Die Kommission hat einen Vorschlag für ein EU-Cybersolidaritätsgesetz angenommen, um die Cybersicherheitskapazitäten in der EU zu stärken. Es soll die Erkennung und Sensibilisierung im Bereich der Cybersicherheitsbedrohungen und -vorfälle in der EU stärken, die Abwehrbereitschaft kritischer Einrichtungen verbessern und die Solidarität und konzertierte Krisenbewältigungs- und Reaktionsfähigkeiten in allen Mitgliedstaaten verbessern. Mit dem Cybersolidaritätsgesetz werden EU-Kapazitäten geschaffen, um Europa gegen Cyberbedrohungen widerstandsfähiger und reaktionsfähiger zu machen und gleichzeitig den bestehenden Kooperationsmechanismus zu stärken. Das Gesetz wird dazu beitragen, ein sicheres digitales Umfeld für die Bürgerinnen und Bürger und die Unternehmen zu schaffen und kritische Einrichtungen und wesentliche Dienste wie Krankenhäuser und öffentliche Versorgungsunternehmen zu schützen.
Überdies hat die Kommission im Rahmen des Europäischen Jahres der Kompetenzen 2023 eine Akademie für Cybersicherheitskompetenzen vorgestellt, um ein besser koordiniertes Vorgehen zur Schließung der Fachkräftelücke im Bereich der Cybersicherheit zu erreichen – eine Voraussetzung für die Stärkung der Resilienz Europas. Die Akademie wird verschiedene bestehende Initiativen zur Förderung von Cybersicherheitskompetenzen auf einer Online-Plattform zusammenführen, um sie so besser sichtbar zu machen und die Zahl qualifizierter Cybersicherheitsfachkräfte in der EU zu erhöhen.
Im Rahmen der Europäischen Sicherheitsunion setzt sich die EU dafür ein, dass alle europäischen Bürgerinnen und Bürger und europäischen Unternehmen sowohl online als auch offline gut geschützt werden, und fördert gleichzeitig einen offenen, sicheren und stabilen Cyberraum. Die immer größere Tragweite und Häufigkeit von Cybersicherheitsvorfällen und ihre zunehmenden Auswirkungen stellen jedoch eine erhebliche Bedrohung für den störungsfreien Betrieb von Netz- und Informationssystemen und den europäischen Binnenmarkt dar. Die militärische Aggression Russlands gegen die Ukraine hat diese Bedrohung weiter verschärft und geht mit einer Vielzahl staatsnaher, krimineller und hacktivistischer Akteure einher, die an den derzeitigen geopolitischen Spannungen beteiligt sind.
Aufbauend auf einem bereits bestehenden starken strategischen, politischen und rechtlichen Rahmen werden das vorgeschlagene EU-Cybersolidaritätsgesetz und die Akademie für Cybersicherheitskompetenzen dazu beitragen, die Erkennung von Cyberbedrohungen, die Widerstandsfähigkeit und die Abwehrbereitschaft auf allen Ebenen des Cybersicherheitsökosystems der EU weiter zu verbessern.
EU-Cybersolidaritätsgesetz
Das EU-Cybersolidaritätsgesetz wird die Solidarität auf Unionsebene stärken, damit schwerwiegende Cybersicherheitsvorfälle und Cybersicherheitsvorfälle großen Ausmaßes besser erkannt und die Vorsorge- und Bewältigungsmaßnahmen verbessert werden können, indem ein europäischer Cyberschutzschild und ein umfassender Cybernotfallmechanismus geschaffen werden.
Zur raschen und effektiven Erkennung großer Cyberbedrohungen schlägt die Kommission die Einrichtung eines europäischen Cyberschutzschilds, einer europaweiten Infrastruktur bestehend aus Sicherheitseinsatzzentren (SOCs) in der gesamten EU ein. Hierbei handelt es sich um Stellen, die sich mit der Erkennung und Abwehr von Cyberbedrohungen befassen. Sie werden modernste Technik wie künstliche Intelligenz (KI) und fortgeschrittene Datenanalyse nutzen, um grenzüberschreitende Cyberbedrohungen und ‑vorfälle rechtzeitig zu erkennen und davor zu warnen. Behörden und einschlägige Einrichtungen wiederum werden so in der Lage sein, effizienter und wirksamer auf größere Cybervorfälle zu reagieren.
Diese Zentren könnten schon Anfang 2024 einsatzbereit sein. In der Vorbereitungsphase für den europäischen Cyberschutzschild hat die Kommission im April 2023 im Rahmen des Programms Digitales Europa drei Konsortien für grenzüberschreitende Sicherheitseinsatzzentren (SOCs) ausgewählt, in denen sich öffentliche Einrichtungen aus 17 Mitgliedstaaten und Island zusammengeschlossen haben.
Das EU- Cybersolidaritätsgesetz sieht auch die Schaffung eines Cybernotfallmechanismus vor, um die Abwehrbereitschaft zu steigern und die Reaktionsfähigkeit bei Cybervorfällen in der EU zu verbessern. Unterstützt werden sollen
- Vorsorgemaßnahmen, einschließlich Tests zur Ermittlung potenzieller Schwachstellen bei Einrichtungen in besonders kritischen Sektoren (Gesundheitsversorgung, Verkehr, Energie usw.), auf der Grundlage gemeinsamer Risikoszenarien und -methoden,
- der Aufbau einer neuen EU-Cybersicherheitsreserve bestehend aus Sicherheitsvorfall-Notdiensten vertrauenswürdiger Anbieter, die vorab unter Vertrag genommen werden und somit bei einem schwerwiegenden Cybersicherheitsvorfall oder einem Cybersicherheitsvorfall großen Ausmaßes auf Ersuchen eines Mitgliedstaats oder der Organe, Einrichtungen und sonstigen Stellen der Union sofort eingreifen können,
- die finanzielle Förderung der gegenseitigen Amtshilfe, sodass ein Mitgliedstaat einem anderen Mitgliedstaat Unterstützung anbieten kann.
