Wie wird die Cybersicherheit in Europa verbessert?

22.03.2022

Welche Initiativen gibt es eigentlich auf europäischer Ebene, um der wachsenden Cyber-Bedrohungslage zu begegnen und was sind die Ziele dieser Initiativen?

In erster Linie geht es hier natürlich um den Schutz der kritischen Infrastruktur und der Aufrechterhaltung der Wettbewerbsfähigkeit des europäischen Marktes.  Es gibt hier mehrere Vorhaben, welche die Resilienz gegenüber Cyberangriffen erhöhen sollen. Wenn auch viele dieser Maßnahmen für als kritisch eingestufte Sektoren vorgesehen sind, können einige Überlegungen auch von anderen Unternehmen in Erwägung gezogen werden.

Aktuell gibt es auf Europäischer Ebene folgende Einrichtungen und Initiativen zu dieser Thematik – wir versuchen, die unserer Ansicht nach relevantesten etwas genauer unter die Lupe zu nehmen:

EU-Agentur für Cybersicherheit (ENISA)

Die EU-Agentur für Cybersicherheit folgt seit 2019 ihrer Vorgängerin (Agentur der Europäischen Union für Netz- und Informationssicherheit) nach, hat jedoch nun eine deutlich gestärkte Rolle.

Die Aufgabenbereiche sind vielfältig, sie unterstützt bei der Vorbereitung auf und Vermeidung von Cyberangriffen auf europäischer Ebene und publiziert eine Vielzahl von Artikeln und Guidelines.

Die Agentur ist ein sehr informativer Anlaufpunkt für Informationen auf europäischer Ebene und durch die Kooperation mit den nationalen CSIRTs (Computer Security Incident Response Team) ein Knotenpunkt an dem viele Informationen zusammen laufen.

Für mehr Informationen empfehlen wir die Website der ENISA:
https://www.enisa.europa.eu/

Gemeinsame Cyber-Einheit

Viele Nationen in der EU haben bereits entsprechende Einrichtungen, die sich mit Cyber-Kriminalität und Cyber-Sicherheit beschäftigen und diese Aufgaben auf nationaler Ebene wahrnehmen. Die Einrichtungen sind zwar organisatorisch unabhängig, aber die Bedrohungen, denen sie gegenüber stehen, sind häufig dieselben. Cyber-Angriffe beschränken sich in den wenigsten Fällen auf eine Nation, es sei den sie sind politisch motiviert.

Die Gemeinsame Cyber-Einheit soll eine Plattform schaffen, welche die Koordination,  Erfahrungs- und Informationsaustausch und gemeinsame Warninstrumente ermöglichen soll.

Konkret vorgeschlagen wurde die Einheit 2021, soll aber im Rahmen eines sehr motivierten Zeitplans Mitte 2022 bereits seine Arbeit aufnehmen und ab Mitte 2023 voll funktionsfähig sein – in letzter Zeit ist es allerdings verdächtig ruhig zu diesem Thema geworden.

Dass eine solche Einheit, die auf Cyber-Sicherheitsvorfälle und Cyber-Krisen koordiniert auf europäischer Ebene agieren kann, notwendig ist, dürfte außer Frage stehen.

Cyber Resilience Act

Diese Initiative soll die Hersteller von IT-Produkten und -Services in die Pflicht nehmen auf die Cyber-Sicherheit Ihrer Produkte zu achten. In einer vernetzten Welt von heute sollte es eine Selbstverständlichkeit sein, dass auch die Hersteller von Soft- und Hardware bei der Entwicklung Ihrer Produkte auf Sicherheit achten – leider führen Zeit- und Kostendruck oft dazu, dass dieser Punkt in der Entwicklung nicht erste Priorität erhält.

