Strengthen Cybersecurity capacities of European SMEs in line with CRA requirements and obligations

  • Topic ID: DIGITAL-ECCC-2024-DEPLOY-CYBER-06-STRENGTHENCRA
  • Förderprogramm: DIGITALES Europa
  • Destination: CYBER
  • Call: Deployment Actions in the area of Cybersecurity 2024
  • Bewerbungszeitraum: 16.01.2024, 12.00 Uhr - 26.03.2024, 12.00 Uhr
  • Budget: 1 Projekt à 22 Mio. €
  • Förderinstrument: DIGITAL Grant for Support to Third Parties
  • Förderquote: 100% consortium / 50% supported third
Zur Ausschreibung

Erwartetes Ergebnis:

Ergebnisse:

  • Finanzielle Unterstützung von KMUs und anderen Akteuren bei der Einhaltung des CRA.
  • Offen zugängliche Plattform mit CRA-bezogenen Ressourcen (z. B. Leitlinien und unterstützende Dokumente), die den Aufbau einer Gemeinschaft und die Weiterbildung unterstützen.
  • Workshops, Veranstaltungen, Vernetzung und Erfahrungsaustausch von Akteuren.
  • Beiträge zur CRA-Standardisierung.

Zielsetzung:

Ziel dieses Themas ist es, europäische KMUs, mit Schwerpunkt auf Kleinst- und Kleinunternehmen, bei der Stärkung ihrer Cybersicherheitskapazitäten zu unterstützen und die Umsetzung der vorgeschlagenen Verordnung über den Cyber Resilience Act (CRA) zu fördern.

Umfang:

In Synergie mit anderen im Rahmen dieses Arbeitspakets eingeleiteten Maßnahmen zur Entwicklung von Instrumenten für die Einhaltung des CRA sollen im Rahmen dieser Maßnahme Kaskadenfinanzierungszuschüsse an europäische KMUs vergeben werden, wobei der Schwerpunkt auf Kleinst- und Kleinunternehmen liegt, jedoch auch anderen Akteuren offen steht, um die Einhaltung der sich aus des CRA ergebenden Anforderungen und Verpflichtungen zu unterstützen.

Die Antragsteller werden aufgefordert, Kategorien von Empfängern von Kaskadenfinanzierungen zu benennen, darunter mindestens die folgenden:

  • Hersteller von Produkten mit digitalen Komponenten, einschließlich Softwareentwickler.
  • Anbieter von Werkzeugen und Lösungen, die die Einhaltung der CRA-Verpflichtungen erleichtern.
  • Andere gut begründete Kategorien im Einklang mit dem CRA (z. B. Händler, Importeure, Open-Source-Community).

Für jede ermittelte Stakeholder-Kategorie sollte ein spezielles Maßnahmenpaket ausgearbeitet werden, das die spezifischen Bedürfnisse der Zielverbraucher, der gewerblichen Nutzer und anderer relevanter Stakeholder berücksichtigt.

Das vorgeschlagene Projekt sollte Maßnahmen zu folgenden Themen umfassen:

  • Sensibilisierungs- und Verbreitungsmaßnahmen sowie andere Maßnahmen zur Einbindung von Interessengruppen mit Schwerpunkt auf der Kaskadenfinanzierung für europäische KMUs, wobei der Schwerpunkt auf Kleinst- und Kleinunternehmen liegt.
  • Verwaltung eines offenen Ausschreibungsverfahrens zur Verteilung von Kaskadenfinanzierungen, einschließlich der unparteiischen Bewertung von Vorschlägen und der Überwachung der Durchführung von Finanzhilfen.
  • Einrichtung einer offen zugänglichen Plattform mit Links zu CRA-bezogenen Ressourcen, die das vorgeschlagene Projekt selbst sammelt oder entwickelt oder die aus externen Quellen zur Verfügung stehen und den Aufbau einer Gemeinschaft und die Weiterbildung unterstützen. Dazu gehört z. B. eine spezielle zentrale Website, auf der interne und externe Ressourcen, Schritt-für-Schritt-Leitfäden, Compliance-Tools, Schulungsmaterial, freie und quelloffene Code-Implementierungen und andere relevante Ressourcen für die Einhaltung vom CRA leicht auffindbar sind. Dazu sollten u. a. die im Rahmen dieses Arbeitsprogramms zu diesem Zweck beschafften Tools gehören.
  • In enger Abstimmung mit der EU Cybersecurity Skills Academy: Durchführung von Schulungen und Weiterbildung von Interessenvertretern, um die Einhaltung vom CRA zu erreichen, d. h. Organisation von Workshops, Schulungen und Veranstaltungen, Entwurf von Leitlinien, Unterstützung von Maßnahmen zur Erleichterung der Interaktion zwischen europäischen KMUs, einschließlich des Entwurfs von Berichten oder anderen Materialien, in denen die Umsetzung der Anforderungen an die Einhaltung vom CRA erörtert wird, und Förderung des Bewusstseins, auch durch Beiträge zu relevanten Ergebnissen von Standardisierungsgremien, z. B. aus einer sektoralen Perspektive und auf der Grundlage der Bedürfnisse von Unternehmen vor Ort.
  • Erleichterung des Austauschs von bewährten Praktiken und Anwendungsfällen für die Einhaltung vom CRA
  • Gegebenenfalls Beitrag zu Standardisierungsbemühungen unter Berücksichtigung der Aktivitäten der europäischen und internationalen Standardisierung, die für die Umsetzung vom CRA unmittelbar relevant sind.

