Support for Implementation of EU Legislation on Cybersecurity and National Cybersecurity Strategies (2024)

  • Topic ID: DIGITAL-ECCC-2024-DEPLOY-CYBER-07-CYBERSEC-02
  • Förderprogramm: DIGITALES Europa
  • Destination: CYBER
  • Call: Deployment Actions in the Area of Cybersecurity Q3 2024
  • Bewerbungszeitraum: 04.07.2024, 12.00 Uhr - 21.01.2025, 12.00 Uhr
  • Budget: 20 Mio.€
  • Förderinstrument: DIGITAL Simple Grant
  • Förderquote: 50%
Link zum Funding & Tender Portal

Erwartetes Ergebnis

  • Lösungen für das Störungsmanagement, die die Gesamtkosten der Cybersicherheit für die einzelnen Mitgliedstaaten und für die EU insgesamt senken.
  • Bessere Einhaltung der NIS2 (Richtlinie (EU) 2022/2555) und ein höheres Maß an Situationsbewusstsein und Krisenreaktion in den Mitgliedstaaten.
  • Organisation von Veranstaltungen, Workshops, Konsultationen von Interessengruppen und Weißbüchern.
  • Verbesserte Zusammenarbeit, Bereitschaft und Widerstandsfähigkeit im Bereich der Cybersicherheit in der EU.
  • Unterstützung von Maßnahmen und Zusammenarbeit zur weiteren Verbesserung der Cybersicherheitszertifizierung.
  • Wirksame Beaufsichtigung und Durchsetzung der Ratingagenturen durch die Marktaufsichtsbehörden und angemessene Kapazitäten der notifizierenden Behörden und nationalen Akkreditierungsstellen für die Umsetzung der Ratingagenturen.

Zielsetzung

Die Maßnahme konzentriert sich auf den Aufbau von Kapazitäten und die Verbesserung der Zusammenarbeit im Bereich der Cybersicherheit auf technischer, operativer und strategischer Ebene im Zusammenhang mit bestehenden und vorgeschlagenen EU-Rechtsvorschriften zur Cybersicherheit, insbesondere der NIS2-Richtlinie (Richtlinie (EU) 2022/2555), dem Cybersicherheitsgesetz und der Richtlinie über Angriffe auf Informationssysteme (Richtlinie 2013/40). Es ergänzt die Arbeit der SOCs im Bereich der Bedrohungserkennung. Sie ist eine Fortsetzung der Arbeiten, die derzeit im Rahmen des vorherigen digitalen Arbeitsprogramms unterstützt werden.

Darüber hinaus zielt diese Aktion auch darauf ab, die Umsetzung des vorgeschlagenen Gesetzes über die Widerstandsfähigkeit gegenüber Cyberangriffen (Cyber Resilience Act, CRA) durch die Marktüberwachungsbehörden/Notifizierungsbehörden/nationalen Akkreditierungsstellen zu unterstützen, indem ihre Kapazitäten zur Gewährleistung einer wirksamen Umsetzung des CRA ausgebaut werden.

Die Vorschläge sollten dazu beitragen, mindestens eines dieser Ziele zu erreichen:

  • Aufbau von Vertrauen zwischen den Mitgliedstaaten.
  • Unterstützung der Marktüberwachungsbehörden/Notifizierungsbehörden/nationalen Akkreditierungsstellen bei der Umsetzung der Ratingagentur.
  • Wirksame operative Zusammenarbeit von Organisationen, die mit der Cybersicherheit auf EU- oder nationaler Ebene betraut sind, insbesondere die Zusammenarbeit von CSIRTs (auch in Bezug auf das CSIRT-Netz) oder die Zusammenarbeit von Betreibern wesentlicher Dienste, einschließlich Behörden.
  • Bessere Sicherheits- und Meldeverfahren und -mittel für wesentliche und wichtige Einrichtungen in der EU, einschließlich grenzüberschreitender (automatischer) Systeme zur Meldung von Vorfällen.
  • Bessere Meldung von Cyberangriffen an die Strafverfolgungsbehörden im Einklang mit der Richtlinie über Angriffe auf Informationssysteme.
  • Verbesserte Sicherheit der Netz- und Informationssysteme in der EU.
  • Stärkere Angleichung der Umsetzungen der NIS2 (Richtlinie (EU) 2022/2555) durch die Mitgliedstaaten.
  • Unterstützung der Cybersicherheitszertifizierung im Einklang mit dem Cybersicherheitsgesetz.

