Cybersicherheitspolitik

Neue Strategie

Die Europäische Kommission und die Hohe Vertreterin der Union für Außen- und Sicherheitspolitik legten Ende 2020 eine neue Cybersicherheitsstrategie der EU vor.

Die Strategie umfasst die Sicherheit wesentlicher Dienstleistungen wie Krankenhäuser, Energienetze und Eisenbahnen. Es deckt auch die Sicherheit der ständig wachsenden Anzahl verbundener Objekte in unseren Häusern, Büros und Fabriken ab.

Die Strategie konzentriert sich auf den Aufbau kollektiver Fähigkeiten zur Reaktion auf große Cyberangriffe und die Zusammenarbeit mit Partnern auf der ganzen Welt, um internationale Sicherheit und Stabilität im Cyberspace zu gewährleisten. Darin wird dargelegt, wie eine gemeinsame Cyber-Einheit die wirksamste Reaktion auf Cyberbedrohungen gewährleisten kann, indem sie die kollektiven Ressourcen und das Fachwissen nutzt, die der EU und den Mitgliedstaaten zur Verfügung stehen.

Gesetzgebung und Zertifizierung

Richtlinie über die Sicherheit von Netz- und Informationssystemen (NIS-Richtlinie)

Cybersicherheitsbedrohungen sind fast immer grenzüberschreitend, und ein Cyberangriff auf die kritischen Einrichtungen eines Landes kann die EU als Ganzes betreffen. Die EU-Länder müssen über starke staatliche Stellen verfügen, die die Cybersicherheit in ihrem Land überwachen und mit ihren Amtskollegen in anderen Mitgliedstaaten zusammenarbeiten, indem sie Informationen austauschen. Dies ist besonders wichtig für Sektoren, die für unsere Gesellschaften von entscheidender Bedeutung sind.

Die NIS-Richtlinie, die nun alle Länder umgesetzt haben, gewährleistet die Schaffung und Zusammenarbeit solcher Regierungsstellen. Diese Richtlinie wurde Ende 2020 überarbeitet.

Infolge des Überprüfungsprozesses legte die Kommission am 16. Dezember 2020 den Vorschlag für eine Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveauin der gesamten Union (NIS2-Richtlinie) vor.

ENISA – EU-Agentur für Cybersicherheit

ENISA („Agentur der Europäischen Union für Netz- und Informationssicherheit“) ist die EU-Agentur für Cybersicherheit. Sie unterstützt Mitgliedstaaten, EU-Institutionen und Unternehmen in Schlüsselbereichen, einschließlich der Umsetzung der NIS-Richtlinie.

Cybersicherheitsgesetz

Das Cybersicherheitsgesetz stärkt die Rolle der ENISA. Die Agentur verfügt nun über ein ständiges Mandat und ist befugt, zur Intensivierung der operativen Zusammenarbeit und des Krisenmanagements in der gesamten EU beizutragen. Es verfügt auch über mehr finanzielle und personelle Ressourcen als zuvor.

Zertifizierung

Unser digitales Leben kann nur dann gut funktionieren, wenn allgemeines Vertrauen in die Cybersicherheit von IT-Produkten und -Diensten besteht. Es ist wichtig, dass wir sehen können, dass ein Produkt überprüft und zertifiziert wurde, um hohen Cybersicherheitsstandards zu entsprechen. Derzeit gibt es in der EU verschiedene Sicherheitszertifizierungssysteme für IT-Produkte. Ein einheitliches Zertifizierungssystem wäre für alle einfacher und klarer.

Die Kommission arbeitet daher an einem EU-weiten Zertifizierungsrahmen, in dessen Mittelpunkt die ENISA steht. Das Cybersicherheitsgesetz beschreibt den Prozess zur Verwirklichung dieses Rahmens.

Investitionen

Wiederherstellungsplan

Cybersicherheit ist eine der Prioritäten der Kommission bei ihrer Reaktion auf die Coronavirus-Krise, da es während des Lockdowns zu vermehrten Cyberangriffen kam. Der Aufbauplan für Europa umfasst zusätzliche Investitionen in die Cybersicherheit.