Dritte, die Zuschüsse erhalten, sollen insbesondere:

  • Sich an Tests, der Aufdeckung und Behebung von Schwachstellen, der Erstellung von Dokumentationen, der Durchführung von Konformitätsbewertungen und der Umsetzung anderer Maßnahmen beteiligen, die für die Einhaltung des CRA erforderlich sind
  • An Workshops, Schulungen und Veranstaltungen teilnehmen, die die Interaktion zwischen europäischen KMUs mit Schwerpunkt auf Kleinst- und Kleinunternehmen erleichtern, um die Einhaltung des CRA zu erörtern und umzusetzen
  • Zu den Bemühungen des vorgeschlagenen Projekts beitragen, die Bedürfnisse und Perspektiven von KMUs in Bezug auf CRA-bezogene Standardisierungsergebnisse zu erfassen.

Sowohl bei der Einrichtung der offen zugänglichen Plattform als auch bei der Verteilung von Zuschüssen für die Kaskadenfinanzierung sollte kostenlos verfügbaren Lösungen oder Lösungen mit freier und quelloffener Software (FOSS) der Vorzug gegeben werden.

Diese Tätigkeiten sollten in enger Abstimmung und nach Möglichkeit in Zusammenarbeit mit dem Europäischen Kompetenzzentrum für Cybersicherheit (ECCC), dem Netz der nationalen Koordinierungszentren (NCCs), dem Netz der europäischen digitalen Innovationszentren (EDIH), anderen relevanten europäischen und nationalen Cybersicherheitseinrichtungen und anderen Projekten dieses Arbeitsprogramms durchgeführt werden.

Die operative Beteiligung der nationalen Koordinierungszentren an der Umsetzung und Durchführung solcher Maßnahmen wird dringend empfohlen.

Es wird davon ausgegangen, dass ein Vorschlag über dieses Thema finanziert wird. Die vorgeschlagenen Projekte sollten mindestens 75 % des Budgets für Zuschüsse zur Kaskadenfinanzierung vorsehen.

Diese Maßnahme umfasst die Einrichtung einer zentralen Plattform, die als Referenzpunkt dient und somit den Austausch zwischen Anbietern wesentlicher Dienste und kritischer Infrastrukturen sowie anderen Akteuren über ihre Cybersicherheitsmaßnahmen und mögliche Schwachstellen ermöglicht. Auch Dritte, die Mittel erhalten, werden sich an Lösungen zum Testen, Erkennen und Beheben von Schwachstellen beteiligen. Da solche Informationen von böswilligen Akteuren ausgenutzt werden könnten, muss die zentrale Stelle, die diese Informationen verwaltet, vor möglichen Abhängigkeiten und Schwachstellen in der Cybersicherheit geschützt werden, um einer ausländischen Einflussnahme und Kontrolle vorzubeugen. Wie bereits erwähnt, birgt die Teilnahme von Nicht-EU-Stellen das Risiko, dass hochsensible Informationen über Sicherheitsinfrastrukturen, Risiken und Vorfälle Gegenstand von Gesetzen oder Druck sind, die diese Nicht-EU-Stellen dazu zwingen, diese Informationen an Nicht-EU-Regierungen weiterzugeben, was ein unvorhersehbares Sicherheitsrisiko darstellt. Aus den dargelegten Sicherheitsgründen fallen die Maßnahmen im Zusammenhang mit diesen Technologien daher unter Artikel 12 Absatz 5 der Verordnung (EU) 2021/694.

Ausschreibungsdokument DIGITAL-ECCC-2024-DEPLOY-CYBER-06 (pdf)