Diese ENISA-Studie liefert einen Überblick über den aktuellen Sachstand im Krisenmanagement auf EU-Ebene. Sie beinhaltet eine Analyse aus Sicht einer Cyber-Krisensituation, auf der Grundlage zahlreicher gesammelter Erfahrungen und der Herausforderungen der vergangenen Jahrzehnte im Krisenmanagement in den folgenden Sektoren: Luftfahrt, Zivilschutz, Grenzkontrollen, Terrorabwehr sowie Gesundheits- und Seuchenschutz. Die Studie geht einen Schritt weiter und bietet fünf grundlegende Empfehlungen, um ein ausgereiftes Cyberkrisenmanagement auf EU-Ebene zu erreichen. Die Studie beruht auf einer sorgfältigen Überprüfung der wichtigsten rechtlichen Dokumente und Richtlinien und auf Interviews mit den bedeutendsten Experten in den betreffenden Branchen.
Aktuell fehlen dem Cyberkrisenmanagement auf EU-Ebene noch die notwendigen Mechanismen und die erforderliche Konsistenz, sodass die Cybergemeinschaft in der EU im Fall einer Krise nicht ausreichend Unterstützung findet, obwohl erst kürzlich einige Initiativen in der NIS-Gemeinschaft lanciert wurden.
“Die Botschaft, die wir mit dieser Studie aussenden möchten ist, dass die wirksame Eindämmung von Krisen durch Vorfälle im Internet nicht ausschließlich von der Eindämmung deren Auswirkungen abhängt. Sie hängt auch in erhöhtem Maße von der wirkungsvollen Eindämmung der verursachenden Vorfälle selbst ab. Heutzutage befinden sich die Entscheidungsträger in der EU in der besonderen Lage, Maßnahmen ergreifen zu können, bevor eine solche Krise um sich greift. Diese Studie liefert einen Einblick, wie dies erfolgen kann”, sagt Udo Helmbrecht, Geschäftsführer von ENISA.
Die fünf Kernempfehlungen von ENISA hinsichtlich der Prioritäten zur Stärkung der Möglichkeiten auf EU-Ebene für eine wirksame Bewältigung der kommenden Cyberkrisen sind:
- Die Europäische Kommission sollte gemeinsam mit den EU-Mitgliedstaaten die derzeitige EU-Rechtsprechung zum Krisenmanagement im Fall von Cyberkrisen nochmals überdenken, um die Unterscheidung zwischen Ursache und Auswirkung besser darzustellen sowie um die Entwicklung eines Cyberkrisenmanagements als zentrales Werkzeug zur Eindämmung von Krisen, die durch Vorfälle im Internet verursacht wurden, nachhaltiger voran zu treiben.
- Die EU-Mitgliedstaaten sollten einen Krisenmanagementplan auf EU-Ebene entwickeln und formal umsetzen, der sich speziell an Krisen wendet, die durch Vorfälle in der Cybersicherheit entstanden sind.
- Die Europäische Kommission und die EU-Mitgliedstaaten sollten einen Pool von Cyber-Experten auf EU-Ebene einrichten. Dieser dient in erster Linie dem Zweck des Austauschs von Informationen und Best Practices.
- Die Mitgliedstaaten sollten Standard Operating Procedures (SOPs, standardisierte Vorgehensweisen) entwickeln und formal umsetzen.
- Die Europäische Kommission sollte die Konzeption und Entwicklung einer Kooperationsplattform für Cyberkrisen auf EU-Ebene finanzieren, um das Cyberkrisenmanagement und die Kooperation der Mitgliedstaaten in Verbindung mit der zentralen Serviceplattform der Infrastruktur der digitalen Cybersicherheitsdienste (im Rahmen des Connecting Europe Facility Finanzierungsprogramms) zu unterstützen.
ENISA engagiert sich umfassend in der Unterstützung der Europäischen Kommission und der EU-Mitgliedstaaten bei der Umsetzung dieser Empfehlungen.
Um vor dem Lesen der Studie einen Einblick zu erhalten, was auf dem Spiel steht, können Sie sich das Einführungsvideo mit einigen wichtigen europäischen Experten zum Krisenmanagement von EEAS, Eurocontrol und ACI anschauen.