Der Europäische Rechnungshof (ECA) warnte am Donnerstag (5. Oktober), dass das Cyber Solidarity Act die Abhängigkeit der Mitgliedstaaten von EU-Mitteln erhöhen, Probleme beim Informationsaustausch verursachen und die europäische Cybersicherheitslandschaft komplexer machen könnte.
Das von der Europäischen Kommission im April vorgeschlagene Cyber Solidarity Act zielt darauf ab, die EU-weite Cybersicherheitssolidarität und -kapazitäten zu stärken und auf Cyberbedrohungen zu reagieren. Im Juni forderten das Europäische Parlament und der Rat das Gericht offiziell auf, im Rahmen eines obligatorischen Verfahrens ihre Stellungnahme abzugeben.
Während die ECA die Ziele des Vorschlags zur Stärkung der kollektiven Cyber-Resilienz der EU begrüßt, „müssen einige Risiken angegangen werden, insbesondere wenn es um Finanzierung und Umsetzung geht“, sagte Hannu Takkula, ECA-Mitglied, gegenüber Euractiv.
„Wir weisen insbesondere auf die Risiken hin, dass der Betrieb des Europäischen Cyber-Schutzschilds und seine Nachhaltigkeit von der EU-Finanzierung abhängig werden, dass sein Funktionieren durch mangelnden Informationsaustausch beeinträchtigt wird und dass die mit dem Vorschlag eingeführten Maßnahmen die gesamte Cybersicherheit der EU gefährden.“ Galaxie komplexer“, heißt es in der Stellungnahme.
Lina Gálvez Muñoz, Berichterstatterin und Vizepräsidentin des ITRE-Ausschusses (Industrie, Forschung und Energie), sagte gegenüber Euractiv, sie begrüße die Stellungnahme des Gerichts.
„Wir arbeiten daran, mittel- und langfristig eine nachhaltige Finanzierung dieser Initiative sicherzustellen, den Informationsaustausch zwischen den verschiedenen beteiligten Akteuren zu verbessern und zu fördern und eine effiziente Cybersicherheitsstruktur in der EU zu schaffen und Doppelarbeit zu vermeiden, um die Widerstandsfähigkeit und Sicherheit sicherzustellen.“ die offene strategische Autonomie der Union“, fügte der Berichterstatter hinzu.
Finanzierung, Folgenabschätzung und Leistung
Die Prüfer kritisierten den Mangel an Folgenabschätzung, Finanzierungsinformationen, Leistungsverfolgung und politischer Bewertung.
Der Stellungnahme zufolge wurde „dieser Verordnungsvorschlag keiner Folgenabschätzung unterzogen“, da die Kommission das Gesetz als Dringlichkeitsvorschlag einführte und dadurch die Informationen über politische Optionen und Kosten einschränkten.
Außerdem fehle es an Kostenschätzungen für die Umsetzung des Cyber Solidarity Act, einschließlich des Cyber Shield, des Cyber Emergency Mechanism und des Cybersecurity Incident Review Mechanism, sagte die ECA, da in der Verordnung die Dauer der Kofinanzierung durch die EU nicht festgelegt sei für national und grenzüberschreitend Sicherheits-Einsatzzentren (SOCs).
„Da dem Vorschlag keine Folgenabschätzung beigefügt ist, schlagen wir vor, dass die Kommission diese Kostenschätzungen zur Verfügung stellt, um die Transparenz zu erhöhen“, sagte die ECA.
Ein weiterer Aspekt, der Anlass zur Sorge gibt, ist der neu eingeführte Indikator für die Reaktionsfähigkeit bei Cyber-Vorfällen, da ihm Informationen zur Messung der Wirksamkeit des Europäischen Cyber-Schutzschilds und des Cyber-Notfallmechanismus fehlen.
Auch die ECA hält den Zeitraum für den Prüfbericht zum Cyber Solidarity Act, der vier Jahre nach Inkrafttreten vorgelegt werden soll, aufgrund der sich schnell verändernden Cyber-Bedrohungslandschaft für „zu spät“.
