Erwartetes Ergebnis
- Dienstleistungen zur Unterstützung der Bereitschaft
- Bedrohungs- und Risikobewertungsdienste
- Risikoüberwachungsdienste
Zielsetzung
Dieser Mechanismus zielt darauf ab, die Bemühungen der Mitgliedstaaten und der Union zur Verbesserung des Schutzes und der Widerstandsfähigkeit gegenüber Cyber-Bedrohungen, insbesondere für große Industrieanlagen und Infrastrukturen, zu ergänzen und nicht zu überschneiden, indem er die Mitgliedstaaten bei ihren Bemühungen um eine bessere Vorbereitung auf Cyber-Bedrohungen und -Vorfälle unterstützt, indem er ihnen Wissen und Fachkenntnisse zur Verfügung stellt.
Anwendungsbereich
Die Bereitstellung von Bereitschaftsunterstützungsdiensten (ex-ante) umfasst die nachstehend aufgeführten Tätigkeiten, die sich z. B. an große Industrieanlagen oder Infrastrukturen, Betreiber wesentlicher Dienste, Anbieter digitaler Dienste und staatliche Stellen richten:
- Unterstützung bei der Prüfung auf potenzielle Schwachstellen
- Entwicklung von Penetrationstestszenarien. Die vorgeschlagenen Szenarien können Netze, Anwendungen, Virtualisierungslösungen, Cloud-Lösungen, industrielle Steuerungssysteme und das Internet der Dinge umfassen.
- Unterstützung bei der Durchführung von Tests für wichtige Einrichtungen, die kritische Infrastrukturen betreiben, auf potenzielle Schwachstellen.
- Unterstützung der Einführung digitaler Werkzeuge und Infrastrukturen, die die Durchführung von Testszenarien und Übungen unterstützen, z. B. die Entwicklung standardisierter Cyberbereiche oder anderer Testeinrichtungen, die in der Lage sind, Merkmale kritischer Sektoren (z. B. Energiesektor, Verkehrssektor usw.) nachzuahmen, um die Durchführung von Cyberübungen zu erleichtern, insbesondere im Rahmen grenzüberschreitender Szenarien, wo dies relevant ist.
- Bewertung und/oder Erprobung der Cybersicherheitsfähigkeiten der Mitgliedstaaten (einschließlich der Fähigkeiten zur Verhinderung, Erkennung und Reaktion auf Vorfälle).
- Beratungsdienste mit Empfehlungen zur Verbesserung der Sicherheit und der Fähigkeiten der Infrastruktur
Unterstützung bei der Bedrohungs- und Risikobewertung
- Implementierung des Bedrohungsbewertungsprozesses und des Lebenszyklus
- Maßgeschneiderte Analyse von Risikoszenarien.
Risikoüberwachungsdienst
- Spezifische kontinuierliche Risikoüberwachung wie die Überwachung von Angriffsflächen, Risikoüberwachung von Vermögenswerten und Schwachstellen.
Die Vorbereitungsmaßnahmen sollten Einrichtungen (einschließlich KMU und Start-ups) in Sektoren zugute kommen, die in der NIS2 (Richtlinie (EU) 2022/2555) als kritische Infrastrukturen eingestuft sind, wie Energie, Verkehr und Banken, sowie Einrichtungen in anderen relevanten Sektoren.
Diese Maßnahme zielt auf die Schaffung von Plattformen ab, die als Referenzpunkt dienen und Dienste wie Penetrationstests und Bedrohungsbewertungen für Anbieter wesentlicher Dienste und kritischer Infrastrukturen sowie andere Akteure anbieten. Dazu gehören Daten und operative Maßnahmen zur Cybersicherheit, einschließlich Penetrationstests und ausnutzbare Schwachstellen. Solche Informationen könnten von böswilligen Akteuren ausgenutzt werden und müssen daher vor möglichen Abhängigkeiten und Schwachstellen in der Cybersicherheit geschützt werden, um einer ausländischen Einflussnahme und Kontrolle vorzubeugen. Wie bereits erwähnt, birgt die Teilnahme von Nicht-EU-Stellen das Risiko, dass hochsensible Informationen über Sicherheitsinfrastrukturen, Risiken und Vorfälle Gegenstand von Rechtsvorschriften oder Druck sind, die diese Nicht-EU-Stellen dazu zwingen, diese Informationen an Nicht-EU-Regierungen weiterzugeben, was ein unvorhersehbares Sicherheitsrisiko darstellt. Aus den dargelegten Sicherheitsgründen fallen die Maßnahmen im Zusammenhang mit diesen Technologien daher unter Artikel 12 Absatz 5 der Verordnung (EU) 2021/694, in Übereinstimmung mit dem Arbeitsprogramm 2021/2022.
Call for proposals DIGITAL-ECCC-2024-DEPLOY-CYBER-07 (pdf)