Förderung von Forschung und Innovation: Horizont 2020 und cPPP; Horizont Europa

Die Erforschung digitaler Sicherheit ist unerlässlich, um innovative Lösungen zu entwickeln, die uns vor den neuesten, fortschrittlichsten Cyberbedrohungen schützen können. Deshalb ist die Cybersicherheit ein wichtiger Teil von Horizont 2020 und dessen Nachfolger Horizont Europa. 

Im Rahmen von „Horizont Europa“ ist Cybersicherheit für den Zeitraum 2021-2027 Teil des Clusters „Civil Security for Society“. Das Arbeitsprogramm 2021-2022 befindet sich derzeit in Vorbereitung.

Im Rahmen von Horizont 2020 kofinanzierte die Kommission Forschung und Innovation zu Themen wie Cybersicherheitsvorsorge durch Cyber-Bereiche und -Simulation, Cybersicherheit für kleine und mittlere Unternehmen, Cybersicherheit im Strom- und Energiesystem sowie Cybersicherheit und Datenschutz in kritischen Sektoren. Diese Themen fallen unter das Cluster „Sichere Gesellschaften – Schutz der Freiheit und Sicherheit Europas und seiner Bürger“.

Im Jahr 2016 wurde zwischen der Europäischen Kommission und der Europäischen Organisation für Cybersicherheit (ECSO) die vertragliche öffentlich-private Partnerschaft „Horizont 2020“ (cPPP) zur Cybersicherheit gegründet, einem Verband, der sich aus Mitgliedern der Cyber-Industrie, der Wissenschaft, der öffentlichen Verwaltungen und mehr zusammensetzt.

Unterstützung von Cyber-Kapazitäten und -Einsatz

Unsere physischen und digitalen Infrastrukturen sind eng miteinander verflochten. Daher hat die Kommission im Rahmen ihres Finanzierungsprogramms für Infrastrukturinvestitionen, der Fazilität „Connecting Europe“ (CEF) für den Zeitraum 2014-2020, auch in die Cybersicherheit investiert.

Die CEF-Unterstützung ging an Computersicherheitsteams, Betreiber wesentlicher Dienste (OES), Anbieter digitaler Dienste (DSP), zentrale Anlaufstellen (SPOC) und nationale zuständige Behörden (NCAs). Dadurch werden die Cybersicherheitskapazitäten und die grenzüberschreitende Zusammenarbeit innerhalb der EU gestärkt und die Umsetzung der Cybersicherheitsstrategie der EU unterstützt.

Das Programm „Digitales Europa“ für den Zeitraum 2021-2027 ist ein ehrgeiziges Programm, mit dem 1,9 Mrd. EUR in Cybersicherheitskapazitäten und den breiten Einsatz von Cybersicherheitsinfrastrukturen und -instrumenten in der gesamten EU für öffentliche Verwaltungen, Unternehmen und Einzelpersonen investiert werden sollen.

Cybersecurity ist auch Teil von InvestEU. InvestEU ist ein allgemeines Programm, das viele Finanzinstrumente zusammenführt und öffentliche Investitionen nutzt, um weitere Investitionen des Privatsektors zu sichern. Seine strategische Investitionsfazilität wird wichtige Wertschöpfungsketten im Bereich der Cybersicherheit unterstützen. Es ist ein wichtiger Teil des Aufbaupakets als Reaktion auf die Coronavirus-Krise.

Kompetenzzentrum und Netz für Cybersicherheit; Atlas-Atlas

Das europäische Kompetenzzentrum für Cybersicherheit in Industrie, Technologie und Forschung wird Fachwissen bündeln und die europäische Entwicklung und den Einsatz von Cybersicherheitstechnologien aufeinander abstimmen. Sie wird mit der Industrie, der akademischen Gemeinschaft und anderen Akteuren zusammenarbeiten, um eine gemeinsame Agenda für Investitionen in die Cybersicherheit zu entwickeln und über Finanzierungsprioritäten für Forschung, Entwicklung und Einführung von Cybersicherheitslösungen im Rahmen der Programme „Horizont Europa“ und „Digitales Europa“ zu entscheiden.