Ziele dieser Initiative sind:

  • gleichbleibend hohes Cybersicherheitsniveau für digitale Produkte und Nebendienstleistungen in Europa
  • Nutzerinnen und Nutzer sollen in die Lage versetzt werden, die Sicherheitseigenschaften solcher Produkte auf ihre Bedürfnisse abzustimmen
  • gleiche Wettbewerbsbedingungen für Anbieter digitaler Produkte und Nebendienstleistungen
Ziele Cyber Resilience Act

Abbildung: Ziele des Cyber Resilience Acts

Zu dieser Initiative läuft noch bis zum 25. Mai 2022 eine Aufforderung zur Stellungnahme der Europäischen Kommission – Ziel der Konsultation ist es, die Ansichten verschiedener Interessenträger einzuholen.

Hier ist noch nicht abzusehen, welche Maßnahmen daraus folgen werden. Ein „Gütesiegel“ für Software und digitale Produkte wird schwer umsetzbar sein – allzu strenge Haftungsbestimmungen könnten eine Innovationsbremse sein.

Wir sind jedenfalls gespannt auf die Entwicklungen im Rahmen dieser Gesetzesinitiative.

Richtlinie über Maßnahmen für ein
hohes gemeinsames Cybersicherheitsniveau in der Union
(kurz: „überarbeitete NIS-Richtlinie“ oder „NIS 2“)

Wie der Name schon sagt, soll diese Richtlinie die NIS-Richtlinie 2016/1148 ersetzen und die darin enthaltenen Vorschriften decken eine Vielzahl von Bereichen ab und haben das Ziel, Risiken online und offline, von der Cyberattacke bis zur Naturkatastrophen, zu reduzieren.

Dies soll mit folgenden Maßnahmen erreicht werden:

  • höhere Sicherheitsanforderungen an Unternehmen, die der kritischen Infrastruktur angehören
  • Sicherheit der Lieferketten
  • Vereinfachung der Berichterstattungspflichten
  • Aufsichtsmaßnahmen und Durchsetzungsanforderungen durch die nationalen Behörden
Ziele NIS 2 Richtlinie

Abbildung: Ziele der NIS 2 Richtlinie

Während man bisher bei kritischer Infrastruktur hauptsächlich von den klassischen Sektoren Verkehr, Banken, Gesundheit und Energie gesprochen hat, zielt NIS darauf ab, diese als kritisch definierten Bereiche auszuweiten. Das wird dazu führen, dass weitaus mehr Unternehmen nun von der Richtlinie erfasst sein werden, was als positiv zu werten ist.

Die Berücksichtigung von Lieferketten und Abhängigkeiten in diesem Zusammenhang stellt sich in der heutigen vernetzten Welt als Notwendigkeit dar. Kaum ein Unternehmen kann es sich leisten, von unsicheren Partnern in der Lieferkette abhängig zu sein – insofern ist die Einhaltung gewisser Mindeststandards in der IT-Sicherheit jedenfalls eine Notwendigkeit, die manchmal unbequem sein mag, allerdings der langfristen Gesundheit der Wirtschaftsbeziehungen zuträglich ist und aufgrund der vielen unterschiedlichen Cyberbedrohungen nicht ignoriert werden kann.

Manche Unternehmen machen es bereit vor und erwarten in Ihren Geschäftsbeziehungen mit Lieferanten bereits entsprechende umgesetzte Sicherheitsvorkehrungen.

FAZIT

Wir sind im Rahmen unserer Recherchen noch auf zahlreiche andere Informationsquellen und Initiativen im europäischen Kontext gestoßen – wie leider so oft im Zusammenhang mit öffentlichen Institutionen ist es ein Dschungel bestehend aus Informationen, welche durchaus werthaltig sind, allerdings kaum in strukturierter und verwertbarer Form vorliegen.

Grundsätzlich sind wir Initiativen, welche die Cyber-Resilienz von Unternehmen stärken sollen, positiv gegenüber eingestellt – nicht zuletzt, da diese Initiativen auch zu einer Stabilisierung des Versicherungsmarktes beitragen können, wenn Sie erfolgreich und wirksam umgesetzt werden.

Denn trotz aller Initiativen müssen wir uns darüber im klaren sein, dass Cyber-Bedrohungen und -Krisen zukünftig nicht mehr aus dem Alltag verschwinden werden. Es muss allerdings das Ziel sein, dass man zumindest den meisten dieser Angriffe relativ gelassen entgegen sehen kann.


« zurück zur News-Übericht