Cyber Shield-Bewertung
Teil des Gesetzes ist der European Cyber Shield, eine Maßnahme zur Verbesserung der Koordinierung bei der Erkennung von Cyber-Bedrohungen durch die Einrichtung nationaler und grenzüberschreitender SCOs.
Aus Angst vor möglichen Überschneidungen mit bestehenden Strukturen wie dem Computer Security Incident Response Team („Wir stellen fest, dass einige der Aufgaben und Ziele nationaler SOCs, grenzüberschreitender SOCs, CSIRTs und des CSIRTs-Netzwerks ähnlich sind“, heißt es in der Stellungnahme, in der auf diese Bedrohung hingewiesen wird Erkennung und Reaktion, Cyber-Bedrohungsinformationen und Situationsbewusstsein sind sich überschneidende Bereiche.
Prüfer forderten „klare Governance-Regelungen“ für die Strukturen der SOCs, um eine wirksame Koordinierung zu gewährleisten, und kritisierten die fehlenden Berichtspflichten auf EU-Ebene für öffentliche und private Organisationen.
„Ein solcher Mangel an Informationsaustausch könnte die Wirksamkeit und den Mehrwert des Europäischen Cyber-Schutzschilds untergraben“, stellt der ECA fest.
Um Kosten zu senken und die Kompatibilität der Systeme sicherzustellen, betonten die Prüfer die Notwendigkeit einer raschen Einigung über Interoperabilitätsbedingungen und ein hohes Maß an Sicherheit für die Dateninfrastruktur.
Überprüfung des Cyber-Notfallmechanismus
Der zweite Bestandteil der Verordnung ist der Cyber-Notfallmechanismus, eine Krisenreaktionsmaßnahme zur Vorbereitung einer angemessenen Reaktion auf Schwachstellen in kritischen Infrastrukturen und zur Sicherstellung der Wiederherstellung nach groß angelegten Cyberangriffen.
Die EU-Cybersicherheitsreserve kann Unterstützung beantragen, die die Kommission mit zusätzlicher Hilfe der EU-Cybersicherheitsagentur ENISA bewerten wird.
Während theoretisch eine Antwort auf die Bewertung „unverzüglich“ verschickt wird, weist die ECA darauf hin, dass es im Gesetz an einer „vordefinierten Frist“ und Schritten zur Einhaltung dieser Frist mangelt.
Darüber hinaus weicht die Finanzierung von Maßnahmen im Rahmen des Cyber-Notfallmechanismus vom für den EU-Haushalt geltenden Grundsatz der Jährlichkeit ab, der besagt, dass „nicht genutzte Verpflichtungen und Zahlungsermächtigungen nicht automatisch auf das folgende Haushaltsjahr übertragen werden“.
Die Prüfer halten diese Begründung nur für anwendbar, „als Reaktion auf unvorhersehbare Ereignisse“ und dass eine Obergrenze die automatische Übertragung auf das Folgejahr begrenzen sollte.
Bewertung des Mechanismus zur Überprüfung von Vorfällen
Die dritte Säule des Gesetzes ist der Mechanismus zur Überprüfung von Cybersicherheitsvorfällen, der den Rahmen für die Analyse groß angelegter Cybervorfälle festlegt.
Auf Ersuchen der Kommission können Cybersicherheitsbehörden, einschließlich ENISA, gebeten werden, Cybervorfälle und Schwachstellen zu überprüfen. Allerdings sieht die Verordnung weder eine konkrete Rückmeldungsfrist noch Anreize vor, den Empfehlungen nachzukommen.
„Wir schlagen vor, dass in der vorgeschlagenen Verordnung eine maximale Frist für die Übermittlung des ENISA-Berichts nach einem Vorfall festgelegt wird“, heißt es im Bericht der Prüfer.
Im Hinblick auf die nächsten Schritte wird der Vorschlag für das Cyber-Solidaritätsgesetz diskutiert, gegebenenfalls geändert und im EU-Parlament und im Rat verabschiedet. Die ECA geht davon aus, dass dieser Prozess „bis Ende des Jahres“ abgeschlossen sein wird.
[Edited by Alice Taylor/Nathalie Weatherald]
