Europäische IT-Sicherheitsbehörde ENISA kommt

Das EU-Parlament hat grünes Licht für die geplante Europäische Agentur für Netzwerk- und Informationssicherheit (ENISA) gegeben. Um die Einrichtung zu beschleunigen, haben sich Parlament, Rat und Kommission vorab auf ein Kompromisspaket geeinigt. Der vorgezogene "Trilog" soll ermöglichen, dass Enisa bereits im Januar die Arbeit aufnehmen kann, sagte die Europaabgeordnete Erika Mann (SPD) gegenüber heise online. Die Agentur ist zunächst auf fünf Jahre geplant, nach drei Jahren soll aber eine erste Prüfung stattfinden. 24,3 Millionen Euro und weitere neun Millionen Euro nach erfolgtem Beitritt der neuen Mitgliedsstaaten soll die Behörde kosten. Es wird erwartet, dass der Telekommunikations-Ministerrat dem Kompromiss am heutigen Donnerstag ebenfalls zustimmt.

Der Parlamentsberichterstatter Reino Paasilinna sagte in einer Pressekonferenz nach der Entscheidung: "75 Prozent der EU-Unternehmen haben keine Strategie für Sicherheit, weniger als zwei Prozent aller Unternehmensinvestitionen gehen in diesen Bereich", sagte Paasilinna. Dabei hob er Probleme im Mobilfunk und durch Spam besonders hervor. "Alle sind sich daher einig, dass wir die Agentur brauchen." Die soll nun, so heißt es im Text der Direktive, für ein "hohes Maß an Netzwerk- und Informationssicherheit sorgen" und die dafür notwendige "Kultur für Netzsicherheit" schaffen. Exekutive Macht hat die Agentur dagegen nach Angaben von Mann nicht. "Es geht mehr um Information, Koordination und die Analyse von Schwachstellen." Denkbar seien allenfalls Gesetzgebungsverfahren als Konsequenz auf erkannte Probleme beziehungsweise große Unterschiede in den einzelnen Mitgliedsstaaten.

Weniger Einigkeit herrschte zwischen Rat, Parlament und Kommission hinsichtlich der Zusammensetzung der Agentur. Die Parlamentarier hätten mehrheitlich eine kleineren, operativen Vorstand und einen darunter angesiedelten Rat mit allen Mitgliedsstaaten favorisiert. "Sicherheitsfragen gehören aber für die Mitglieder verständlicherweise zu den hoheitlichen Kernaufgaben", sagt Mann. Daher haben nun alle Mitgliedsstaaten einen Sitz im Vorstand. Daneben sind drei Vertreter der Kommission und drei stimmlose Vertreter von Wirtschaft, Verbraucherschutz und Forschung mit an Bord. Letztere werden von der Kommission vorgeschlagen und vom Rat ernannt.

Rechnet man die Vertreter der Beitrittsländer hinzu, wird der Vorstand zumindest anfangs größer sein als die Schar der anfangs voraussichtlich um die 30 hauptamtlichen Mitarbeiter. Sie habe sich daher dafür stark gemacht, erklärte Mann, dass der Direktor der Agentur mehr Kompetenzen erhält und die vollen fünf Jahre im Amt sein wird. Der Mann an der Spitze der Agentur entwirft das Arbeitsprogramm und ist Vorsitzender der "Stakeholder-Gruppe", einem Gremium aus Wirtschaft, Verbrauchergruppen und Wissenschaftlern. Wie die Stakeholdergruppe genau besetzt wird, ist noch nicht klar. Mann betont allerdings, dass sie hier und in den geplanten Einzelarbeitsgruppen die Chance einer effektiven Mitsprache für die Wirtschaft sieht. Zum Maß der Mitspracherechte hat es lange Debatten im Vorfeld gegeben.

Ein spannender Streit steht den Mitgliedsländern jetzt noch bevor. Sowohl für den Sitz der Agentur wie auch für den Direktorposten gibt es schon wachsende Bewerberlisten. Im Sommer hatte etwa der IT-Branchenverband Bitkom die Bundesregierung aufgefordert, ENISA nach Deutschland zu holen. Während man die Frage um den Sitz allerdings vorläufig durch die europäische Standardantwort "Brüssel" zurückgestellt hat, muss der Direktor möglichst schnell benannt werden, will ENISA schon im Januar starten. Mann sagte, dass es auch dafür Bewerber aus Deutschland gibt. Der europäische Sicherheits-Oberchef wird keine leichte Aufgabe beim Ausgleich der unterschiedlichen Interessen haben. Europas zu benennender erster "Cybersecurity"-Zar jedenfalls wird die künftige Art der Arbeit von ENISA maßgeblich mitprägen. (Monika Ermert) / (jk)