Die Präsidentin der Europäischen Kommission, Ursula von der Leyen, hat am Mittwoch (15. September) ein Cyber-Resilience-Gesetz angekündigt, das gemeinsame Cybersicherheitsstandards für vernetzte Geräte festlegen soll.
„Wir können nicht über Verteidigung sprechen, ohne über Cyber zu sprechen“, sagte von der Leyen in ihrer jährlichen Rede zur Lage der Union im Parlament.
„Wenn alles verbunden ist, kann alles gehackt werden“, fügte sie hinzu und bemerkte, dass die wachsende Zahl vernetzter Geräte auch die Anfälligkeit für Cyberangriffe erhöht.
Laut von der Leyen war die schnelle Verbreitung digitaler Technologien „ein großer Ausgleich dafür, wie Macht heute von Schurkenstaaten oder nichtstaatlichen Gruppen genutzt werden kann“, um kritische Infrastrukturen wie die öffentliche Verwaltung und Krankenhäuser zu stören.
„Und angesichts knapper Ressourcen müssen wir unsere Kräfte bündeln. Und wir sollten uns nicht nur damit zufrieden geben, die Cyberbedrohung zu bekämpfen, sondern auch danach streben, führend in der Cybersicherheit zu werden“, sagte der Kommissionspräsident.
Die Initiative der Kommission ergänzt einen bestehenden Vorschlag für eine Richtlinie über die Sicherheit von Netz- und Informationssystemen, allgemein bekannt als NIS2-Richtlinie. NIS2 erweitert den Anwendungsbereich der vorherigen Richtlinie, indem die Cybersicherheitsanforderungen für digitale Dienste in kritischen Sektoren der Wirtschaft und Gesellschaft angehoben werden.
Bart Groothuis, der für die NIS2-Akte im Europäischen Parlament führende Gesetzgeber, betont die Komplementarität der beiden EU-Gesetze. Während NIS2 sich mit der Sicherheit kritischer Lieferketten befasst, seien vernetzte Geräte ein blinder Fleck im EU-Arsenal für Cybersicherheit.
„Das Internet der Dinge wird viele ungesicherte Produkte hervorbringen, denn Sicherheit ist den Herstellern solcher Maschinen oft nicht wichtig. Und es muss noch kein europäischer Standard eingehalten werden. Es ist schön, eine Pulled Pork-Maschine in Ihrer Küche oder eine intelligente Kaffeemaschine zu haben, aber es ist auch eine Möglichkeit, mit der Hacker in Ihre Heim-IT-Systeme eindringen können“, sagte Groothuis gegenüber EURACTIV.
Genau das zeigte das Hackable Home, ein Projekt unter der Leitung einer Kampagnengruppe namens Euroconsumers, das durch ethisches Hacken veranschaulichte, dass den meisten Smart-Home-Geräten sogar grundlegende Cybersicherheitsstandards fehlten.
„Wir setzen uns seit langem dafür ein, die Sicherheit der Verbraucher in der gesamten EU zu gewährleisten“, sagte Els Bruggeman, Leiterin Politik und Durchsetzung bei Euroconsumers. „Wenn die Kommission bei der Cybersicherheit führend werden will, muss sie an einem gemeinsamen EU-Ansatz für Cyber-Bedrohungen arbeiten, der es den Verbrauchern ermöglicht, dem IoT zu vertrauen“, fügte Bruggeman hinzu.
Ähnliche Bedenken hinsichtlich der Notwendigkeit, grundlegende Cybersicherheitsanforderungen zu definieren, wurden auch von DigitalEurope, der führenden europäischen Digitalindustrie, geäußert. In einem kürzlich veröffentlichten Bericht warnte der Handelsverband davor, dass bestehende Produktsicherheitsvorschriften keine Cybersicherheitsverpflichtungen für verbundene Geräte festlegen.
Cecilia Bonefeld-Dahl, Generaldirektorin von DigitalEurope, begrüßte den Cyber-Resilience Act und warnte vor der Verbreitung von EU-Vorschlägen zur Regulierung der Cyber-Umgebung.
Neben der NIS2-Richtlinie liegen mehrere Vorschläge auf dem Tisch, darunter eine Richtlinie zur Widerstandsfähigkeit kritischer Einheiten, die eher sektorale Richtlinie über die digitale Betriebsfestigkeit und mehrere Verordnungen zur Produktsicherheit.
„Wir brauchen mehr harmonisierte Ziele und einfach umsetzbare Regeln, wenn wir den richtigen Schutz für die Europäer erreichen und der europäischen Industrie dabei helfen wollen, Cybersicherheitskapazitäten in großem Maßstab aufzubauen“, sagte Bonefeld-Dahl.
Der Europaabgeordnete Groothuis forderte seinerseits ein EU-weites Domain Name System (DNS). DNS sind kritische Infrastrukturen für die globale Internet-Governance und werden von einer Handvoll nichteuropäischer Einrichtungen betrieben, was es für EU-Länder schwierig macht, groß angelegte Cyberangriffe zu bekämpfen oder anfällig für geopolitische Spannungen.
„Als ich im niederländischen Verteidigungsministerium als Leiter der Cybersicherheit arbeitete, musste ich mich mit den verheerenden NotPetya-Angriffen aus Russland und dem Wannacary-Wurm aus Nordkorea auseinandersetzen, die beide europäischen Unternehmen Milliardenschäden zugefügt haben“, sagte Groothuis.
Die niederländischen Behörden konnten diese Angriffe damals nicht stoppen, obwohl sie die von den Hackern verwendeten Domänen und Server kannten.
Für den niederländischen Gesetzgeber ist eine EU-DNS-Alternative „der einzige Weg, einen solchen Schild zu schaffen und Europa zu schützen“. In ihrer Cybersicherheitsstrategie hat die Kommission ihre Absicht bekundet, einen europäischen DNS-Resolver-Dienst, DNS4EU, zu entwickeln, der Vorschlag muss jedoch noch definiert werden.
[Edited by Frédéric Simon]