Die Abgeordneten haben in einer Entschließung zur Cybersicherheitsstrategie des Blocks, bekannt als EUCSS, für das digitale Jahrzehnt eine verstärkte EU-Sicherheit gegen Cyber-Bedrohungen gefordert.
„Dieses Parlament arbeitet an der besten Cybersicherheitsgesetzgebung, die dieser Kontinent bisher gesehen hat“, sagte Bart Groothuis, Europaabgeordneter von Renew Europe.
Das Dokument betont die Notwendigkeit, sich entwickelnden hybriden Bedrohungen durch nichtstaatliche Akteure, die immer raffinierter und zahlreicher werden, zu begegnen.
„Cybersicherheit ist eine der großen Herausforderungen, vor denen wir derzeit in der Sicherheitspolitik stehen“, sagte der grüne Europaabgeordnete Rasmus Anderson letzte Woche in der Debatte im Europäischen Parlament zu der Entschließung.
Die Abgeordneten betonten auch die Notwendigkeit, die geopolitischen Dimensionen von Cyber-Bedrohungen anzugehen.
„Die politische Schlussfolgerung muss lauten, dass Ransomware nicht nur ein technisches Problem ist, […] es ist auch ein außenpolitisches Problem“, betonte Groothuis und fügte hinzu, dass „wir Russland dafür verantwortlich machen müssen, Ransomware-Kriminellen sichere Häfen zu bieten.“
Während der COVID-19-Pandemie wurden Cybersicherheitsschwachstellen besonders aufgedeckt, da Telearbeit und soziale Distanz die Abhängigkeit von digitalen Technologien und Konnektivität erhöht haben.
„Die Pandemie hat den Wandel zur Digitalisierung beschleunigt“, sagte der EEP-Abgeordnete Seán Kelly und fügte hinzu, dass „dies mit einem deutlichen Anstieg der Cyberkriminalität einhergeht, da Kriminelle die massive Verlagerung hin zur Fernarbeit ausnutzen.“
Der Gesetzgeber forderte auch die Europäische Kommission auf, Cybersicherheitsanforderungen für verschiedene Software einzuführen und betonte, dass die fortgesetzte Verwendung veralteter Software ein großes Sicherheitsrisiko darstellt, das in dem Vorschlag angegangen werden sollte.
Das EUCSS wurde von der Kommission im Dezember 2020 mit dem Ziel veröffentlicht, die sich entwickelnden Bedrohungen der Cybersicherheit zu bekämpfen, und schlug mehrere neue Initiativen zur Förderung der Widerstandsfähigkeit und des Lagebewusstseins vor.
„Die Europäische Strategie für Cybersicherheit betont, dass technologische Souveränität der Schlüssel zum Aufbau einer widerstandsfähigeren Union ist“, sagte Haushaltskommissar Johannes Hahn.
Einer der wichtigsten Vorschläge zur Bekämpfung von Cyber-Bedrohungen und zur Verbesserung der Fähigkeiten ist die überarbeitete Richtlinie über die Sicherheit von Netz- und Informationssystemen (NIS2), die derzeit von Regierungsministern und dem Europäischen Parlament verhandelt wird.
EU-weites Gesetz zur Cybersicherheit
Die NIS-Richtlinie trat 2016 in Kraft und zielte darauf ab, die Sicherheit von Netz- und Informationssystemen in der gesamten EU zu erhöhen. Angesichts der beispiellosen Beschleunigung der Digitalisierung während der COVID-Pandemie hat die Kommission jedoch beschlossen, sie aufzufrischen.
Durch die Überarbeitungen wird der Anwendungsbereich der Richtlinie erweitert, um mehr Sektoren und Dienstleistungen, die als kritisch für Wirtschaft und Gesellschaft gelten – wie digitale Dienstleistungen oder Hersteller kritischer Produkte – in die Liste der wichtigen Einheiten aufzunehmen.
Es führt auch strengere Aufsichtsmaßnahmen ein und umfasst Mittel zur Unterstützung eines koordinierten Managements von groß angelegten Cybersicherheitsvorfällen sowie eine verstärkte Zusammenarbeit zwischen den Behörden der Mitgliedstaaten.
Kommissar Hahn erklärte, es sei eine „Verpflichtung zu einem offenen, aber vertrauenswürdigen Kern-Internet in Europa“.
Branchengruppen haben den Schritt begrüßt.
„Es besteht kein Zweifel, dass ein NIS-Update erforderlich ist. Vor allem angesichts der steigenden Zahl und Komplexität sowie der Auswirkungen von Cybervorfällen, die wir buchstäblich jeden Tag beobachten können“, sagte Trevor Rudolph Vice President für Global Digital Policy & Regulation bei Schneider Electric.
Der Vorschlag sieht auch eine obligatorische 24-Stunden-Benachrichtigungsfrist für schwerwiegende Vorfälle vor, um “die gesetzliche Verpflichtung zu einer agilen Reaktion auf Vorfälle” zu bestätigen, sagte Hahn.
Dieser kurze Zeitplan für die Berichterstattung passt jedoch nicht gut zu Branchenvertretern.
„Ich verstehe die reflexartige Natur von Regierungsbehörden und Gesetzgebern, die Informationen über Vorfälle so schnell wie möglich erhalten möchten. 24 Stunden, um einen schwerwiegenden Vorfall zu melden, ist jedoch eine lächerliche Anforderung. Wenn Sie innerhalb von 24 Stunden antworten müssen, erhält der Empfänger der Informationen nichts Wertvolles“, beschwerte sich Rudolph auf der RSA Conference on Cybersecurity am Donnerstag (10. Juni).
[Edited by Benjamin Fox]