Derzeit laufen vier Pilotprojekte, um die Grundlagen für das Kompetenzzentrum und das Netzwerk zu schaffen. Sie beteiligen sich an mehr als 170 Partnern.

Für einen besseren Überblick über das Fachwissen und die Kapazitäten im Bereich der Cybersicherheit in der gesamten EU hat die Kommission eine umfassende Plattform namens Cybersecurity Atlas entwickelt.

Politische Leitlinien

Entwurf für koordinierte Reaktion auf große Cyberangriffe

Der Entwurf der Kommission für schnelle Notfallmaßnahmen enthält einen Plan im Falle eines groß angelegten grenzüberschreitenden Cybervorfalls oder einer Krise. Darin werden die Ziele und Modalitäten der Zusammenarbeit zwischen den Mitgliedstaaten und den EU-Organen bei der Reaktion auf solche Vorfälle und Krisen dargelegt. Darin wird erläutert, wie bestehende Krisenbewältigungsmechanismen bestehende Cybersicherheitseinrichtungen auf EU-Ebene in vollem Umfang nutzen können.

Gemeinsame Cyber-Einheit

Im Anschluss kündigte Kommissionspräsidentin Ursula von der Leyen einen Vorschlag für eine EU-weite gemeinsame Cyber-Einheit an. Die von der Kommission am 23. Juni 2021 angekündigte Empfehlung zur Einrichtung einer gemeinsamen Cybersicherheitseinheit ist ein wichtiger Schritt zur Vollendung des europäischen Rahmens für das Krisenmanagement im Bereich der Cybersicherheit. Dies ist ein konkretes Ziel der Cybersicherheitsstrategie der EU und der EU-Strategie für die Sicherheitsunion, die zu einer sicheren digitalen Wirtschaft und Gesellschaft beiträgt.

Das Gemeinsame Cyber-Referat wird als Plattform dienen, um eine koordinierte Reaktion der EU auf groß angelegte Cybervorfälle und -krisen zu gewährleisten und Hilfe bei der Genesung von diesen Angriffen anzubieten.

Sicherer 5G-Einsatz in der EU

5G-Netze sollen EU-weit eingeführt werden. Sie werden enorme Vorteile bieten, aber auch potenzielle Einstiegspunkte für Angreifer aufgrund der weniger zentralisierten Architektur, einer größeren Anzahl von Antennen und einer erhöhten Abhängigkeit von Software haben. Das EU-Instrumentarium für 5G enthält Maßnahmen zur Stärkung der Sicherheitsanforderungen für 5G-Netze, zur Anwendung relevanter Beschränkungen für Anbieter mit hohem Risiko und zur Gewährleistung der Diversifizierung der Anbieter.

Sicherung des Wahlprozesses

Unsere europäischen Demokratien werden zunehmend digitalisiert: politische Kampagnen finden online statt und Wahlen selbst finden in vielen Ländern durch elektronische Abstimmung statt. 

Die Kommission hat im Rahmen eines umfassenderen Pakets von Empfehlungen zur Unterstützung freier und fairer Wahlen zum Europäischen Parlament Empfehlungen für die Cybersicherheit der Wahlen zum Europäischen Parlament abgegeben. Einen Monat vor den Europawahlen 2019 haben das Europäische Parlament, die EU-Länder, die Kommission und die ENISA ihre Bereitschaft live getestet.

Fähigkeiten und Bewusstsein

Fähigkeiten

Digitale Sicherheit können wir nur gewährleisten, wenn wir Experten mit den richtigen Kenntnissen und Fähigkeiten haben, und es gibt derzeit nicht genug. Deshalb ergreift die Kommission Maßnahmen zur Förderung der Entwicklung von Cybersicherheitskompetenzen.

