Digitale Souveränität: EU bläst zum Halali auf „Hochrisiko-Anbieter“ wie Huawei
Mit dem Cybersecurity Act 2 macht Brüssel Ernst: Huawei & Co sollen aus kritischen Bereichen verdrängt, Firmen gegen staatliche IT-Attacken gewappnet werden.
Kommissionsvizepräsidentin Henna Virkkunen will eine digitale „Festung Europa“ schaffen.
(Bild: European Union/Lukasz Kobus)
In Straßburg hat die EU-Kommission Dienstag eine Zäsur für den europäischen IT-Markt eingeleitet. Ihr Entwurf für den Cybersecurity Act 2 sucht Lösungen für eine Ära, in der digitale Infrastrukturen zum Schauplatz geopolitischer Machtkämpfe geworden sind. Die Kommission verlässt damit den Pfad unverbindlicher Empfehlungen und will eine Rechtsgrundlage schaffen, um Anbieter mit kritischem Risikoprofil wie Huawei oder ZTE aus China konsequent aus europäischer Infrastruktur verdrängen zu können.
„Festung Europa“
Die Stoßrichtung des Gesetzespakets ist unmissverständlich: Die EU will ihre Abhängigkeit von Drittstaaten-Ausrüstern beenden, die im Ernstfall als verlängerter Arm ausländischer Regierungen fungieren könnten. Was bisher vor allem für 5G-Netze im Rahmen einer „Toolbox“ galt, soll nun auf insgesamt 18 kritische Sektoren ausgedehnt werden. Die Kommission macht deutlich: Es geht nicht mehr nur darum, ob ein Router eine Hintertür hat. Vielmehr gelte es zu beachten, wer so ein Gerät gebaut hat und welchen Gesetzen dieser Hersteller in seiner Heimat unterliegt. Ziel ist eine „Festung Europa“ im digitalen Raum.
„Sicherheit ist kein optionales Extra, sondern das Fundament unserer digitalen Souveränität und die Voraussetzung für eine krisenfeste Wettbewerbsfähigkeit in einer instabilen Welt“, sagte Henna Virkkunen, die für Technik-Souveränität zuständige Kommissionsvizepräsidentin, am Dienstag. IT-Sicherheit müsse von der reinen IT-Aufgabe zum zentralen Element der nationalen Sicherheitspolitik aufgewertet werden.
Wie erwartet, enthält der Entwurf keine Liste von Staaten oder Unternehmen, von denen nach Ansicht der Kommission erhöhtes Risiko ausgeht. Diese EInschätzung kann sich ja rahsc ändern. Die EU-Staaten sollen vielmehr gemeinsam Risiken in Lieferketten erkennen und minimieren. Dabei sollen sie explizit wirtschaftliche Auswirkungen berücksichtigen, um Versorgungsengpässe bei Komponenten wie Chips zu verhindern.
Beschleunigte Zertifizierung als Wettbewerbsvorteil
Um den Ausschluss problematischer Anbieter wirtschaftlich abzufedern, setzt die Kommission auf einen Ausbau von Zertifizierung. Der neue Europäische Rahmen für die Cybersicherheitszertifizierung (ECCF) soll sicherstellen, dass Produkte nach dem Prinzip „Security by Design“ entwickelt werden. Und das mit Tempo: Neue Zertifizierungsschemata sollen künftig standardmäßig innerhalb von nur zwölf Monaten entwickelt werden. Bisher hinkte die Regulierung der technischen Entwicklung oft hinterher. Für Firmen in der EU soll das zum Wettbewerbsvorteil werden: Wer zertifiziert ist, weist nach, dass er die strengen EU-Sicherheitsvorgaben erfüllt.
Im Fokus stehen dabei kleine und mittlere Unternehmen (KMU), die oft unter der Last der Bürokratie stöhnen. Hier greift die Kommission korrigierend ein: Rund 28.700 Unternehmen sollen durch Vereinfachungen entlastet werden. Eine neue Kategorie für „Midcap-Unternehmen“ soll die Compliance-Kosten für zehntausende Firmen senken, ohne dass dabei Abstriche bei der Sicherheit gemacht werden. Ergänzt wird dies durch einen zentralen Meldeweg für Sicherheitsvorfälle (Single Entry Point), der die Reaktionsgeschwindigkeit bei Ransomware-Attacken massiv erhöhen dürfte.
Videos by heise
Enisa als Knotenpunkt der Verteidigung
Ein zentraler Pfeiler der neuen Sicherheitsarchitektur ist die EU-Cybersicherheitsagentur Enisa. Ihr Mandat wird nicht nur verstetigt, sondern ausgebaut. Die Agentur rückt ins Zentrum der europäischen Verteidigungslinie: Sie soll Frühwarnsysteme betreiben, die Zusammenarbeit mit Europol koordinieren und Unternehmen aktiv dabei unterstützen, sich nach Angriffen wieder aufzurappeln. Mit einer neuen, bei der Enisa angesiedelten Akademie für Cybersicherheitskompetenzen und EU-weiten Zertifikaten für IT-Sicherheitspersonal will die Kommission die personelle Basis für den Betrieb sicherer Netze schaffen.
Mit dem Aufschlag beginnt das Gesetzgebungsverfahren im Parlament und im Rat der EU. Stimmen diese zu, tritt die Verordnung unmittelbar in Kraft. Für die nationalen Regierungen bedeutet das Paket auch, dass sie innerhalb eines Jahres flankierende Änderungen der NIS2-Richtlinie umsetzen müssen.
Für Größen wie Huawei, dessen Mobilfunktechnik in Deutschland schon schrittweise zurückgebaut wird, tickt damit die Uhr: Die Zeit, in der sie trotz Sicherheitsbedenken tragende Rollen bei europäischer Infrastruktur spielen konnten, neigt sich dem Ende zu. Bundeskanzler Friedrich Merz (CDU) hat sich bereits klar positioniert, keine Komponenten von chinesischen Herstellern in deutschen 6G-Netzen zulassen zu wollen.
Doch reicht das Vorhaben der EU weit über den Mobilfunk hinaus: Auch in anderen kritischen Bereichen wie bei der Bahn, dem Energiesektor oder in städtischen Netzen ist seit Jahren Technik chinesischer Hersteller im Einsatz. Und Huawei ist Weltmarktführer bei Wechselrichtern für Solaranlagen.
(vbr)
