Cybersecurity Act – was tut die EU für die IT-Sicherheit?

Ziel des Cybersecurity Acts

Die Verordnung möchte der Tatsache gerecht werden, dass zwar immer mehr Geräte mit dem Internet vernetzt sind, doch bereits in der Konzeptionsphase dieser Geräte nur unzureichend das Thema Cybersicherheit berücksichtigt wurde. „In diesem Zusammenhang führt das geringe Maß an Zertifizierung dazu, dass Personen, Organisationen und Unternehmen die IKT-Produkte, -Dienste und -Prozesse nutzen, nur unzureichend über deren Cybersicherheitsmerkmale informiert werden, wodurch das Vertrauen in digitale Lösungen untergraben wird.“ (Siehe zweiter Erwägungsgrund des Cybersecurity Acts, mit IKT-Produkt beschreibt die Verordnung ein Element oder eine Gruppe von Elementen eines Netz- oder Informationssystems.)

Genau diesen Umständen möchte das neue Gesetz begegnen, indem es einerseits eine starke Agentur für Cybersicherheit (ENISA) implementiert und andererseits Regeln zum Thema IT-Sicherheitszertifizierungen definiert.

IT-Sicherheit – ein schwieriges Umfeld für Gesetzesvorhaben

Gesetze zum Thema Cybersecurity müssen eins sein: FLEXIBEL. Die sich stetig ändernde Hard- und Softwarelandschaft macht es dem Gesetzgeber, egal ob auf nationaler oder internationaler Ebene, extrem schwierig, feste Regeln zur IT-Sicherheit festzulegen. Daher wurde bereits im Artikel 32 der EU-Datenschutz-Grundverordnung, der sich im Wesentlichen um die Sicherheit der Verarbeitungsvorgänge dreht, auf den „aktuellen Stand der Technik“ verwiesen. Diese gleichwohl etwas schwammige Formulierung macht es den Unternehmen und auch uns Beratern nicht gerade einfach, geeignete IT-Sicherheitsvorkehrungen auszuwählen. Diese Formulierung trifft aber genau eine Anforderung an Gesetzestexte im Bereich Cybersecurity: FLEXIBEL GENUG ZU SEIN, um die sich stetig ändernden Marktbedingungen abfangen zu können, ohne dabei jährlich zehn oder mehr Gesetzesanpassungen durchführen zu müssen.

Mit dem Cybersecurity Act hat die EU einen weiteren Baustein hinzugefügt, der ebenfalls flexibel auf die sich stetig ändernden Umweltbedingungen antworten kann.

Die ENISA – was sind die Aufgaben der EU-Behörde?

Die Agentur der Europäischen Union für Cybersicherheit ist keine neu geschaffene Behörde. Sie wurde bereits 2004 gegründet, allerdings mit einem vorübergehenden Mandat und mit weniger Kompetenzen.
Die neue Verordnung verlängert das Mandat der ENISA und gestaltet diese zu einem zentralen Bezugspunkt für die Beratung und Unterstützung im Rahmen der IT-Sicherheit.

Die Aufgaben der EU-Behörde sind dabei in 8 Themenfelder gesplittet:

1. Entwicklung und Umsetzung der EU-Politik und des EU-Rechts
   Konkret ist vorgesehen, dass die ENISA u.a. die EU-Politik zur Cybersicherheit prüfen soll und selbständig sektorspezifische Empfehlungen und Leitlinien ausarbeitet. Ergänzt wird dieses Feld mit einem jährlichen Bericht, der Sicherheitsvorfälle in den Mitgliedsstaaten aufbereiten soll.
   

2. Kapazitätsaufbau bei den einzelnen Institutionen und Mitgliedern der EU
   Die Behörde soll als fachlicher Ansprechpartner dienen und einzelne Maßnahmen zur Wahrung der IT-Sicherheit fördern und monitoren.
   

3. Operative Zusammenarbeit auf EU-Ebene
   Neben sektorspezifischen Cybersicherheitsübungen soll die ENISA gleichsam mit dem IT-Notfallteam der sogenannten CERT-EU zusammenarbeiten, um Doppelarbeiten zu vermeiden. Zusätzlich ist vorgesehen, auf Anfrage der einzelnen Institutionen der EU, die Notfallkommunikation zu übernehmen und den Informationsfluss zwischen allen Beteiligten zu steuern.
   

4. Markt, Cybersicherheitszertifizierung und Normung
   Ein zentraler Punkt der neuen Verordnung sind die europäischen Schemata für die Cybersicherheitszertifizierungen. An dieser Stelle soll die ENISA Übersichtskataloge führen, die Marktakzeptanz der entsprechenden Zertifizierung evaluieren und regelmäßig prüfen, ob ein gewisser Standard zukünftig für ganz Europa gelten kann.
   

5. Wissen und Informationen
   Für neu entstehende Technik soll die ENISA Analysen erstellen, die die zu erwartenden gesellschaftlichen, rechtlichen, wirtschaftlichen und regulatorischen Auswirkungen auf die Cybersicherheit betrachten. Gleichsam sollen Leitlinien für alle EU-Organisationen und auch für die EU-Bürger selbst ausgearbeitet werden.
   

6. Sensibilisierung und Ausbildung
   Unterstützt werden sollen öffentliche Kampagnen, um die einzelnen EU-Bürger und Unternehmen zur Cyberhygiene zu sensibilisieren. Gleichzeitig sollen Ausbildungsangebote zur Cybersicherheit der einzelnen Mitgliedsstaaten gefördert werden.
   

7. Forschung und Innovation
   In Bezug auf die Forschung berät die ENISA zukünftig die EU-Organe, wo Prioritäten gesetzt werden sollen.
   

8. Internationale Zusammenarbeit
   Die ENISA soll zuletzt bei Bedarf herangezogen werden, um zukünftig die Anerkennung internationaler Cybersicherheitszertifikate zu erleichtern.

Ein neues CE Siegel für die Cybersicherheit?

Von einem einheitlichen „Cybersicherheitssiegel“ ist die EU auch mit der neuen Verordnung noch weit entfernt. Der zweite inhaltliche Hauptteil des neuen Gesetzes legt allerdings die Grundsteine, um ein einheitliches europäisches Cybersicherheitszertifizierungsschema, dass durch das einschlägige EU-Recht verbindlich vorgeschrieben werden soll, perspektivisch gestalten zu können. Warum dieser „unkonkret erscheinende“ Weg gewählt wurde, liegt an dem bereits beschriebenen extrem dynamischen Umfeld, in dem sich die IT-Sicherheit bewegt. Ein Standard, der heute alles umfasst, kann morgen bereits obsolet sein. Daher ist die Methode, einen längeren Prozess mit Rahmenbedingungen zu definieren, die richtige. Am greifbarsten wird diese Aussage, wenn man bedenkt, dass es das massentaugliche Smartphone, wie wir es heute alle täglich nutzen, erst seit zwölf Jahren gibt.

Den vollständigen Gesetzestext können Sie hier herunterladen.