EU-Rechtsakt zur Cybersicherheit

 

ZUSAMMENFASSUNG DES DOKUMENTS:

Verordnung (EU) 2019/881 über die ENISA (Agentur der Europäischen Union für Cybersicherheit) und über die Zertifizierung der Cybersicherheit von Informations- und Kommunikationstechnik (Rechtsakt zur Cybersicherheit)

WAS IST DER ZWECK DIESER VERORDNUNG?

Um ein hohes Niveau in der Cybersicherheit*, bei der Fähigkeit zur Abwehr gegen Cyberangriffe und beim Vertrauen in die Cybersicherheit in der Europäischen Union (EU) zu erreichen, wird in dieser Verordnung Folgendes festgelegt:

• die Ziele, Aufgaben und organisatorischen Aspekte für eine gestärkte und umbenannte Agentur der Europäischen Union für Cybersicherheit (ENISA) mit einem neuen ständigen Mandat;
• ein Rahmen für die Festlegung europäischer Schemata für die freiwillige Zertifizierung der Cybersicherheit von Produkten, Diensten und Prozessen der Informations- und Kommunikationstechnik (IKT).

WICHTIGE ECKPUNKTE

Das Mandat der ENISA besteht darin,

• ein hohes gemeinsames Maß an Cybersicherheit in der gesamten EU zu erreichen;
• die nationalen Behörden und die Organe, Einrichtungen und sonstigen Stellen der EU bei der Verbesserung der Cybersicherheit zu unterstützen;
• den Organen, Einrichtungen und sonstigen Stellen der EU sowie anderen maßgeblichen Interessenträgern als Bezugspunkt für wissenschaftliche und technische Beratung und Sachkenntnis im Bereich Cybersicherheit zu dienen;
• zur Verringerung der Fragmentierung im Binnenmarkt beizutragen;
• unabhängig zu handeln, Überschneidungen mit nationalen Tätigkeiten zu vermeiden und die bereits vorhandene nationale Sachkenntnis zu berücksichtigen;
• ihre eigenen Ressourcen, einschließlich technischer und menschlicher Fähigkeiten und Fertigkeiten, zu entwickeln.

Die Aufgaben der ENISA bestehen darin,

• zur Entwicklung und Umsetzung der Politik und des Rechts der EU beizutragen;
• den Kapazitätsaufbau zu fördern, z. B. durch eine verbesserte Verhütung, Erkennung, Analyse und Bewältigung von Cyberbedrohungen*, durch Unterstützung des Aufbaus nationaler Reaktionsteams für Computersicherheitsverletzungen (CSIRTs) oder durch die Veranstaltung von Cybersicherheitsübungen auf EU-Ebene;
• die operative Zusammenarbeit auf EU-Ebene zwischen allen beteiligten Akteuren, zu denen auch das IT-Notfallteam für die Organe, Einrichtungen und sonstigen Stellen der EU (CERT-EU) gehört, zu unterstützen, und zwar insbesondere durch den Austausch von Know-how und bewährten Verfahren, die Bereitstellung einschlägiger Leitlinien und die Betreuung des CSIRTs-Netzes der EU und der nationalen CSIRTs;
• im Rahmen ihrer Rolle bei der Ausarbeitung von Schemata auf der Grundlage des neuen europäischen Rahmens für die Cybersicherheitszertifizierung die Entwicklung und Umsetzung der EU-Politik auf dem Gebiet der Cybersicherheitszertifizierung von IKT-Produkten, -Diensten und -Prozessen zu unterstützen und zu fördern;
• Wissen und Informationen zur Cybersicherheit, insbesondere zu neu entstehender Technik, Cyberbedrohungen und Sicherheitsvorfällen, zu sammeln und zu analysieren, um nationalen Behörden, maßgeblichen Interessenträgern und – über ein eigenes Portal – der Öffentlichkeit (Bürgern, Organisationen und Unternehmen) Informationen und Beratung bereitzustellen;
• die Öffentlichkeit für Cybersicherheitsrisiken zu sensibilisieren, Leitlinien für bewährte Verfahren für einzelne Nutzer zur Verfügung zu stellen sowie zur Sensibilisierung in Bezug auf Cybersicherheit und zur Förderung der Ausbildung im Bereich Cybersicherheit im Allgemeinen beizutragen;
• Beratung zum Forschungsbedarf und zu den Forschungsprioritäten bereitzustellen und zur strategischen Forschungs- und Innovationsagenda im Bereich der Cybersicherheit auf EU-Ebene beizutragen;
• die Bemühungen der EU um Zusammenarbeit mit ihren internationalen Partnern und internationalen Organisationen in Angelegenheiten der Cybersicherheit zu unterstützen.

