'Preparedness Support and Mutual Assistance, Targeting Larger Industrial Operations and Installations'

  • Topic ID: DIGITAL-ECCC-2024-DEPLOY-CYBER-07-LARGEOPER
  • Förderprogramm: DIGITALES Europa
  • Destination: CYBER
  • Call: Deployment Actions in the Area of Cybersecurity Q3 2024
  • Bewerbungszeitraum: 04.07.2024, 12.00 Uhr - 21.01.2025, 12.00 Uhr
  • Budget: 35 Mio.€
  • Förderinstrument: DIGITAL Grant for Support to Third Parties
  • Förderquote: 100% consortium / 50% supported third
Link zum Funding and Tenders Portal

Erwartetes Ergebnis

  • Dienstleistungen zur Unterstützung der Bereitschaft
  • Bedrohungs- und Risikobewertungsdienste
  • Risikoüberwachungsdienste

Zielsetzung

Im Rahmen dieses Förderprogramms zielt dieser Mechanismus darauf ab, die Bemühungen der Mitgliedstaaten und der EU zur Verbesserung des Schutzes und der Widerstandsfähigkeit gegenüber Cyber-Bedrohungen zu ergänzen, insbesondere für große Industrieanlagen und Infrastrukturen. Dabei unterstützt er die Mitgliedstaaten, indem er ihnen Wissen und Fachkenntnisse zur Verfügung stellt, um ihre Vorbereitung auf Cyber-Bedrohungen und -Vorfälle zu verbessern, ohne bestehende Anstrengungen zu überschneiden.

Anwendungsbereich

Die Bereitstellung von Dienstleistungen zur Unterstützung der Bereitschaft (ex-ante) umfasst die nachstehend aufgeführten Tätigkeiten, die sich z. B. an große Industrieanlagen oder Infrastrukturen, Betreiber wesentlicher Dienste, Anbieter digitaler Dienste und staatliche Stellen richten:

Unterstützung bei der Prüfung auf potenzielle Schwachstellen

  • Entwicklung von Penetrationstestszenarien. Die vorgeschlagenen Szenarien können Netze, Anwendungen, Virtualisierungslösungen, Cloud-Lösungen, industrielle Steuerungssysteme und das Internet der Dinge umfassen.
  • Unterstützung bei der Durchführung von Tests auf potenzielle Schwachstellen für wichtige Einrichtungen, die kritische Infrastrukturen betreiben.
  • Unterstützung der Einführung digitaler Werkzeuge und Infrastrukturen, die die Durchführung von Testszenarien und Übungen unterstützen, wie beispielsweise die Entwicklung standardisierter Cyberbereiche oder anderer Testeinrichtungen, die in der Lage sind, Merkmale kritischer Sektoren (z. B. Energiesektor, Verkehrssektor usw.) nachzuahmen, um die Durchführung von Cyberübungen zu erleichtern, insbesondere im Rahmen grenzüberschreitender Szenarien, wo dies relevant ist.
  • Bewertung und/oder Erprobung der Cybersicherheitsfähigkeiten der Mitgliedstaaten (einschließlich der Fähigkeiten zur Verhinderung, Erkennung und Reaktion auf Vorfälle).
  • Beratungsdienste mit Empfehlungen zur Verbesserung der Sicherheit und der Fähigkeiten der Infrastruktur.

Unterstützung bei der Bedrohungs- und Risikobewertung

  • Implementierung des Bedrohungsbewertungsprozesses und des Lebenszyklus.
  • Maßgeschneiderte Analyse von Risikoszenarien.

Risikoüberwachungsdienst

  • Spezifische kontinuierliche Risikoüberwachung wie die Überwachung von Angriffsflächen, Risikoüberwachung von Vermögenswerten und Schwachstellen.

Die Vorbereitungsmaßnahmen sollten Einrichtungen (einschließlich KMU und Start-ups) in Sektoren zugute kommen, die in der NIS2 (Richtlinie (EU) 2022/2555) als kritische Infrastrukturen eingestuft sind, wie Energie, Verkehr und Banken, sowie Einrichtungen in anderen relevanten Sektoren.

Diese Maßnahme zielt auf die Schaffung von Plattformen ab, die als Referenzpunkt dienen und Dienste wie Penetrationstests und Bedrohungsbewertungen für Anbieter wesentlicher Dienste und kritischer Infrastrukturen sowie andere Akteure anbieten. Dazu gehören Daten und operative Maßnahmen zur Cybersicherheit, einschließlich Penetrationstests und ausnutzbare Schwachstellen. Solche Informationen könnten von böswilligen Akteuren ausgenutzt werden und müssen daher vor möglichen Abhängigkeiten und Schwachstellen in der Cybersicherheit geschützt werden, um einer ausländischen Einflussnahme und Kontrolle vorzubeugen. Die Teilnahme von Nicht-EU-Stellen birgt das Risiko, dass hochsensible Informationen über Sicherheitsinfrastrukturen, Risiken und Vorfälle Gegenstand von Rechtsvorschriften oder Druck sind, die diese Nicht-EU-Stellen dazu zwingen, diese Informationen an Nicht-EU-Regierungen weiterzugeben, was ein unvorhersehbares Sicherheitsrisiko darstellt. Aus den dargelegten Sicherheitsgründen fallen die Maßnahmen im Zusammenhang mit diesen Technologien daher unter Artikel 12 Absatz 5 der Verordnung (EU) 2021/694, in Übereinstimmung mit dem Arbeitsprogramm 2021/2022.

Call for proposals DIGITAL-ECCC-2024-DEPLOY-CYBER-07 (pdf)