Zur Stärkung der europäischen Cybersicherheit hat die EU-Kommission die Überarbeitung des mehr als sechs Jahre alten EU Cybersecurity Act vorgestellt. Damit hat Brüssel den Ton bei der Auswahl von digitaler Infrastruktur maßgeblich verschärft und geht einen Schritt weiter auf dem Weg zu konkreten Rechtsverordnungen für den Einsatz von IT und Kommunikationstechnologie, anstatt nur unverbindliche Empfehlungen auszusprechen. Konkret betroffen sind beispielsweise als kritisch angestufte Anbieter wie Huawei oder ZTE aus China, die die europäische Souveränität gefährden. Das neue Gesetzespaket spricht von einer Festung Europa im digitalen Raum, der nicht nur für Mobilfunknetze, sondern für viele weitere Sektoren wie etwa Energienetze, urbane Netzwerke oder Stromerzeugungsanlagen.
Dis geht einher mit der Entwicklung von stärkeren und effizienteren Kontrollen der jeweiligen Produkte und Dienste. effizienter auf ihre Sicherheit geprüft werden. Dazu soll es eine Cybersicherheitszertifizierung (ECCF) geben, der „für mehr Klarheit und einfachere Verfahren sorgen, sodass Zertifizierungssysteme standardmäßig innerhalb von 12 Monaten entwickelt werden können“, meldet die EU.
Diese Zertifizierungssysteme, die von der Europäischen Agentur für Cybersicherheit (ENISA) verwaltet werden, sollen zunächst ein freiwilliges Instrument für Unternehmen darstellen, mit dem sie die Einhaltung der EU-Rechtsvorschriften nachweisen und so den Aufwand und die Kosten verringern können. In diese Richtung soll auch die NIS-2-Richtlinie entsprechend geändert und noch mehr Rechtsklarheit geschaffen werden.
Lobbyverbände wie der Bitkom haben sich bereits unterstützend geäußert. „Cybersicherheit muss schneller, klarer und weniger bürokratisch werden. Die Kommission macht mit der Revision des Cyber Security Act viele Regeln einfacher und die zuständige EU-Agentur für Cybersicherheit ENISA wird gestärkt“, sagt die Geschäftsleiterin des Bitkom, Susanne Dehmel.
Positiv bewertet Bitkom insbesondere, dass Cybersicherheitszertifikate künftig stärker als anerkannter Nachweis dienen sollen, um Anforderungen aus anderen EU-Rechtsakten zu erfüllen. Damit kann ein Zertifikat beispielsweise eine sogenannte Konformitätsvermutung begründen, etwa mit Blick auf Vorgaben aus NIS-2 oder dem Cyber Resilience Act. Das schaffe, so der Bitkom, Rechtssicherheit und könne Doppelprüfungen reduzieren.
Ebenso richtig ist aus Sicht des Bitkom, dass ENISA künftig Plattformen und Werkzeuge für Meldungen sowie Lagebilder zur Cybersicherheitslage in der EU betreibt und weiter ausbaut. Dass die Kommission dafür auch finanziell nachlegt, ist nach Ansicht des Bitkom folgerichtig und notwendig: Für den nächsten EU-Haushaltszeitraum 2028 bis 2034 erhält ENISA durchschnittlich 49 Millionen Euro pro Jahr zusätzlich.
Der Bitkom sieht in der aktuellen Überarbeitung des EU Cybersecurity Acts aber nur einen von vielen notwendigen Schritten. Der Anspruch, mit vereinfachten Vorgaben und Meldepflichten ein unternehmensfreundlicheres Umfeld zu schaffen, wird nach Meinung des Bitkom noch nicht vollständig eingelöst. „Das Prinzip ‚ein Vorfall, eine Meldung‘ kann nur dann Realität werden, wenn die vielen Meldepflichten aus unterschiedlichen Regelwerken – etwa NIS-2, Cyber Resilience Act, Datenschutz-Grundverordnung – konsequent aufeinander abgestimmt werden. Sonst bleibt es in der Praxis bei parallelen Meldewegen und unnötigem Aufwand“, so Dehmel.
https://ec.europa.eu/commission/presscorner/detail/en/ip_26_105