Außerdem wird mit der vorgeschlagenen Verordnung der Überprüfungsmechanismus für Cybersicherheitsvorfälle eingerichtet, um die Abwehrfähigkeit der Union durch eine nachträgliche Überprüfung und Bewertung von schwerwiegenden Cybersicherheitsvorfällen und Cybersicherheitsvorfällen großen Ausmaßes zu stärken, Erkenntnisse daraus zu gewinnen und gegebenenfalls Empfehlungen zur Verbesserung der Cyberabwehr der Union zu formulieren.
Das Gesamtbudget für alle Maßnahmen des EU-Cybersolidaritätsgesetzes beläuft sich auf 1,1 Mrd. EUR, wovon etwa zwei Drittel von der EU über das Programm Digitales Europa finanziert werden.
EU-Akademie für Cybersicherheitskompetenzen
Die EU-Akademie für Cybersicherheitskompetenzen wird private und öffentliche Initiativen bündeln, die darauf abzielen, die Cybersicherheitskompetenzen auf europäischer und nationaler Ebene zu verbessern und sichtbarer zu machen, und dazu beitragen, den bestehenden Fachkräftemangel im Bereich der Cybersicherheit abzubauen.
Die Akademie wird zunächst auf der Plattform der Kommission für digitale Kompetenzen und Arbeitsplätze online auftreten. Bürgerinnen und Bürger, die an einer Laufbahn im Bereich der Cybersicherheit interessiert sind, werden dort Informationen zu Ausbildungsangeboten, Schulungen und Zertifizierungen aus der gesamten EU online an einem einzigen Ort finden. Ferner werden Interessenträger und Beteiligte ihre Unterstützung für die Verbesserung der Cybersicherheitskompetenzen in der EU dort bekannt machen können, indem sie beispielsweise spezifische Maßnahmen wie Schulungen und Zertifizierungen im Bereich der Cybersicherheit anbieten.
Die Akademie soll sich zu einem gemeinsamen Raum für Hochschuleinrichtungen, Schulungsanbieter und die Branche entwickeln und ihnen bei der Koordinierung von Bildungsprogrammen, Schulungsmaßnahmen und Finanzierungsmöglichkeiten sowie bei der Verfolgung der Entwicklung des Arbeitsmarkts im Bereich der Cybersicherheit helfen.
Zertifizierungssysteme für verwaltete Sicherheitsdienste
Die Kommission hat auch eine gezielte Änderung des Rechtsakts zur Cybersicherheit vorgeschlagen, um die künftige Annahme europäischer Zertifizierungssysteme für „verwaltete Sicherheitsdienste“ zu ermöglichen. Dabei handelt es sich um hochkritische und sensible Dienstleistungen, die von Anbietern von Cybersicherheitsdiensten erbracht werden, wie z. B. Reaktion auf Sicherheitsvorfälle, Penetrationstests, Sicherheitsaudits und Beratung, um so Unternehmen und andere Organisationen bei der Verhütung, Erkennung und Bewältigung von Cybervorfällen oder der anschließenden Wiederherstellung zu unterstützen.
Die Zertifizierung ist von größter Bedeutung und kann im Zusammenhang mit der EU-Cybersicherheitsreserve und der Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union (NIS-2-Richtlinie) eine wichtige Rolle spielen und auch die grenzüberschreitende Erbringung solcher Dienste erleichtern.
Nächste Schritte
Das Europäische Parlament und der Rat werden nun den Verordnungsvorschlag für das EU-Cybersolidaritätsgesetz und die gezielte Änderung des Rechtsakts zur Cybersicherheit prüfen.
Das Europäische Kompetenzzentrum für Cybersicherheit wird gemeinsam mit den ausgewählten grenzübergreifenden Sicherheitseinsatzzentren die gemeinsame Beschaffung von Werkzeugen und Infrastrukturen organisieren, um Fähigkeiten zur Erkennung von Cyberangriffen aufzubauen.
Die EU-Cybersicherheitsagentur (ENISA) und das Europäische Kompetenzzentrum für Cybersicherheit werden weiterhin an Cybersicherheitskompetenzen arbeiten und im Einklang mit ihren jeweiligen Mandaten und in enger Zusammenarbeit mit der Kommission und den Mitgliedstaaten an der Verwirklichung der Akademie für Cybersicherheitskompetenzen mitwirken.
Die Kommission schlägt vor, dass die Akademie in Form eines Konsortiums für eine europäische Digitalinfrastruktur (EDIC) eingerichtet wird. Hierbei handelt es sich um einen neuen Rechtsrahmen für die Durchführung von Mehrländerprojekten. Diese Möglichkeit wird nun mit den Mitgliedstaaten erörtert.
Außerdem muss sichergestellt werden, dass die Fachkräfte die erforderlichen hochwertigen Schulungen absolvieren. Dazu wird die ENISA ein Pilotprojekt entwickeln, in dem die Einrichtung eines europäischen Zertifizierungssystems für Cybersicherheitskompetenzen geprüft wird.