Der für den digitalen Binnenmarkt zuständige Vizepräsident Andrus Ansip sagte hierzu: „Im digitalen Umfeld müssen sich die Menschen wie auch die Unternehmen sicher fühlen, denn nur so können sie sich die Vorteile der digitalen Wirtschaft in Europa in vollem Umfang zunutze machen. Vertrauen und Sicherheit sind die Grundlage für einen gut funktionierenden digitalen Binnenmarkt. Die heute Abend erzielte Einigung über eine umfassende Zertifizierung von Cybersicherheitsprodukten und eine gestärkte EU-Cybersicherheitsagentur ist ein weiterer Schritt auf dem Weg zu diesem Binnenmarkt.“
Die für die digitale Wirtschaft und Gesellschaft zuständige EU-Kommissarin Mariya Gabriel ergänzte: „Die Verbesserung der Cybersicherheit in Europa und die Stärkung des Vertrauens der Bürger und Unternehmen in die digitale Gesellschaft sind für die Europäische Union eine wichtige Priorität. Schwerwiegende Sicherheitsvorfälle wie „Wannacry“ und „NotPetya“ waren für uns ein Weckruf, denn sie haben uns die möglichen Folgen groß angelegter Cyberangriffe vor Augen geführt. In dieser Hinsicht bin ich fest davon überzeugt, dass die heutige Einigung nicht nur die allgemeine Sicherheit der Union erhöhen, sondern auch die Wettbewerbsfähigkeit der Unternehmen fördern wird.“
Der Rechtsakt zur Cybersicherheit war im Jahr 2017 als Teil eines umfangreichen Maßnahmenpakets zur Bekämpfung von Cyberangriffen und zum Aufbau einer starken Cybersicherheit in der EU vorgeschlagen worden. Er beinhaltet:
- ein dauerhaftes Mandat für die EU-Cybersicherheitsagentur (ENISA), anstelle ihres bislang befristeten Mandats, das 2020 ausgelaufen wäre, sowie eine Aufstockung der Mittel der Agentur, damit sie ihre Aufgaben erfüllen kann, und
- eine gestärkte Grundlage im neuen EU-Rahmen für die Cybersicherheitszertifizierung, damit die ENISA die Mitgliedstaaten dabei unterstützen kann, wirksam auf Cyberangriffe zu reagieren, und damit sie eine größere Rolle bei der Zusammenarbeit und Koordinierung auf Unionsebene übernehmen kann.
Darüber hinaus wird die ENISA dazu beitragen, die Cybersicherheitskapazitäten auf EU-Ebene zu erhöhen und den Kapazitätsaufbau und die Abwehrbereitschaft zu fördern. Zudem wird die ENISA als unabhängiges Kompetenzzentrum dienen, das einerseits dazu beiträgt, ein hohes Problembewusstsein der Bürger und Unternehmen zu fördern, und andererseits die EU-Organe und die Mitgliedstaaten bei der Politikentwicklung und ‑umsetzung unterstützt.
Durch den Rechtsakt zur Cybersicherheit wird zudem ein EU-weit geltender europäischer Zertifizierungsrahmen für die Cybersicherheit von Produkten, Verfahren und Diensten geschaffen. Dies ist eine bahnbrechende Entwicklung, denn es handelt sich um die erste Binnenmarktvorschrift zur Bewältigung der Herausforderung, die Sicherheit von vernetzten Produkten, von Geräten des Internets der Dinge und von kritischen Infrastrukturen mithilfe solcher Zertifikate zu erhöhen. Dank eines solchen Rahmens für die Cybersicherheitszertifizierung werden Sicherheitsmerkmale bereits in der Frühphase der technischen Konzeption und Entwicklung berücksichtigt („eingebaute Sicherheit“ oder „Security by Design“). Außerdem gibt der Rahmen den Nutzern die Möglichkeit, sich über das Sicherheitsniveau zu vergewissern, und gewährleistet, dass diese Sicherheitsmerkmale von unabhängiger Seite überprüft werden.
Vorteile für Bürger und Unternehmen
Dank der neuen Vorschriften können die Menschen den Geräten, die sie täglich nutzen, leichter vertrauen, denn sie erhalten eine Auswahl aus Produkten, z. B. Geräten des Internets der Dinge, auf deren Cybersicherheit sie sich verlassen können.
Der Zertifizierungsrahmen bietet eine zentrale Anlaufstelle für die Cybersicherheitszertifizierung, wodurch die Unternehmen, insbesondere KMU, erhebliche Kosten einsparen, da sie andernfalls mehrere Zertifikate in mehreren Ländern beantragen müssten. Durch eine einheitliche Zertifizierung werden auch mögliche Markteintrittshindernisse beseitigt. Darüber hinaus entstehen Anreize für Unternehmen, in die Cybersicherheit ihrer Produkte zu investieren und hieraus einen Wettbewerbsvorteil zu erlangen.
Nächste Schritte
Nach der heute Abend erzielten politischen Einigung muss die neue Verordnung nun noch förmlich vom Europäischen Parlament und vom Rat der EU verabschiedet werden. Anschließend wird sie im EU-Amtsblatt veröffentlicht und tritt damit unmittelbar in Kraft, sodass der Weg für die Schaffung europäischer Zertifizierungssysteme frei wird und die EU-Cybersicherheitsagentur (ENISA) aufgrund dieses präzisierten, dauerhaften Mandats ihre Arbeit aufnehmen kann.
Hintergrund
Der Rechtsakt zur Cybersicherheit wurde als Teil des Cybersicherheitspakets am 13. September 2017 vorgeschlagen und bildet eine der Prioritäten der Strategie für einen digitalen Binnenmarkt. Um mit den sich ständig verändernden Cyberbedrohungen Schritt zu halten, schlug die Kommission – ein Jahr später im September 2018 – ferner vor, ein Europäisches Kompetenzzentrum für Cybersicherheit in Industrie, Technologie und Forschung und ein Netz von Kompetenzzentren für Cybersicherheit einzurichten, damit die Mittel, die für die Zusammenarbeit, Forschung und Innovation im Bereich der Cybersicherheit zur Verfügung stehen, gezielter eingesetzt und koordiniert werden können. Das neue Europäische Kompetenzzentrum für Cybersicherheit wird die aus dem EU-Haushalt für Cybersicherheit gewährte finanzielle Unterstützung verwalten und gemeinsame Investitionen der Union, der Mitgliedstaaten und der Industrie fördern, um die Cybersicherheitsbranche in der EU zu fördern und sicherzustellen, dass unsere Abwehrsysteme dem Stand der Technik entsprechen.