Die Verwaltungs- und Leitungsstruktur der ENISA besteht aus

• einem Verwaltungsrat, dem je ein von jedem EU-Land ernanntes Mitglied und zwei von der Europäische Kommission ernannte Mitglieder angehören, der die allgemeine Ausrichtung der Tätigkeit der Agentur festlegt und dafür sorgt, dass die Agentur ihre Aufgaben gemäß den in der Gründungsverordnung festgelegten Voraussetzungen ausführt;
• einem Exekutivrat, dem fünf Mitglieder angehören und der die Beschlussvorlagen für den Verwaltungsrat vorbereitet;
• einem unabhängigen Exekutivdirektor, der gegenüber dem Verwaltungsrat rechenschaftspflichtig ist, dem Europäischen Parlament und dem Rat Bericht erstattet, wenn er dazu aufgefordert wird, und für die Leitung der Agentur verantwortlich ist;
• einer ENISA-Beratungsgruppe, die sich aus anerkannten Sachverständigen als Vertreter der einschlägigen Interessenträger zusammensetzt, darunter die IKT-Branche, Anbieter elektronischer Kommunikationsnetze oder -dienste, KMU, Verbraucher, wissenschaftliche Sachverständige, Betreiber wesentlicher Dienste sowie Vertreter der zuständigen Behörden, die gemäß dem europäischen Kodex für die elektronische Kommunikation notifiziert wurden, Normungsorganisationen sowie Strafverfolgungsbehörden und Datenschutz-Aufsichtsbehörden, und die Fragen behandelt, die die Beteiligten betreffen, und diese der ENISA zur Kenntnis bringt;
• einem Netz der nationalen Verbindungsbeamten, das sich aus Vertretern der EU-Länder zusammensetzt, den Informationsaustausch zwischen der ENISA und den EU-Ländern erleichtert und die ENISA dabei unterstützt, ihre Tätigkeiten, Erkenntnisse und Empfehlungen bekannt zu machen.

Durch die Verordnung wird Folgendes geschaffen:

• eine Gruppe der Interessenträger für die Cybersicherheitszertifizierung, die sich aus anerkannten Sachverständigen zusammensetzt, um z. B. die Kommission in strategischen Fragen im Zusammenhang mit dem europäischen Rahmen für die Cybersicherheitszertifizierung und auf Ersuchen die ENISA in allgemeinen und strategischen Fragen im Zusammenhang mit den Aufgaben der Agentur zu beraten;
• eine Europäische Gruppe für die Cybersicherheitszertifizierung (ECCG), die sich aus nationalen Vertretern zusammensetzt, um die Kommission bei ihren Tätigkeiten zur Gewährleistung einer einheitlichen Umsetzung und Anwendung dieses Rechtsakts und die ENISA bei der Ausarbeitung möglicher Cybersicherheitszertifizierungsschemata zu beraten und zu unterstützen.

Die ENISA

• wird zum 27. Juni 2019 für unbegrenzte Zeit errichtet;
• führt ihre Geschäfte in Übereinstimmung mit einem einheitlichen Programmplanungsdokument, das ihre jährliche und mehrjährige Programmplanung enthält;
• befolgt die Sicherheitsvorschriften der Kommission zum Schutz von vertraulichen Informationen, die nicht zu den Verschlusssachen zählen, und von Verschlusssachen der EU;
• gibt vertrauliche Informationen, die bei ihr eingehen oder von ihr verarbeitet werden, nicht an Dritte weiter;
• beteiligt sich uneingeschränkt an den Maßnahmen der EU zur Bekämpfung von Betrug, Korruption und sonstigen rechtswidrigen Handlungen;
• verarbeitet personenbezogene Daten in Übereinstimmung mit den jeweiligen EU-Vorschriften.

Mit der Verordnung wird ein europäischer Zertifizierungsrahmen für die Cybersicherheit geschaffen, um

• die Voraussetzungen für einen funktionierenden Binnenmarkt zu verbessern, indem die Cybersicherheit in der EU erhöht wird und indem im Hinblick auf die Schaffung eines digitalen Binnenmarkts für IKT-Produkte, -Dienste und -Prozesse ein harmonisierter Ansatz auf EU-Ebene für europäische Schemata für die Cybersicherheitszertifizierung ermöglicht wird;
• einen Mechanismus festzulegen, mit dem europäische Schemata für die Cybersicherheitszertifizierung geschaffen werden und mit dem bescheinigt wird, dass die nach einem solchen Schema bewerteten IKT-Produkte, -Dienste und -Prozesse den festgelegten Sicherheitsanforderungen genügen, um die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit von gespeicherten, übermittelten oder verarbeiteten Daten, Funktionen oder Diensten, die von diesen Produkten, Diensten und Prozessen angeboten oder über diese zugänglich gemacht werden, während deren gesamten Lebenszyklus zu schützen.

Der Rahmen dient als Grundlage für Folgendes:

• Die Kommission
  • veröffentlicht ein fortlaufendes Arbeitsprogramm der EU für die europäische Cybersicherheitszertifizierung, in dessen Rahmen die strategischen Prioritäten sowie IKT-Produkte, -Dienste und -Prozesse oder Kategorien davon, die von der Aufnahme in ein Schema profitieren können, festgelegt werden;
  • kann die ENISA damit beauftragen, ein mögliches Schema für die Cybersicherheitszertifizierung auszuarbeiten oder ein bestehendes Schema zu überarbeiten.
• Die ENISA
  • arbeitet auf Anfrage der Kommission oder der ECCG geeignete mögliche Schemata aus;
  • bewertet alle fünf Jahre jedes angenommene Schema für die Cybersicherheitszertifizierung, wobei sie die erhaltenen Rückmeldungen berücksichtigt;
  • unterhält eine eigene Website, auf der sie über die Schemata, Cybersicherheitszertifikate und Konformitätserklärungen informiert.

