DHS und GD CONNECT kündigen Initiative zum Vergleich der Berichterstattung über Cybervorfälle an, um transatlantische Ansätze besser aufeinander abzustimmen

Die Generaldirektion Kommunikation, Netzwerke, Inhalte und Technologie der Europäischen Kommission (DG CONNECT) und das US Department of Homeland Security (DHS) haben heute eine Initiative zum Vergleich von Meldeelementen für Cybervorfälle angekündigt, die die Anforderungen der USA und der Europäischen Union (EU) gemäß der NIS-2-Richtlinie über die Meldung von Cybervorfällen informieren werden. Diese transatlantische Zusammenarbeit zwischen der EU und den USA baut auf ihren Bemühungen auf, ihre Menschen, kritische Infrastrukturen und Unternehmen vor schädlichen Cyberaktivitäten zu schützen. 

Der von der GD CONNECT und DHS erstellte gemeinsame Bericht mit Unterstützung ihrer jeweiligen Cybersicherheitsagenturen, der Europäischen Agentur für Cybersicherheit (ENISA) und der Agentur für Cybersicherheit und Infrastruktursicherheit (CISA) bietet eine vergleichende Bewertung und einen sachlichen Überblick über die Empfehlungen des U.S. Cyber Incident Reporting Council und des DHS-Berichts 2023 über die Harmonisierung der Meldung von Cybervorfällen an die Bundesregierung und die EU- Richtlinie 2022/2555 über Maßnahmen für ein hohes Cybersicherheitsniveau in der gesamten Union (NIS2-Richtlinie). Die Ergebnisse dieses Berichts werden dazu beitragen, den Ansatz der GD CONNECT und des DHS bei der Bewertung von Prozessen zur Meldung von Cybervorfällen in Zukunft zu informieren. In dem Bericht werden sechs Hauptbereiche für eine vergleichende Analyse zwischen dem Bericht des DHS und der EU-Richtlinie genannt, darunter: I) Definitionen und Meldeschwellen, ii) Fristen, Auslöser und Arten der Meldung von Cybervorfällen, iii) Inhalte von Berichten über Cybervorfälle, iv) Berichterstattungsmechanismen, v) Aggregation von Vorfallsdaten und vi) Offenlegung von Informationen über Cybervorfälle. 

Cyber-Vorfälle erkennen keine Grenzen an und multinationale Unternehmen müssen häufig Vorfälle in zahlreichen Rechtsordnungen melden. Wir verpflichten uns, die Vorschriften über die Meldung von Zwischenfällen im Inland und mit gleichgesinnten Partnern wie der Europäischen Union zu harmonisieren, wann immer dies möglich ist. Unser Ansatz wird es den Behörden ermöglichen, die Informationen zu erhalten, die sie für die Cyberabwehr benötigen, während der Prozess für Opferorganisationen gestrafft wird.

sagte Robert Silvers, DHS-Untersekretär für Politik und Vorsitzender des Cyber Incident Reporting Council. 

Im gesamten Atlantik möchten wir zusammenarbeiten, um die einschlägigen Berichtspflichten zu vergleichen, einschließlich der Form oder des Formats der angeforderten Informationen, um nach Möglichkeiten zu suchen, den Verwaltungsaufwand für die meldenden Stellen so gering wie möglich zu halten;

Roberto Viola, Generaldirektor der Europäischen Kommission für Kommunikationsnetze, Inhalte und Technologie 

Diese Initiative – die sich an die Gemeinsame Erklärung von 2024 zwischen dem Minister für Innere Sicherheit Alejandro N. Mayorkas und dem für Binnenmarkt zuständigen EU-Kommissar Thierry Breton anlehnt – markiert den Beginn eines Prozesses zur Angleichung der Berichterstattung über transatlantische Cybervorfälle, wo dies machbar ist. DHS & GD CONNECT laden die Industrie aus den USA und der EU ein, ihre Beiträge und Reaktionen auf unsere gemeinsame Zusammenarbeit und ihren Ansatz bei der Bewertung von Berichtsprozessen für Cybervorfälle zu teilen. 