Umfang

Die Aktion konzentriert sich auf die Unterstützung von mindestens einer der folgenden Prioritäten:

  • Implementierung, Validierung, Erprobung und Einführung von Technologien, Werkzeugen und IT-gestützten Lösungen, Verfahren und Methoden für die Überwachung und Behandlung von Cybersicherheitsvorfällen.
  • Ausbau der Kapazitäten der Marktüberwachungsbehörden/Meldebehörden/nationalen Akkreditierungsstellen im Hinblick auf die von der Ratingagentur vorgesehenen Aufgaben.
  • Zusammenarbeit, Kommunikation, Sensibilisierungsmaßnahmen, Wissensaustausch und Schulung, auch durch die Nutzung von Cybersicherheitsbereichen, von öffentlichen und privaten Organisationen, die an der Umsetzung der NIS2 (Richtlinie (EU) 2022/2555) arbeiten.
  • Twinning-Programme, an denen Organisationen aus mindestens zwei verschiedenen Mitgliedstaaten beteiligt sind, um die Einführung und Übernahme von Technologien, Werkzeugen, Prozessen und Methoden für eine wirksame grenzüberschreitende Zusammenarbeit bei der Prävention, Erkennung und Bekämpfung von Cybersicherheitsvorfällen zu erleichtern.
  • Maßnahmen zum Aufbau von Robustheit und Widerstandsfähigkeit im Bereich der Cybersicherheit, die die Fähigkeit der Lieferanten stärken, systematisch mit für die Cybersicherheit relevanten Informationen zu arbeiten oder CSIRTs verwertbare Daten zu liefern.
  • Gewährleistung, dass die Hersteller die Sicherheit von Produkten mit digitalen Elementen bereits in der Entwurfs- und Entwicklungsphase und während des gesamten Lebenszyklus verbessern.
  • Gewährleistung eines kohärenten Cybersicherheitsrahmens, der die Einhaltung der Vorschriften für Hardware- und Softwarehersteller erleichtert.
  • Verbesserung der Transparenz der Sicherheitseigenschaften von Produkten mit digitalen Elementen
  • Ermöglichung der sicheren Nutzung von Produkten mit digitalen Elementen durch Unternehmen aller Branchen und Verbraucher.
  • Unterstützung der Cybersicherheitszertifizierung, einschließlich der Unterstützung der nationalen Cybersicherheitszertifizierungsbehörden und anderer relevanter Interessengruppen, wie z. B. KMU. Dazu gehören Tätigkeiten wie bedrohungsgesteuerte Penetrationstests, der Erwerb von Zertifizierungsprüfständen, der Austausch bewährter Verfahren und die Einführung innovativer Bewertungsmethoden für bestimmte IKT-Produkte oder -Komponenten.

Die Vorschläge können sich gegebenenfalls an die zuständigen Behörden der Mitgliedstaaten richten, die eine zentrale Rolle bei der Umsetzung der NIS2 (Richtlinie (EU) 2022/2555) spielen, sowie an andere Akteure, die in den Anwendungsbereich dieser Richtlinie fallen.

Die Vorschläge können u. a. die Fortsetzung von Cybersicherheitsaktivitäten unterstützen, die durch das CEF-Telekommunikationsprogramm finanziert werden, wobei gegebenenfalls auf den Ergebnissen der CEF-Projekte aufgebaut wird.

Vorschläge können unter anderem die Aufnahme öffentlicher und privater Organisationen, die an der Umsetzung von NIS2 (Richtlinie (EU) 2022/2555) arbeiten und potenziell zu den Zielen der CEF Cybersecurity Core Service Platform beitragen, in die CEF Cybersecurity Core Service Platforms unterstützen.

Mit dieser Aktion soll die europäische Cybersicherheitslage durch die Schaffung eines europäischen Ökosystems von Unternehmen und Organisationen unterstützt werden, das die Umsetzung der EU-Rechtsvorschriften zur Cybersicherheit unterstützt und zur Stärkung der europäischen Kapazitäten zum Schutz des Cyberraums beiträgt. Die Ergebnisse der Arbeiten, die im Rahmen der im Rahmen dieser Aktion finanzierten Projekte durchgeführt werden, können die Umsetzung, Validierung, Erprobung und Einführung von Technologien, Werkzeugen und IT-gestützten Lösungen, Verfahren und Methoden für die Überwachung und Behandlung von Cybersicherheitsvorfällen umfassen, die die Cybersicherheit von Anbietern wesentlicher Dienste und kritischer Infrastrukturen sowie anderer Akteure betreffen. Wie bereits erwähnt, birgt die Teilnahme von Nicht-EU-Stellen das Risiko, dass hochsensible Informationen über Sicherheitsinfrastrukturen, Risiken und Vorfälle Gegenstand von Rechtsvorschriften oder Druck sind, die diese Nicht-EU-Stellen dazu zwingen, diese Informationen an Nicht-EU-Regierungen weiterzugeben, was ein unvorhersehbares Sicherheitsrisiko darstellt. Aus den dargelegten Sicherheitsgründen fallen die Maßnahmen im Zusammenhang mit diesen Technologien daher unter Artikel 12 Absatz 5 der Verordnung (EU) 2021/694, in Übereinstimmung mit dem Arbeitsprogramm 2021/2022.