Cyberangriffe treffen längst nicht mehr nur einzelne Unternehmen, sie gefährden kritische Infrastrukturen, ganze Lieferketten, Krankenhäuser und auch die öffentliche Verwaltung. Vor diesem Hintergrund hat die EU-Kommission zu Beginn dieses Jahres die Überarbeitung des mehr als sechs Jahre alten EU Cybersecurity Acts vorgestellt.
„Cybersicherheit muss schneller, klarer und weniger bürokratisch werden. Die Kommission macht mit der Revision des Cyber Security Act viele Regeln einfacher und die zuständige EU-Agentur für Cybersicherheit Enisa wird gestärkt“, sagte Susanne Dehmel, Geschäftsleiterin des Digitalverbands Bitkom.
Stärkerer EU‑Nachweis durch Cybersicherheitszertifikate
Positiv bewertet der Branchenverband der deutschen Informations- und Telekommunikationsbranche insbesondere, dass Cybersicherheitszertifikate künftig stärker als anerkannter Nachweis dienen sollen, um Anforderungen aus anderen EU-Rechtsakten zu erfüllen. Damit könne ein Zertifikat beispielsweise eine sogenannte Konformitätsvermutung begründen, etwa mit Blick auf Vorgaben aus NIS-2 oder dem Cyber Resilience Act. Das schafft Rechtssicherheit und kann Doppelprüfungen reduzieren. Ebenso richtig ist aus Sicht des Bitkom, dass die europäische Cybersicherheitsagentur Enisa künftig Plattformen und Werkzeuge für Meldungen sowie Lagebilder zur Cybersicherheitslage in der EU betreibt und weiter ausbaut. Dass die Kommission dafür auch finanziell nachlegt, ist nach Ansicht des Verbands folgerichtig und notwendig: Für den nächsten EU-Haushaltszeitraum 2028 bis 2034 erhält die Cybersicherheitsagentur durchschnittlich 49 Millionen Euro pro Jahr zusätzlich.
Wissenswertes zum Cybersecurity Act
Der Cybersecurity Act stärkt dauerhaft die EU Cybersicherheitsagentur Enisa und schafft einen einheitlichen Zertifizierungsrahmen für Produkte, Dienste und Prozesse der Informations- und Kommunikationstechnik mit den Stufen ‚niedrig‘, ‚mittel‘ und ‚hoch‘. Das BSI war maßgeblich an der Ausarbeitung beteiligt und bleibt vor allem im Hochsicherheitsbereich wichtig.
- Seit 27. Juni 2019 in Kraft: Europäischer Rechtsakt zur Cybersicherheit
- Zertifizierungen nach drei Sicherheitsstufen: niedrig – mittel – hoch
- Mitgliedsstaaten behalten zentrale Rolle im Hochsicherheitsbereich
- Weiterhin enge Kooperation mit europäischen Partnern im Bereich Cybersicherheitszertifizierung
Leider werde der Anspruch, mit vereinfachten Vorgaben und Meldepflichten ein unternehmensfreundlicheres Umfeld zu schaffen, noch nicht vollständig eingelöst. „Das Prinzip ‚ein Vorfall, eine Meldung‘ kann nur dann Realität werden, wenn die vielen Meldepflichten aus unterschiedlichen Regelwerken – etwa NIS-2, Cyber Resilience Act, Datenschutz-Grundverordnung – konsequent aufeinander abgestimmt werden. Sonst bleibt es in der Praxis bei parallelen Meldewegen und unnötigem Aufwand“, so Dehmel.
Bei der geplanten verpflichtenden Auslaufphase von Komponenten später zu benennender ausländischer Hersteller in kritischen Sektoren mahnt der Verband, die bereits bestehenden nationalen Pläne zu berücksichtigen. So haben in Deutschland die Telekommunikationsanbieter mit dem Bund bereits vertragliche Regelungen zum Ausbau entsprechender Komponenten aus ihren Netzen getroffen, diese Vereinbarungen und Fristen müssen Bestand haben, auch um Digitalisierungsziele nicht zu gefährden. (nu)
Weitere Informationen finden Sie auf der Bitkom-Website.
