IT und Netze: EU-Staaten wollen Sicherheit von Lieferketten stärken

Die EU-Länder sollen bei der Vergabe öffentlicher Aufträge einen Schwerpunkt auf cybersicherheitsbezogene Auswahlkriterien legen und Investitionen prüfen.

In Pocket speichern vorlesen Druckansicht 5 Kommentare lesen
Shipping,,Logistic,Supply,Chain,Vector,Illustration.,Export,,Import,Concept,Background

(Bild: PopTika/Shutterstock.com)

Lesezeit: 3 Min.

In der EU rücken die Lieferketten für Informations- und Kommunikationstechnologien (IKT) stärker in den Blick der Behörden. Regierungsvertreter der Mitgliedsstaaten haben dazu am Montag einschlägige Schlussfolgerungen des Ministerrates gebilligt. Darin geht es etwa um strengere Regeln für die Vergabe öffentlicher Aufträge und Überprüfungsmechanismen für ausländische Direktinvestitionen.

Mit dem ausgearbeiteten Instrumentarium reagieren die EU-Länder nach eigenen Angaben auf "einige der bislang folgenschwersten Cyberangriffe und auf die vielfältigen Bedrohungen", denen die IKT-Lieferketten ausgesetzt sind. So hatten in den vergangenen Monaten etwa die Kompromittierung des US-Softwareanbieters SolarWinds und damit ermöglichte schwere Cyberangriffe auf Regierungsinstitutionen und Unternehmen in den Vereinigten Staaten sowie das Sicherheitsdebakel Log4j hohe Wellen geschlagen.

Experten raten im Lichte solcher Vorfälle oft zur Implementierung eines "Zero Trust"-Modells. Dieses lässt sich am einfachsten mit "Traue keinem" beschreiben. So weit wollen die Mitgliedsstaaten aber nicht gehen. Sie schlagen stattdessen etwa vor, bei der Vergabe öffentlicher Aufträge einen Schwerpunkt auf cybersicherheitsbezogene Auswahlkriterien zu legen.

Die EU-Kommission soll in diesem Sinne methodische Leitlinien herausgeben, um die öffentlichen Auftraggeber zu ermutigen, ein angemessenes Augenmerk auf die Cybersicherheitsverfahren von Bietern und ihren Unterauftragnehmern zu legen. Der Rat drängt ferner auf allgemeine Maßnahmen, um Risiken für kritische IKT-Lieferketten zu verringern und damit die Durchführung koordinierter Risikobewertungen entsprechender Infrastrukturen im Rahmen der novellierten Richtlinie über die Netzwerk- und Informationssicherheit (NIS2) zu erleichtern. Großes Potenzial sieht er auch in der geplanten Verordnung zur Cyberresilienz.

Zudem sollen Finanzierungsmöglichkeiten erwogen werden, die es Organisationen erlauben, ein hohes Maß an Cybersicherheit mit Blick auf die Beschaffung von IKT-Produkten und ‑Diensten in der gesamten Lieferkette aufrechtzuerhalten. Das Gremium der Regierungsvertreter drängt auch auf Mechanismen, die die Finanzierung des Aufbaus einer sicheren digitalen Infrastruktur unterstützen und das gemeinsame Verständnis über einschlägige Probleme verbessern. Die internationale Zusammenarbeit soll vertieft werden, um die Sicherheit der IKT-Lieferketten in der EU und darüber hinaus zu stärken.

Allgemeines Ziel des Vorhabens ist es, die IKT-Ressourcen der EU auszubauen und das Risiko ungewollter strategischer Abhängigkeiten in den Lieferketten zu verringern. Die jüngsten europäischen Erfahrungen zeigten, wie rasch sich solche Unfreiheit "zu einer sehr realen Gefährdung wandeln kann", betonte van Bartoš, stellvertretender tschechischer Ministerpräsident für Digitalisierung im Namen der Ratspräsidentschaft. Es gelte, kritische IKT-Lieferketten zu schützen, denn sie seien enorm wichtig für die digitale Infrastruktur und damit für das "Rückgrat unserer modernen Gesellschaft und Wirtschaft".

(olb)