Neue Vorschriften zur Erhöhung der Cybersicherheit in den Organen, Einrichtungen und sonstigen Stellen der EU
Die Kommission begrüßt die politische Einigung zwischen dem Europäischen Parlament und dem Rat der EU über die von ihr vorgeschlagene Verordnung zur Festlegung von Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in den Organen, Einrichtungen und sonstigen Stellen der Union. Nach dem Abschluss der Verhandlungen ist jetzt der Weg für die Verabschiedung des endgültigen Wortlauts des Rechtstexts durch das Europäische Parlament und den Rat frei.
Die Kommission hatte ihren Vorschlag für die Cybersicherheitsverordnung im März 2022 angekündigt. Mit dieser Verordnung wird für alle Organe und Einrichtungen der EU ein Rahmen für Governance, Risikomanagement und Kontrolle im Bereich der Cybersicherheit geschaffen – mit einem neuen interinstitutionellen Cybersicherheitsbeirat, der die Durchführung der Verordnung überwachen wird. Außerdem wird das Mandat des Reaktionsteams für IT-Sicherheitsvorfälle für die Organe, Einrichtungen und sonstigen Stellen der EU (CERT-EU) erweitert, sodass es künftig als zentrale Stelle für den Austausch von Informationen über Cyberbedrohungen und die Koordinierung der Reaktion auf Sicherheitsvorfälle sowie als zentrales Beratungsgremium und als Diensteanbieter fungieren wird. Das CERT-EU wird in „Cybersicherheitsdienst für die Organe, Einrichtungen und sonstigen Stellen der Union“ umbenannt, um seinem neuen Mandat Rechnung zu tragen. Der Kurzname CERT-EU wird aber beibehalten, damit der Dienst wiedererkennbar bleibt.
Die wichtigsten Elemente des Vorschlags für alle Organe, Einrichtungen und sonstigen Stellen der EU:
- Schaffung eines Rahmens für Governance, Risikomanagement und Kontrolle im Bereich der Cybersicherheit,
- Durchführung regelmäßiger Reifebewertungen,
- Umsetzung eines Grundrepertoires von Cybersicherheitsmaßnahmen zur Bewältigung der ermittelten Risiken,
- Aufstellung eines Plans zur Verbesserung der Cybersicherheit,
- unverzügliche Weitergabe von Informationen zu Vorfällen über das CERT-EU.
Nächste Schritte
Sobald der endgültige Wortlaut feststeht, müssen das Europäische Parlament und der Rat die neue Verordnung noch förmlich erlassen, bevor sie in Kraft treten kann. Die Organe und Einrichtungen der Union werden dann an die darin festgelegten Verpflichtungen und Fristen gebunden sein. Dies wird helfen, in der EU-Verwaltung ein höheres Cybersicherheitsniveau zu erreichen und besser auf künftige Herausforderungen vorbereitet zu sein.
Hintergrund
In seiner Entschließung vom März 2021 hob der Rat der Europäischen Union hervor, wie wichtig ein robuster und kohärenter Sicherheitsrahmen ist, um alle Mitarbeiter, Daten, Kommunikationsnetze und Informationssysteme der EU sowie Entscheidungsprozesse zu schützen. Dies kann nur durch die Stärkung der Abwehrfähigkeit und die Verbesserung der Sicherheitskultur der Organe, Einrichtungen und sonstigen Stellen der EU erreicht werden.
Nach der EU-Strategie für die Sicherheitsunion und der EU-Cybersicherheitsstrategie wird die Cybersicherheitsverordnung für Kohärenz mit der bestehenden EU-Cybersicherheitspolitik sorgen, und zwar in voller Übereinstimmung mit den folgenden europäischen Rechtsvorschriften:
- Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union („NIS 2“), die hinsichtlich der Grundsätze und Ziele mit dieser Verordnung abgestimmt ist, wobei die Besonderheiten der Organe und Einrichtungen der Union berücksichtigt werden;
- Rechtsakt zur Cybersicherheit;
- Empfehlung der Kommission für eine koordinierte Reaktion auf große Cybersicherheitsvorfälle und -krisen.