Cybersecurity Act – was tut die EU für die IT-Sicherheit?

Béla Maaß

Am 27. Juni 2019 ist der Cybersecurity Act in Kraft getreten. Doch was hat die Europäische Union mit der neuen Verordnung eigentlich genau geregelt?

Zwei Frauen schauen auf eine Wand mit vielen Sicherheitskameras

Ziel des Cybersecurity Acts

Die Verordnung möchte der Tatsache gerecht werden, dass zwar immer mehr Geräte mit dem Internet vernetzt sind, doch bereits in der Konzeptionsphase dieser Geräte nur unzureichend das Thema Cybersicherheit berücksichtigt wurde. „In diesem Zusammenhang führt das geringe Maß an Zertifizierung dazu, dass Personen, Organisationen und Unternehmen die IKT-Produkte, -Dienste und -Prozesse nutzen, nur unzureichend über deren Cybersicherheitsmerkmale informiert werden, wodurch das Vertrauen in digitale Lösungen untergraben wird.“ (Siehe zweiter Erwägungsgrund des Cybersecurity Acts, mit IKT-Produkt beschreibt die Verordnung ein Element oder eine Gruppe von Elementen eines Netz- oder Informationssystems.)

Genau diesen Umständen möchte das neue Gesetz begegnen, indem es einerseits eine starke Agentur für Cybersicherheit (ENISA) implementiert und andererseits Regeln zum Thema IT-Sicherheitszertifizierungen definiert.

Ein Zahlenschloss steht auf der Tastatur eines Laptops
Das Sicherheitsschloss liefert der Cybersecurity Act nicht, dafür regelt er die Kompetenzen der ENISA und bereitet den Weg für ein einheitliches EU-Cybersicherheitszertifizierungsschema.

IT-Sicherheit – ein schwieriges Umfeld für Gesetzesvorhaben

Gesetze zum Thema Cybersecurity müssen eins sein: FLEXIBEL. Die sich stetig ändernde Hard- und Softwarelandschaft macht es dem Gesetzgeber, egal ob auf nationaler oder internationaler Ebene, extrem schwierig, feste Regeln zur IT-Sicherheit festzulegen. Daher wurde bereits im Artikel 32 der EU-Datenschutz-Grundverordnung, der sich im Wesentlichen um die Sicherheit der Verarbeitungsvorgänge dreht, auf den „aktuellen Stand der Technik“ verwiesen. Diese gleichwohl etwas schwammige Formulierung macht es den Unternehmen und auch uns Beratern nicht gerade einfach, geeignete IT-Sicherheitsvorkehrungen auszuwählen. Diese Formulierung trifft aber genau eine Anforderung an Gesetzestexte im Bereich Cybersecurity: FLEXIBEL GENUG ZU SEIN, um die sich stetig ändernden Marktbedingungen abfangen zu können, ohne dabei jährlich zehn oder mehr Gesetzesanpassungen durchführen zu müssen.

Mit dem Cybersecurity Act hat die EU einen weiteren Baustein hinzugefügt, der ebenfalls flexibel auf die sich stetig ändernden Umweltbedingungen antworten kann.

Die ENISA – was sind die Aufgaben der EU-Behörde?

Die Agentur der Europäischen Union für Cybersicherheit ist keine neu geschaffene Behörde. Sie wurde bereits 2004 gegründet, allerdings mit einem vorübergehenden Mandat und mit weniger Kompetenzen.
Die neue Verordnung verlängert das Mandat der ENISA und gestaltet diese zu einem zentralen Bezugspunkt für die Beratung und Unterstützung im Rahmen der IT-Sicherheit.

Die Aufgaben der EU-Behörde sind dabei in 8 Themenfelder gesplittet:

  1. Entwicklung und Umsetzung der EU-Politik und des EU-Rechts
    Konkret ist vorgesehen, dass die ENISA u.a. die EU-Politik zur Cybersicherheit prüfen soll und selbständig sektorspezifische Empfehlungen und Leitlinien ausarbeitet. Ergänzt wird dieses Feld mit einem jährlichen Bericht, der Sicherheitsvorfälle in den Mitgliedsstaaten aufbereiten soll.