Dieser Bereich ist von entscheidender Bedeutung, da die zuständigen Behörden Zugang zu Informationen über Cybervorfälle haben müssen, die sich auf ihre Bürger auswirken oder auf andere Weise Sicherheitsbedenken aufwerfen. Darüber hinaus erkennen wir an, dass sowohl die Vereinigten Staaten als auch die Europäische Union in den nächsten Monaten die Arbeit an der Umsetzung verbindlicher Melderegelungen fortsetzen werden, unter anderem durch die Umsetzung genauerer Bestimmungen über das Verfahren für die Meldung von Vorfällen, den Inhalt der Berichte und die Fristen. Es ist wichtig, in diesen Fragen in Verbindung zu bleiben und sich nach Möglichkeit auszurichten.

Lorena Boix Alonso, Direktorin der Europäischen Kommission für Digitale Gesellschaft, Vertrauen und Cybersicherheit

Im Laufe des nächsten Jahres planen unsere Teams, unsere Zusammenarbeit auf einer technischeren Ebene fortzusetzen, unter anderem durch die Kartierung von Elementen wie Taxonomien für Cybersicherheitsvorfälle, Berichtsvorlagen und den Inhalt von Berichten und Formaten. Wir werden einen ausführlichen Crosswalk des von DHS entwickelten Model Reporting Forms gegen den NIS 2 erforderlichen Inhalt der Berichte durchführen, um zu ermitteln, wo Überschneidungen und Unterschiede bei den Arten der angeforderten Daten bestehen. Während wir diese Bemühungen fortsetzen, müssen wir agil bleiben und uns an die sich schnell entwickelnde Cyberbedrohungslandschaft anpassen, da in unserer digitalen Welt lange nichts statisch bleibt.

Iranga Kahangama, stellvertretende Sekretärin des DHS für Cyber, Infrastruktur, Risiko und Resilienz.

Der Cyber Incident Reporting for Critical Infrastructure Act (Circia), der 2022 von Präsident Biden ins Gesetz aufgenommen wurde, hat den Cyber Incident Reporting Council (CIRC) eingerichtet, der von DHS geleitet wird, um „die Anforderungen an die Meldung von Vorfällen zu koordinieren, zu deconflict und zu harmonisieren, einschließlich derjenigen, die durch Verordnungen erlassen wurden.“ Das CIRC, das unter dem Vorsitz von DHS steht und die Vertretung von mehr als 30 Agenturen umfasst, skizzierte eine Reihe von umsetzbaren Empfehlungen, wie die US-Regierung die Berichterstattung über Cybervorfälle rationalisieren und harmonisieren kann, um die kritische Infrastruktur des Landes besser zu schützen. Im Jahr 2023 legte das DHS dem Kongress einen Bericht mit Empfehlungen des Rates mit dem Titel „ Harmonization of Cyber Incident Reporting“ an die Bundesregierung vor.

Im Januar 2023 trat die NIS2-Richtlinie in Kraft, so dass die EU-Mitgliedstaaten 21 Monate Zeit für die Umsetzung in nationales Recht haben. Die NIS2-Richtlinie baut auf den Anforderungen ihrer Vorgängerrichtlinie (EU) 2016/1148 in Bezug auf Maßnahmen für ein hohes gemeinsames Sicherheitsniveau von Netz- und Informationssystemen in der gesamten Union (NIS-Richtlinie) auf, die seit 2016 in Kraft sind, aber sie erhöht das gemeinsame Ziel der EU in Bezug auf Cybersicherheit durch einen breiteren Anwendungsbereich, klarere Vorschriften und stärkere Überwachungsinstrumente. Die NIS2-Richtlinie harmonisiert, stärkt und strafft die Anforderungen an die Meldung von Sicherheits- und Vorfällen für eine größere Anzahl von Einrichtungen, die für die europäische Wirtschaft und Gesellschaft von entscheidender Bedeutung sind.