Digitale Bedrohungen: EU-Rat billigt Cyberschutzschild und Frühwarnsystem

Der EU-Ministerrat hat am Montag den Entwurf für ein Cybersolidaritätsgesetz final angenommen. Damit sollen nationale und grenzüberschreitende Sicherheitseinsatzzentren ("Hubs") in der gesamten EU eingerichtet und vernetzt werden, um digitale Bedrohungen etwa mithilfe von Künstlicher Intelligenz (KI) und fortgeschrittenen Datenanalysen besser zu erkennen. Ziel ist es, über die neuen Operationszentren Informationen über Gefahren wie Cyberangriffe auszutauschen und "angemessen" darauf zu antworten. Dieses Frühwarnsystem soll den Behörden und anderen zuständigen Stellen laut dem ursprünglichen Vorschlag der EU-Kommission "ein Lagebild in Echtzeit" vermitteln.

Auf die Verordnung einigten sich Unterhändler des Gremiums der Mitgliedsstaaten und des EU-Parlaments prinzipiell bereits im März. Demnach werden die Länder auch einen Mechanismus für Cybernotfälle etablieren. Er soll die Bereitschaft und die Reaktionsfähigkeit auf erhebliche und großflächige IT-Angriffe verbessern. Dabei geht es vor allem um Vorsorgemaßnahmen einschließlich Tests von Einrichtungen in hochkritischen Sektoren wie Gesundheit, Verkehr und Energie, mit Fokus auf potenzielle Schwachstellen. Dazu müssen die Regierungen gemeinsame Risikoszenarien erstellen. Zudem soll eine EU-Cybersicherheitsreserve mit Notdiensten vertrauenswürdiger zertifizierter Anbieter als schnelle Einsatztruppe fungieren. Mobilisieren können diese Staaten, Organe, Einrichtungen oder Agenturen der EU oder auch Drittländer, wenn sie sich dem Programm "digitales Europa" angeschlossen haben.

EU-Kassenprüfer haben schwere Bedenken

Auf Ersuchen der Kommission oder nationaler Behörden wird die EU-Agentur für Cybersicherheit (Enisa) ferner künftig bestimmte Cybersicherheitsvorfälle genauer untersuchen können. Sie muss in Folge einen Bericht mit gewonnenen Erkenntnissen und Empfehlungen vorlegen. Mitgliedsstaaten, die einem anderen EU-Land bei einem "bedeutenden oder groß angelegten Vorfall im Bereich der Cybersicherheit" technische Hilfe leisten, sollen finanzielle Unterstützung aus EU-Mitteln erhalten. Grünes Licht gab der Rat auch für eine Änderung des Cybersecurity Act von 2019. Sie ermöglicht es, europäische Zertifizierungssysteme für Sicherheitsdienste einzuführen. Dabei geht es etwa um Penetrationstests, Sicherheitsprüfungen, Beratung und Support. Das soll dazu beitragen, einen Rahmen für die Bestellung vertrauenswürdiger Anbieter für die vorgesehene Sicherheitsreserve zu schaffen.

Das Parlament hat dem Paket bereits zugestimmt. Nach der Unterschrift der Präsidenten beider Kammern werden beide Rechtsakte nun in den kommenden Wochen im EU-Amtsblatt verkündet. Sie treten dann am 20. Tag nach ihrer Veröffentlichung in Kraft. Der Europäische Rechnungshof warnte voriges Jahr, mit dem Cybersolidaritätsgesetz werde die bereits unübersichtliche "Cybersicherheitsgalaxie" der EU mit zahlreichen sich überlappenden Gremien und Vorschriften noch komplexer. Die Funktion des virtuellen Schirms drohe zudem durch einen mangelnden Informationsaustausch zwischen den EU-Ländern beeinträchtigt zu werden.

(mki)