Die EU-Mitgliedstaaten haben sich dem Vorschlag der Kommission für eine gemeinsame Cybereinheit geöffnet, sind aber vorsichtig geblieben, um Überschneidungen bestehender Initiativen zu vermeiden.
Im Juni schlug die Europäische Kommission die Einrichtung einer Kooperationsplattform vor, um das Fachwissen der nationalen Regierungen zu bündeln und den Informationsaustausch zwischen den Mitgliedstaaten zu erleichtern.
Damals stellte Binnenmarktkommissar Thierry Breton die Gemeinsame Cybereinheit als „Operationsarm des Europäischen Cyberschilds“ vor, einen Mechanismus für europäische Behörden und private Akteure, um Cyberbedrohungen zu erkennen und schnell darauf zu reagieren.
Die am Dienstag (19. Oktober) verabschiedeten Schlussfolgerungen des EU-Rats sind etwas vorsichtiger als der Vorschlag der Kommission. Die EU-Länder sind eingeladen, das Potenzial einer gemeinsamen Cybereinheit zu erkunden und zu erfahren, wie sie weiter zum EU-Rahmen für das Krisenmanagement im Bereich der Cybersicherheit beitragen würde.
Insbesondere unterstreicht das Dokument „die Notwendigkeit, unnötige Doppelarbeit zu vermeiden und bei der Weiterentwicklung des EU-Rahmens für das Krisenmanagement im Bereich der Cybersicherheit nach Komplementarität und Mehrwert zu suchen und eine Angleichung an bestehende Mechanismen, Initiativen, Netzwerke, Prozesse und Verfahren auf nationaler und Europäisches Level.”
Mit anderen Worten, die nationalen Behörden verpflichten sich, den Vorschlag zu prüfen, warnen jedoch davor, dass die bestehenden Lücken sorgfältig geprüft werden müssen, um Überschneidungen mit bestehenden Initiativen zu vermeiden, und plädieren daher für einen schrittweisen Ansatz.
„Es sind noch andere Elemente zu berücksichtigen“, sagte ein Beamter des Rates gegenüber EURACTIV und erklärte, dass die Regierungen die Gemeinsame Cybereinheit im Rahmen eines umfassenderen Engagements prüfen werden, um die Cyber-Resilienz des Blocks zu verbessern.
Die Europäische Kommission hat eine Reihe von Cybersicherheitsinitiativen vorgelegt, darunter die Überarbeitung der Richtlinie über die Sicherheit von Netz- und Informationssystemen (NIS2), der Richtlinie über die Widerstandsfähigkeit kritischer Einheiten und der Richtlinie über die digitale Betriebssicherheit.
Im vergangenen Monat kündigte die Kommission ein Cyber-Resilience-Gesetz an, das bis zum dritten Quartal nächsten Jahres erwartet wird. Der Vorschlag würde Industriestandards für die Sicherheit vernetzter Geräte festlegen.
Branchenvertreter warnten davor, dass die Vielzahl von Gesetzesvorschlägen das Cybersicherheitsumfeld für Unternehmen zunehmend schwieriger machen könnte, und stellten fest, dass die Überschneidungen den Rechtsrahmen verwirrender machen.
Der Standpunkt des Rates scheint bei den operativen Reaktionen auf Cyberbedrohungen in eine ähnliche Richtung zu gehen.
Zu den bestehenden Strukturen gehören unter anderem die Integrated Political Crisis Response (IPCR), das Cyber Crises Liaison Organization Network (CyCLONe), die NIS Cooperation Group, die Joint Cybercrime Action Taskforce (J-CAT), das European Judicial Cybercrime Network (EJCN) und Zusammenarbeit im Rahmen der Cyber Diplomacy Toolbox.
Angesichts eines weiteren Vorschlags hielten die EU-Länder es für erforderlich, „die Bedeutung der Straffung bestehender Prozesse und Strukturen zur Verringerung der Komplexität“ zu betonen.
Die nationalen Regierungen bekräftigten auch ihre nationalen Vorrechte, insbesondere in Bezug auf Kompetenzen, Mandate und rechtliche Befugnisse, und forderten gleichzeitig eine Governance-Struktur, die alle beteiligten Länder „angemessen“ berücksichtigt.
„Die Mitgliedstaaten tragen die Hauptverantwortung für die Reaktion auf groß angelegte Cybersicherheitsvorfälle und sie betreffende Krisen“, heißt es in ihren Schlussfolgerungen und fügen hinzu, dass die nationale Sicherheit weiterhin in ihrer alleinigen Verantwortung liegt.
[Edited by Alice Taylor]