mehr zwischen Online- und Offline-Bedrohungen. Digital und physisch sind jetzt untrennbar miteinander verbunden. Die heutigen Maßnahmen zeigen, dass die Die EU ist bereit, alle ihre Ressourcen und ihr Fachwissen einzusetzen, um sich auf physische und Cyber-Bedrohungen vorzubereiten und auf diese mit gleichem Maß an Entschlossenheit zu reagieren. "

Der für den Binnenmarkt zuständige Kommissar Thierry Breton sagte: "Cyber-Bedrohungen entwickeln sich schnell, werden immer komplexer und anpassungsfähiger. Um sicherzustellen, dass unsere Bürger und Infrastrukturen geschützt sind, müssen wir einige Schritte vorausdenken. Europas widerstandsfähiger und autonomer Cybersecurity Shield bedeutet, dass wir unsere nutzen können." Fachwissen und Wissen, um schneller zu erkennen und zu reagieren, potenzielle Schäden zu begrenzen und unsere Widerstandsfähigkeit zu erhöhen. In Cybersicherheit zu investieren bedeutet, in die gesunde Zukunft unserer Online-Umgebungen und in unsere strategische Autonomie zu investieren. "

Die für Inneres zuständige Kommissarin Ylva Johansson sagte: "Unsere Krankenhäuser, Abwassersysteme oder Verkehrsinfrastrukturen sind nur so stark wie ihre schwächsten Glieder. Störungen in einem Teil der Union können die Bereitstellung wesentlicher Dienstleistungen an anderer Stelle beeinträchtigen. Um ein reibungsloses Funktionieren der internen zu gewährleisten." Markt und die Lebensgrundlage der in Europa lebenden Menschen, unsere Schlüsselinfrastruktur muss widerstandsfähig gegen Risiken wie Naturkatastrophen, Terroranschläge, Unfälle und Pandemien sein, wie wir sie heute erleben. Mein Vorschlag zur kritischen Infrastruktur macht genau das. "

Nächste Schritte

Die Europäische Kommission und der Hohe Vertreter verpflichten sich, die neue Cybersicherheitsstrategie in den kommenden Monaten umzusetzen. Sie werden regelmäßig über die erzielten Fortschritte berichten und das Europäische Parlament, den Rat der Europäischen Union und die Interessengruppen umfassend informieren und an allen relevanten Maßnahmen beteiligen. Es ist nun Sache des Europäischen Parlaments und des Rates, die vorgeschlagene NIS-2-Richtlinie und die Resilienzrichtlinie für kritische Stellen zu prüfen und anzunehmen. Sobald die Vorschläge vereinbart und folglich angenommen sind, müssten die Mitgliedstaaten sie innerhalb von 18 Monaten nach ihrem Inkrafttreten umsetzen.

Die Kommission wird die NIS-2-Richtlinie und die Resilienzrichtlinie für kritische Stellen regelmäßig überprüfen und über ihre Funktionsweise Bericht erstatten. Hintergrund Cybersicherheit ist eine der obersten Prioritäten der Kommission und ein Eckpfeiler des digitalen und vernetzten Europas. Eine Zunahme von Cyber-Angriffen während der Coronavirus-Krise hat gezeigt, wie wichtig es ist, Krankenhäuser, Forschungszentren und andere Infrastrukturen zu schützen. Um die Wirtschaft und Gesellschaft der EU zukunftssicher zu machen, sind starke Maßnahmen in diesem Bereich erforderlich. Die neue Cybersicherheitsstrategie sieht vor, die Cybersicherheit in jedes Element der Lieferkette zu integrieren und die Aktivitäten und Ressourcen der EU in den vier Gemeinschaften der Cybersicherheit - Binnenmarkt, Strafverfolgung, Diplomatie und Verteidigung - weiter zusammenzuführen.

Es baut auf der Gestaltung der digitalen Zukunft Europas durch die EU und der Strategie der EU-Sicherheitsunion auf und stützt sich auf eine Reihe von Rechtsakten, Maßnahmen und Initiativen, die die EU umgesetzt hat, um die Cybersicherheitskapazitäten zu stärken und ein Cyber-widerstandsfähigeres Europa zu gewährleisten. Dies umfasst die Cybersicherheitsstrategie von 2013, die 2017 überprüft wurde, und die Europäische Sicherheitsagenda der Kommission für den Zeitraum 2015-2020. Sie erkennt auch die zunehmende Verbindung zwischen innerer und äußerer Sicherheit an, insbesondere durch die Gemeinsame Außen- und Sicherheitspolitik. Das erste EU-weite Gesetz zur Cybersicherheit, die NIS-Richtlinie, die 2016 in Kraft trat, trug dazu bei, ein gemeinsames hohes Sicherheitsniveau für Netzwerk- und Informationssysteme in der gesamten EU zu erreichen. Im Rahmen ihres wichtigsten politischen Ziels, Europa für das digitale Zeitalter fit zu machen, kündigte die Kommission im Februar dieses Jahres die Überarbeitung der NIS-Richtlinie an.