  2. Kapazitätsaufbau bei den einzelnen Institutionen und Mitgliedern der EU
    Die Behörde soll als fachlicher Ansprechpartner dienen und einzelne Maßnahmen zur Wahrung der IT-Sicherheit fördern und monitoren.

  3. Operative Zusammenarbeit auf EU-Ebene
    Neben sektorspezifischen Cybersicherheitsübungen soll die ENISA gleichsam mit dem IT-Notfallteam der sogenannten CERT-EU zusammenarbeiten, um Doppelarbeiten zu vermeiden. Zusätzlich ist vorgesehen, auf Anfrage der einzelnen Institutionen der EU, die Notfallkommunikation zu übernehmen und den Informationsfluss zwischen allen Beteiligten zu steuern.

  4. Markt, Cybersicherheitszertifizierung und Normung
    Ein zentraler Punkt der neuen Verordnung sind die europäischen Schemata für die Cybersicherheitszertifizierungen. An dieser Stelle soll die ENISA Übersichtskataloge führen, die Marktakzeptanz der entsprechenden Zertifizierung evaluieren und regelmäßig prüfen, ob ein gewisser Standard zukünftig für ganz Europa gelten kann.

  5. Wissen und Informationen
    Für neu entstehende Technik soll die ENISA Analysen erstellen, die die zu erwartenden gesellschaftlichen, rechtlichen, wirtschaftlichen und regulatorischen Auswirkungen auf die Cybersicherheit betrachten. Gleichsam sollen Leitlinien für alle EU-Organisationen und auch für die EU-Bürger selbst ausgearbeitet werden.

  6. Sensibilisierung und Ausbildung
    Unterstützt werden sollen öffentliche Kampagnen, um die einzelnen EU-Bürger und Unternehmen zur Cyberhygiene zu sensibilisieren. Gleichzeitig sollen Ausbildungsangebote zur Cybersicherheit der einzelnen Mitgliedsstaaten gefördert werden.

  7. Forschung und Innovation
    In Bezug auf die Forschung berät die ENISA zukünftig die EU-Organe, wo Prioritäten gesetzt werden sollen.

  8. Internationale Zusammenarbeit
    Die ENISA soll zuletzt bei Bedarf herangezogen werden, um zukünftig die Anerkennung internationaler Cybersicherheitszertifikate zu erleichtern.

Ein neues CE Siegel für die Cybersicherheit?

Von einem einheitlichen „Cybersicherheitssiegel“ ist die EU auch mit der neuen Verordnung noch weit entfernt. Der zweite inhaltliche Hauptteil des neuen Gesetzes legt allerdings die Grundsteine, um ein einheitliches europäisches Cybersicherheitszertifizierungsschema, dass durch das einschlägige EU-Recht verbindlich vorgeschrieben werden soll, perspektivisch gestalten zu können. Warum dieser „unkonkret erscheinende“ Weg gewählt wurde, liegt an dem bereits beschriebenen extrem dynamischen Umfeld, in dem sich die IT-Sicherheit bewegt. Ein Standard, der heute alles umfasst, kann morgen bereits obsolet sein. Daher ist die Methode, einen längeren Prozess mit Rahmenbedingungen zu definieren, die richtige. Am greifbarsten wird diese Aussage, wenn man bedenkt, dass es das massentaugliche Smartphone, wie wir es heute alle täglich nutzen, erst seit zwölf Jahren gibt.

Den vollständigen Gesetzestext können Sie hier herunterladen.

Newsletter mit interessanten Beiträgen

Was gibt es Neues? Profitieren Sie von aktuellen und kostenfreien Arbeitsvorlagen, Buchartikeln, Seminarempfehlungen, Best-Practice-Ansätzen uvm. – so können Sie Ihre Arbeitsabläufe optimieren und neues Wissen in der Praxis einsetzen.

Hier geht es zur Anmeldung.

Zur Übersicht