Die Europäische Kommission hat ihren umstrittenen Gesetzentwurf zur Cyber-Solidarität auf den Weg gebracht und einen Vorschlag zur Stärkung der EU-weiten Zusammenarbeit bei der Vorbereitung auf und Reaktion auf große Cyberangriffe vorgelegt.
Der Vorschlag, der Teil eines umfassenderen Cybersicherheitspakets ist, das am Dienstag (18. April) vorgestellt wurde, soll die grenzüberschreitende und öffentlich-private Koordinierung bei der Antizipation und Bekämpfung von Cyberangriffen fördern und verfügt über ein Budget von 1,1 Milliarden Euro.
Der Vorschlag für eine solche Gesetzgebung kam erstmals im März 2022, kurz nach der russischen Invasion in der Ukraine, auf und kommt teilweise als Reaktion auf das, was in Brüssel als erhöhte Bedrohung durch einen größeren Cyber-Angriff angesehen wird.
Die Kombination aus öffentlichen und privaten Einrichtungen in dem Vorschlag spiegelt ein bereits in der Ukraine bestehendes Modell wider, in dem Unternehmen und Behörden zusammenarbeiten, um Cyberbedrohungen zu bewältigen.
Einige Aspekte des Vorschlags haben erhebliche Debatten und Widerstände in den Mitgliedstaaten hervorgerufen, insbesondere diejenigen, die den Austausch von Informationen und die Qualifikation und Verantwortlichkeiten privater Unternehmen betreffen.
„Fast 30 % der kleinen und mittleren Unternehmen in Europa haben in den letzten 12 Monaten mindestens einmal Cyberkriminalität erlebt“, sagte die Exekutiv-Vizepräsidentin der Kommission, Margrethe Vestager, bei der Vorstellung des Vorschlags am Dienstag und fügte hinzu, dass das Cyber-Solidaritätsgesetz das letzte Stück sei der umfassenderen Cybersicherheitsstrategie der EU und macht sie einsatzfähig.
„Zum ersten Mal werden wir gemeinsam in operative Kapazitäten investieren“, sagte sie. „Wenn es um Cybersicherheit geht, hängen die Erfolgschancen von unserer Fähigkeit zur Zusammenarbeit ab, da Cybersicherheit nur eine gesamteuropäische Anstrengung sein kann.“
Cyber-Schild
Das erste Kernelement des Vorschlags wird die Einrichtung eines europäischen Cyber-Schutzschilds sein, das sich aus nationalen und grenzüberschreitenden Security Operations Centers (SOCs) zusammensetzt, die über die gesamte EU verteilt sind.
Die Absicht ist, die SOCs im nächsten Jahr in Betrieb zu nehmen und regionale Knotenpunkte der Cyber-Kooperation mit unmittelbaren Nachbarn wie dem Baltikum und den Benelux-Ländern zu schaffen. Sie werden Überwachen und identifizieren Sie Cyber-Bedrohungen mithilfe verschiedener Technologien, einschließlich KI, und warnen Sie Behörden vor bevorstehenden Angriffen.
Bei der Vorstellung des Vorschlags am Dienstag sagte Binnenmarktkommissar Thierry Breton, dass der Cyber-Schutzschild verwendet werde, um Bedrohungen zu erkennen, abzuschwächen und darauf zu reagieren.
Gleichzeitig versuchte er, den europäischen Regierungen zu versichern, dass die Maßnahmen mit den derzeitigen Cybersicherheits-Operationszentren der Mitgliedstaaten interagieren und von ihnen abhängen würden, anstatt sie zu ersetzen.
„Sie werden sie natürlich beibehalten, aber es wird eine europäische Schicht oder europäische Ebene geben, die sich mit dem, was bereits besteht, verzahnen wird“, sagte Breton.
„Sie werden in jedem Land ein Zentrum haben, das die Schnittstelle zu dem sein wird, was bereits existiert, und dann haben Sie diesen übergreifenden europäischen Schild oder diese Kuppel.“
Reserve für Cybersicherheit
Die zweite Säule des Gesetzes konzentriert sich auf die Stärkung der Bereitschafts- und Krisenreaktionskapazität der EU durch die Schaffung eines Cyber-Notfallmechanismus, der Schwachstellen in kritischen Sektoren wie Energie und Verkehr prüft und finanzielle Unterstützung für die gegenseitige Unterstützung zwischen den Mitgliedstaaten bereitstellt.
Außerdem soll eine EU-„Cybersicherheitsreserve“ geschaffen werden, die sich aus vertrauenswürdigen und zertifizierten Privatunternehmen zusammensetzt, die bereit sind, auf schwerwiegende Vorfälle zu reagieren.
Während der ursprüngliche Plan darin bestand, eine „Cyber-Armee“ zu gründen, stellte sich dies als zu kompliziert heraus, sagte Breton. Die Kommission entschied sich stattdessen für die Schaffung einer Reserve, um in Krisensituationen eingreifen zu können, ein System, das seiner Meinung nach in der Ukraine bereits entwickelt wurde.
Diese Pläne haben bereits einige Kontroversen ausgelöst. In einem Dokument gesehen bis zum Finanzzeiten Anfang dieses Monats forderten 24 europäische Regierungen, d. h. alle außer der aktuellen und den beiden aufeinander folgenden Präsidentschaften, Brüssel auf, seinen Vorschlag zur Cyber-Solidarität wegen Bedenken im Zusammenhang mit der Beibehaltung der Befugnisse auf nationaler Ebene in Bezug auf die Zertifizierung und den Einsatz einer solchen Reserve zu verlangsamen.
Der springende Punkt ist, dass Informationen über Cyber-Bedrohungen ausgenutzt werden können, um sich in das IT-System jedermann zu hacken, sei es ein geopolitischer Rivale, ein kriminelles Netzwerk oder ein wirtschaftlicher Konkurrent. Daher handelt es sich um Informationen, die von den nationalen Behörden eifersüchtig gehütet werden.
Der Fokus auf öffentlich-private Zusammenarbeit steht auch im Wettbewerb mit der Brüsseler institutionellen Architektur, wobei der diplomatische Arm der EU, der Europäische Auswärtige Dienst (EAD), derzeit die Cyber Diplomacy Toolbox überarbeitet, die sich in ähnlicher Weise auf private Unternehmen stützen würde, um bösartige Cyberangriffe zu bekämpfen Aktivitäten.
Ein letztes Element des Vorschlags für das Cyber-Solidaritätsgesetz ist die Einrichtung eines Mechanismus zur Überprüfung von Cybersicherheitsvorfällen, der schwerwiegende Vorfälle im Nachhinein überprüft und analysiert, um Informationen über zukünftige Entwicklungen des EU-Ansatzes zur Cyberabwehr zu liefern.
Ebenfalls am Dienstag angekündigt wurde der Start einer EU Cybersecurity Skills Academy, die darauf abzielt, Cyber-Fähigkeiten zu verbessern und die bestehende Cyber-Talentlücke zu schließen, um die allgemeine Bevölkerung mit den erforderlichen Fähigkeiten auszustatten und Experten auf diesem Gebiet auszubilden.
[Edited by Luca Bertuzzi/Alice Taylor]