Das seit 2019 geltende EU-Gesetz zur Cybersicherheit hat Europa mit einem Rahmen für die Zertifizierung von Produkten, Dienstleistungen und Prozessen im Bereich Cybersicherheit ausgestattet und das Mandat der EU-Agentur für Cybersicherheit (ENISA) gestärkt. In Bezug auf die Cybersicherheit von 5G-Netzen haben die Mitgliedstaaten mit Unterstützung der Kommission und der ENISA mit der im Januar 5 verabschiedeten EU-2020G-Toolbox einen umfassenden und objektiven risikobasierten Ansatz festgelegt. Die Überprüfung der Empfehlung der Kommission vom März 2019 zur Cybersicherheit von 5G-Netzen ergab, dass die meisten Mitgliedstaaten Fortschritte bei der Umsetzung der Toolbox erzielt haben. Ausgehend von der EU-Cybersicherheitsstrategie 2013 hat die EU eine kohärente und ganzheitliche internationale Cyberpolitik entwickelt.

In Zusammenarbeit mit ihren Partnern auf bilateraler, regionaler und internationaler Ebene hat die EU einen globalen, offenen, stabilen und sicheren Cyberspace gefördert, der sich an den Grundwerten der EU orientiert und auf Rechtsstaatlichkeit beruht. Die EU hat Drittländer bei der Verbesserung ihrer Cyber-Resilienz und ihrer Fähigkeit zur Bekämpfung von Cyberkriminalität unterstützt und ihre EU-Toolbox für Cyberdiplomatie 2017 genutzt, um einen weiteren Beitrag zur internationalen Sicherheit und Stabilität im Cyberspace zu leisten, unter anderem durch die erstmalige Anwendung ihres Cyber-Sanktionsregimes 2019 und Auflistung von 8 Personen und 4 Einheiten und Körperschaften. Die EU hat auch bei der Zusammenarbeit im Bereich der Cyber-Verteidigung erhebliche Fortschritte erzielt, unter anderem in Bezug auf die Fähigkeiten zur Cyber-Verteidigung, insbesondere im Rahmen ihres Rahmens für die Cyber-Verteidigungspolitik (CDPF) sowie im Rahmen der ständigen strukturierten Zusammenarbeit (PESCO) und der Arbeit der Europäischen Verteidigungsagentur. Cybersicherheit ist eine Priorität, die sich auch im nächsten langfristigen EU-Haushalt (2021-2027) widerspiegelt.

Im Rahmen des Digital Europe-Programms wird die EU Cybersicherheitsforschung, Innovation und Infrastruktur, Cyber-Verteidigung und die Cybersicherheitsbranche der EU unterstützen. Darüber hinaus werden in seiner Reaktion auf die Coronavirus-Krise, in der während der Sperrung vermehrt Cyberangriffe stattfanden, im Rahmen des Wiederherstellungsplans für Europa zusätzliche Investitionen in die Cybersicherheit sichergestellt. Die EU hat seit langem die Notwendigkeit erkannt, die Widerstandsfähigkeit kritischer Infrastrukturen sicherzustellen, die Dienstleistungen erbringen, die für das reibungslose Funktionieren des Binnenmarkts sowie für das Leben und den Lebensunterhalt der europäischen Bürger von wesentlicher Bedeutung sind. Aus diesem Grund hat die EU 2006 das Europäische Programm zum Schutz kritischer Infrastrukturen (EPCIP) eingerichtet und 2008 die Europäische Richtlinie über kritische Infrastrukturen (ECI) verabschiedet, die für den Energie- und Verkehrssektor gilt. Diese Maßnahmen wurden in späteren Jahren durch verschiedene sektorale und sektorübergreifende Maßnahmen zu bestimmten Aspekten wie Klimaschutz, Katastrophenschutz oder ausländischen Direktinvestitionen ergänzt.

Teile diesen Artikel: