Rat der EU, Pressemitteilung vom 02.12.2024
Um die Solidarität und die Kapazitäten der EU beim Erkennen, Verhindern und Bewältigen von Cybersicherheitsbedrohungen und -vorfällen zu stärken, hat der Rat der EU am 02.12.2024 zwei neue Elemente des „Cybersicherheitspakets“ angenommen: das sog. Cybersolidaritätsgesetz und eine gezielte Änderung des Rechtsakts zur Cybersicherheit (Cybersecurity Act, CSA).
Wichtigste Elemente des Cybersolidaritätsgesetzes
Mit der neuen Verordnung erhält die EU Fähigkeiten, die Europa widerstandsfähiger gegenüber Cyberbedrohungen machen; gleichzeitig werden die Kooperationsmechanismen gestärkt. Unter anderem wird ein „Warnsystem für Cybersicherheit“ eingerichtet; eine europaweite Infrastruktur, die aus nationalen und grenzübergreifenden Cyber-Knotenpunkten in der gesamten EU besteht. Dabei handelt es sich um Einrichtungen, die für den Informationsaustausch zuständig sind und deren Aufgabe die Erkennung von Cyberbedrohungen und die Reaktion darauf ist. Die Cyber-Knotenpunkte werden modernste Technologien wie künstliche Intelligenz (KI) und fortgeschrittene Datenanalyse nutzen, um grenzüberschreitend Cyberbedrohungen und ‑vorfälle zu erkennen und rechtzeitig Warnungen davor weiterzugeben. Sie werden den bestehenden europäischen Rahmen stärken und die Behörden und einschlägigen Stellen in die Lage versetzen, effizienter und wirksamer auf Cybersicherheitsvorfälle zu reagieren.
Die neue Verordnung sieht auch die Schaffung eines Cybernotfallmechanismus vor, um die Abwehrbereitschaft zu erhöhen und die Fähigkeit zur Reaktion auf Vorfälle in der EU zu verbessern. Damit wird Folgendes unterstützt:
- Vorsorgemaßnahmen, einschließlich Tests von Einrichtungen in hochkritischen Sektoren (Gesundheitsversorgung, Verkehr, Energie usw.) im Hinblick auf potenzielle Schwachstellen auf der Grundlage gemeinsamer Risikoszenarien und ‑methoden
- eine neue EU-Cybersicherheitsreserve bestehend aus Sicherheitsvorfall-Notdiensten des Privatsektors, die im Fall eines erheblichen oder großen Cybersicherheitsvorfalls auf Antrag eines Mitgliedstaats oder von Organen, Einrichtungen und sonstigen Stellen der EU eingreifen können
- technische gegenseitige Unterstützung
Schließlich wird mit der neuen Verordnung ein Überprüfungsmechanismus für Vorfälle eingeführt, um unter anderem die Wirksamkeit der Maßnahmen im Rahmen des Cybernotfallmechanismus und die Nutzung der Cybersicherheitsreserve sowie den Beitrag dieser Verordnung zur Stärkung der Wettbewerbsposition der Industrie und des Dienstleistungssektors zu bewerten.
Gezielte Änderung des Rechtsakts zur Cybersicherheit von 2019
Mit der gezielten Änderung soll die Cyberresilienz der EU verbessert werden, indem die künftige Annahme europäischer Zertifizierungssysteme für sog. verwaltete Sicherheitsdienste ermöglicht wird. Mit dem neuen Rechtsakt wird anerkannt, dass verwaltete Sicherheitsdienste für die Prävention und Erkennung von Cybersicherheitsvorfällen, die Reaktion darauf und die anschließende Wiederherstellung zunehmend an Bedeutung gewinnen. Diese Dienste können beispielsweise in der Bewältigung von Vorfällen, Penetrationstests, Sicherheitsüberprüfungen und Beratung im Zusammenhang mit technischer Unterstützung bestehen.
Bis die Ergebnisse der Bewertung des Rechtsakts zur Cybersicherheit vorliegen, ermöglicht die gezielte Änderung, europäische Zertifizierungssysteme für verwaltete Sicherheitsdienste einzurichten. Damit wird es leichter, die Qualität und Vergleichbarkeit der Dienste zu verbessern, vertrauenswürdige Anbieter von Cybersicherheitsdiensten zu fördern und eine Fragmentierung des Binnenmarkts zu vermeiden, da einige Mitgliedstaaten bereits mit der Schaffung nationaler Zertifizierungssysteme für verwaltete Sicherheitsdienste begonnen haben.
Nächste Schritte
Nach der Unterzeichnung durch den Präsidenten des Rates und die Präsidentin des Europäischen Parlaments werden die beiden Gesetzgebungsakte in den kommenden Wochen im Amtsblatt der Europäischen Union veröffentlicht und treten 20 Tage nach der Veröffentlichung in Kraft.
Quelle: Rat der Europäischen Union