Cyber Solidarity Act

Bereits im April 2023 hat die Kommission einen Vorschlag für einen Cyber Solidarity Act („EU-Cyber-Solidaritätsakt“) zur Stärkung der Cybersicherheitskapazitäten in der EU angenommen. Er soll die Erkennung von und das Bewusstsein für Cybersicherheitsbedrohungen und -zwischenfälle fördern, die Abwehrbereitschaft kritischer Infrastrukturen stärken und die Solidarität, das konzertierte Krisenmanagement und die Reaktionsfähigkeit der Mitgliedstaaten verbessern. Hierbei geht es auch um einen „European Cyber Shield“.

Ziel: Der Cyber-Solidaritätsakt soll EU-Fähigkeiten schaffen, um Europa widerstands- und reaktionsfähiger gegenüber Cyber-Bedrohungen zu machen, und gleichzeitig die bestehenden Kooperationsmechanismen stärken. Er wird dazu beitragen, ein sicheres digitales Umfeld für Bürger und Unternehmen zu gewährleisten und kritische Einrichtungen und wichtige Dienste wie Krankenhäuser und öffentliche Versorgungsunternehmen zu schützen.

Akademie für Cybersicherheit

Im Rahmen des Europäischen Jahres der Kompetenzen 2023 hat die Kommission auch eine Akademie für Cybersicherheitskompetenzen vorgestellt, um einen besser koordinierten Ansatz zur Schließung der Qualifikationslücke im Bereich der Cybersicherheit zu gewährleisten, die eine Voraussetzung für die Stärkung der Widerstandsfähigkeit Europas ist. Die Akademie wird verschiedene bestehende Initiativen zur Förderung von Cybersicherheitskompetenzen bündeln und auf einer Online-Plattform zur Verfügung stellen, um deren Sichtbarkeit zu erhöhen und die Zahl qualifizierter Cybersicherheitsexperten in der EU zu steigern.

Im Rahmen der Europäischen Sicherheitsunion hat sich die EU verpflichtet, dafür zu sorgen, dass alle europäischen Bürger und Unternehmen sowohl online als auch offline gut geschützt sind, und einen offenen, sicheren und stabilen Cyberraum zu fördern. Das zunehmende Ausmaß, die Häufigkeit und die Auswirkungen von Cybersicherheitsvorfällen stellen jedoch eine ernsthafte Bedrohung für das Funktionieren von Netz- und Informationssystemen und für den europäischen Binnenmarkt dar. Die militärische Aggression Russlands gegen die Ukraine hat diese Bedrohung weiter verschärft, ebenso wie die Vielzahl staatlicher, krimineller und hacktivistischer Akteure, die an den derzeitigen geopolitischen Spannungen beteiligt sind.

EU-Cyber-Solidaritätsakt

Die EU-Cyber-Solidaritätsakte wird die Solidarität auf Unionsebene stärken, um durch die Schaffung eines europäischen Cyber-Schutzschildes und eines umfassenden Cyber-Notfallmechanismus eine bessere Erkennung, Abwehrbereitschaft und Reaktion auf große oder schwerwiegende Cyber-Sicherheitsvorfälle zu ermöglichen.

Um größere Cyber-Bedrohungen schnell und wirksam erkennen zu können, schlägt die Kommission die Einrichtung eines europäischen Cyber-Schutzschildes vor, der sich aus nationalen und grenzübergreifenden Sicherheitsoperationszentren (SOC) in der gesamten EU zusammensetzt. Diese Zentren sollen Cyber-Bedrohungen erkennen und darauf reagieren. Sie werden modernste Technologien wie künstliche Intelligenz (KI) und fortgeschrittene Datenanalyse einsetzen, um Cyber-Bedrohungen und -Vorfälle frühzeitig zu erkennen und grenzüberschreitend zu melden. Im Gegenzug werden Behörden und zuständige Stellen in der Lage sein, effizienter und wirksamer auf größere Vorfälle zu reagieren.

Der EU-Cyber-Solidaritätsakt sieht auch die Einrichtung eines Cyber-Notfallmechanismus vor, um die Abwehrbereitschaft zu erhöhen und die Reaktionsfähigkeit auf Vorfälle in der EU zu verbessern. Unterstützt werden

Vorbereitende Maßnahmen, einschließlich der Prüfung von Einrichtungen in besonders kritischen Sektoren (Gesundheit, Verkehr, Energie usw.) auf potenzielle Schwachstellen auf der Grundlage gemeinsamer Risikoszenarien und Methoden.
Schaffung einer neuen EU-Reserve für Cybersicherheit, die aus Notfalldiensten vertrauenswürdiger Anbieter besteht, die im Voraus vertraglich verpflichtet werden und daher bereit sind, auf Ersuchen eines Mitgliedstaats oder der Organe, Einrichtungen, Ämter und Agenturen der Union im Falle eines schweren oder großflächigen Cybersicherheitsvorgangs einzugreifen.
Finanzielle Unterstützung für die gegenseitige Hilfe, wenn ein Mitgliedstaat einem anderen Mitgliedstaat Hilfe leisten kann.

Ferner wird mit der vorgeschlagenen Verordnung ein Verfahren zur Überprüfung von Cybersicherheitsvorfällen eingeführt, um die Widerstandsfähigkeit der Union zu erhöhen, indem größere oder schwerwiegende Cybersicherheitsvorfälle nach ihrem Auftreten untersucht und bewertet werden, um daraus Lehren zu ziehen und gegebenenfalls Empfehlungen zur Verbesserung der Cybersicherheitslage der Union auszusprechen.

EU-Akademie für Cybersicherheitskompetenzen

Die EU-Akademie für Cybersicherheitskompetenzen wird private und öffentliche Initiativen zusammenführen, die darauf abzielen, die Cybersicherheitskompetenzen auf europäischer und nationaler Ebene zu verbessern, sie sichtbarer zu machen und dazu beizutragen, den Fachkräftemangel im Bereich der Cybersicherheit zu beheben. Die Akademie soll sich zu einem gemeinsamen Raum für Akademiker, Ausbildungsanbieter und die Industrie entwickeln, um ihnen zu helfen, Bildungsprogramme, Ausbildung und Finanzierung zu koordinieren und die Entwicklung des Arbeitsmarktes für Cybersicherheit zu beobachten.

Zertifizierungssysteme für Managed Security Services
Die Kommission hat heute auch eine gezielte Änderung des Cybersicherheitsgesetzes vorgeschlagen, um die künftige Annahme europäischer Zertifizierungssysteme für „Managed Security Services“ zu ermöglichen. Dabei handelt es sich um äußerst kritische und sensible Dienstleistungen, die von Anbietern von Cybersicherheitsdiensten erbracht werden, wie Reaktion auf Zwischenfälle, Penetrationstests, Sicherheitsaudits und Beratung, um Unternehmen und andere Organisationen bei der Prävention, Erkennung, Reaktion und Wiederherstellung nach Cybervorfällen zu unterstützen.

Die Zertifizierung ist von zentraler Bedeutung und kann im Zusammenhang mit der EU-Cybersicherheitsreserve und der Richtlinie über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Niveaus an Cybersicherheit in der Union (NIS2-Richtlinie) eine wichtige Rolle spielen, da sie auch die grenzüberschreitende Erbringung dieser Dienste erleichtert.

Fachanwalt für IT-Recht Jens Ferner