Die Kommission hat einen kohärenten Rahmen für die Vermittlung von Cybersicherheitskompetenzen in der Hochschul- und Berufsausbildung ausgearbeitet. Die vier Pilotprojekte, die das Kompetenzzentrum für Cybersicherheit und das Netzwerk des ECSO vorbereiten, arbeiten derzeit daran. Es gibt auch wiederkehrende Initiativen, die direkt für Studenten gedacht sind, wie die jährliche Herausforderung für die Cybersicherheit in Europa.

Cybersicherheitskompetenzen fallen unter die allgemeine Agenda der Kommission für digitale Kompetenzen. Sie sind auch Teil der Finanzierungsbemühungen im Rahmen von „Horizont 2020“, „Horizont Europa“ und „Digitales Europa“. Ein Beispiel ist die Finanzierung von „Cyber Ranges“, bei denen es sich um Live-Simulationsumgebungen von Cyberbedrohungen für Schulungen handelt.

Bewusstheit

Der menschliche Faktor ist oft die schwache Verbindung in der Cybersicherheit: jemand, der auf einen Phishing-Link klickt, kann große Konsequenzen haben. Daher sensibilisiert die Kommission für Cybersicherheit und fördert bewährte Verfahren in der breiten Öffentlichkeit. So organisiert sie einmal jährlich gemeinsam mit der ENISA den Europäischen Monat der Cybersicherheit.

Cyber-Community

ENISA – die EU-Agentur für Cybersicherheit

ENISA ist die Agentur der EU, die sich mit der Cybersicherheit befasst. Sie unterstützt Mitgliedstaaten, EU-Institutionen und Unternehmen in Schlüsselbereichen, einschließlich der Umsetzung der NIS-Richtlinie.

ISACs

Informationsaustausch- und Analysezentren (ISAC) fördern die Zusammenarbeit zwischen der Cybersicherheitsgemeinschaft in verschiedenen Wirtschaftszweigen. Die Weiterentwicklung der ISAC sowohl auf EU- als auch auf nationaler Ebene ist für die Kommission eine Priorität. In Zusammenarbeit mit der ENISA fördert die Kommission auch die Einrichtung neuer ISACs in Sektoren, die nicht abgedeckt sind. Das von der Kommission beaufsichtigte „empowering EU ISACs“-Konsortium leistet rechtliche, technische und organisatorische Unterstützung für ISACs.

DIE JRC

Die Gemeinsame Forschungsstelle (JRC) der Kommission leistet einen aktiven Beitrag zur Cybersicherheit in der EU. So hat die GFS beispielsweise eine Cybersecurity-Taxonomie entwickelt. Dies entspricht der für die Cybersicherheit verwendeten Terminologie, damit wir einen besseren Überblick über die Cybersicherheitskapazitäten in der EU erhalten können.

Die GFS veröffentlichte kürzlich einen Bericht mit dem Titel „Cybersecurity – unser digitaler Anker“.

CSIRTs/CERTs

Gemäß der NIS-Richtlinie müssen die EU-Mitgliedstaaten sicherstellen, dass sie über gut funktionierende Computer Security Incident Response Teams (CSIRTs) verfügen, die auch als Computer Emergency Response Teams (CERTs) bezeichnet werden. Diese Teams beschäftigen sich mit Cybersicherheitsvorfällen und -risiken in der Praxis. Sie arbeiten auf EU-Ebene miteinander zusammen und arbeiten auch mit dem Privatsektor zusammen. Alle Arten von Betreibern wesentlicher Dienste und Anbieter digitaler Dienste müssen von den benannten CSIRT erfasst werden.

Die Hauptaufgaben der CSIRTs sind:

• Überwachung von Vorfällen auf nationaler Ebene;
• Bereitstellung von Frühwarnungen, Warnungen, Ankündigungen und anderen Informationen über Risiken und Vorfälle für relevante Interessenträger;
• Reaktion auf Vorfälle;
• Bereitstellung dynamischer Risiko- und Ereignisanalysen und Situationsbewusstsein;
• Teilnahme am CSIRTs-Netzwerk.

ECSO

Die Europäische Cybersicherheitsorganisation (ECSO) wurde 2016 ins Leben gerufen, um die Kommission in einer vertraglichen öffentlich-privaten Partnerschaft für Horizont 2020 in den Jahren 2016 bis 2020 zu unterstützen. Die Mehrheit der 250 Mitglieder des ECSO gehört entweder zur Cybersicherheitsbranche oder zu Forschungs- und akademischen Einrichtungen auf diesem Gebiet. In geringerem Maße umfassen die Mitglieder des ECSO auch Akteure des öffentlichen Sektors und nachfrageseitige Industrien.

Neben Empfehlungen zu „Horizont 2020“ führt das ECSO verschiedene Aktivitäten durch, die auf den Aufbau der Gemeinschaft und die industrielle Entwicklung auf europäischer Ebene abzielen.

Frauen4Cyber

Es ist wichtig, die Rolle von Frauen in der Cybersicherheitsgemeinschaft hervorzuheben, die unterrepräsentiert sind. Deshalb hat die Kommission in Zusammenarbeit mit der ECSO -Initiative Women4Cyber das Register Women4Cyber eingerichtet. Es macht es den Medien, Veranstaltern und anderen einfacher, die vielen talentierten Frauen zu finden, die in der Cybersicherheit tätig sind, so dass diese Frauen in der Cyber-Community und der öffentlichen Debatte sichtbarer und prominenter werden.

Weitere Cyber-Politikbereiche

Cyberkriminalität

Gewöhnliche Kriminelle nutzen Cyberangriffe, die die Europäer bedrohen. Die Abteilung Migration und Inneres der Kommission überwacht und aktualisiert die EU-Rechtsvorschriften zur Cyberkriminalität und unterstützt Strafverfolgungskapazitäten. Die Kommission arbeitet auch mit dem Europäischen Zentrum für Cyberkriminalität in Europol zusammen.

Cyber-Diplomatie

Die EU bemüht sich, sich vor Cyberbedrohungen außerhalb ihrer Grenzen zu schützen. In diesem Zusammenhang arbeitet die Kommission mit dem Europäischen Auswärtigen Dienst und den Mitgliedstaaten an der Umsetzung einer gemeinsamen diplomatischen Reaktion auf böswillige Cyberaktivitäten (im Folgenden „Instrumentarium für die Cyberdiplomatie“) zusammen. Diese Reaktion umfasst diplomatische Zusammenarbeit und Dialog, präventive Maßnahmen gegen Cyberangriffe und Sanktionen gegen diejenigen, die an Cyberangriffen beteiligt sind, die die EU bedrohen.

Die Kommission unterstützt bei der Entscheidungsfindung bei der Reaktion auf externe Cyberbedrohungen, wo immer dies erforderlich ist. Sie finanziert auch direkt die laufende EU-Initiative zur Unterstützung der Cyberdiplomatie.

Verteidigung

Die EU arbeitet im Bereich Verteidigung im Cyberraum über die Tätigkeiten der Europäischen Verteidigungsagentur sowie der ENISA, Europol und der für die Verteidigungsindustrie zuständigen Generaldirektion in der Kommission zusammen.

Aufbau von Cyberkapazitäten in Drittländern

Die EU arbeitet mit anderen Ländern zusammen, um ihre Kapazitäten zur Abwehr von Bedrohungen der Cybersicherheit auszubauen. Die Kommission unterstützt verschiedene Cybersicherheitsprogramme im Westbalkan und in den sechs Ländern der östlichen Partnerschaft in der unmittelbaren Nachbarschaft der EU sowie in anderen Ländern weltweit über ihre Abteilung für internationale Zusammenarbeit und Entwicklung.