Die europäischen Schemata für die freiwillige Cybersicherheitszertifizierung

• sollen verschiedene Sicherheitsziele verwirklichen, wie z. B. den Schutz gespeicherter, übermittelter und verarbeiteter Daten;
• können für IKT-Produkte, -Dienste und -Prozesse die Vertrauenswürdigkeitsstufen „niedrig“, „mittel“ oder „hoch“ angeben;
• können die Durchführung einer „Selbstbewertung der Konformität“ unter der alleinigen Verantwortung des Herstellers oder Anbieters von IKT-Produkten, -Diensten und -Prozessen mit niedrigem Risiko (d. h. der Vertrauenswürdigkeitsstufe „niedrig“) zulassen;
• müssen bestimmte Elemente enthalten, wie z. B. eine eindeutige Beschreibung des Zwecks des Schemas, den Gegenstand und Umfang des Schemas sowie die Bewertungskriterien und -methoden;
• ersetzen nationale Schemata, wobei auf der Grundlage dieser nationalen Schemata ausgestellte Zertifikate jedoch bis zum Ende ihrer Geltungsdauer gültig bleiben.

Hersteller und Anbieter von zertifizierten IKT-Produkten, -Diensten oder -Prozessen müssen folgende Angaben der Öffentlichkeit zugänglich machen:

• Leitlinien und Empfehlungen zur Unterstützung der Endnutzer bei der Installation, der Anwendung und der Wartung ihrer Produkte oder Dienste;
• den Zeitraum, während dessen eine Sicherheitsunterstützung angeboten wird;
• ihre Kontaktangaben;
• Verweise auf Online-Register mit Informationen über bekannte Cybersicherheitsprobleme, die ihre Produkte oder Dienste betreffen.

Jedes EU-Land benennt eine oder mehrere nationale Behörden für die Cybersicherheitszertifizierung mit ausreichenden Ressourcen und Befugnissen zur Überwachung und Durchsetzung der Vorschriften im Rahmen der europäischen Schemata für die Cybersicherheitszertifizierung.

Die Kommission

• bewertet regelmäßig die Effizienz und Nutzung der angenommenen Cybersicherheitszertifizierungsschemata sowie die Frage, ob ein bestimmtes Schema verbindlich vorgeschrieben werden soll;
• schließt ihre erste detaillierte Bewertung bis zum 31. Dezember 2023 ab (nachfolgende Bewertungen finden alle zwei Jahre statt);
• bewertet bis zum 28. Juni 2024 und danach alle fünf Jahre die Wirkung, Wirksamkeit und Effizienz der ENISA.

Natürliche und juristische Personen haben das Recht, bei dem Aussteller eines europäischen Cybersicherheitszertifikats eine Beschwerde einzulegen, und das Recht auf einen wirksamen gerichtlichen Rechtsbehelf.

Die Zuständigkeiten der EU-Länder in Bezug auf die öffentliche Sicherheit, die Landesverteidigung, die nationale Sicherheit und das staatliche Handeln im strafrechtlichen Bereich bleiben von der Verordnung unberührt.

Mit der Verordnung wird die Verordnung (EU) Nr. 526/2013 mit Wirkung vom 27. Juni 2019 aufgehoben.

WANN TRITT DIE VERORDNUNG IN KRAFT?

Die Verordnung ist am 27. Juni 2019 in Kraft getreten.

Die Artikel über die Benennung der nationalen Behörden für die Cybersicherheitszertifizierung, über die Akkreditierung und Notifikation der Konformitätsbewertungsstellen, über das Recht, bei dem Aussteller eines europäischen Cybersicherheitszertifikats eine Beschwerde einzulegen, und das Recht auf einen gerichtlichen Rechtsbehelf sowie über Sanktionen gelten ab dem 28. Juni 2021.

HINTERGRUND

Die ENISA, die ihren Sitz in Athen und eine Zweigstelle in Iraklio hat, trägt seit 2004 zur Netz- und Informationssicherheit der EU bei. Weiterführende Informationen:

• ENISA – Agentur der Europäischen Union für Cybersicherheit (ENISA),
• Cybersicherheit (Europäische Kommission).

SCHLÜSSELBEGRIFFE

HAUPTDOKUMENT

Verordnung (EU) 2019/881 des Europäischen Parlaments und des Rates vom 17. April 2019 über die ENISA (Agentur der Europäischen Union für Cybersicherheit) und über die Zertifizierung der Cybersicherheit von Informations- und Kommunikationstechnik und zur Aufhebung der Verordnung (EU) Nr. 526/2013 (Rechtsakt zur Cybersicherheit) (ABl. L 151 vom 7.6.2019, S. 15-69)

VERBUNDENE DOKUMENTE

Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates vom 23. Oktober 2018 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union, zum freien Datenverkehr und zur Aufhebung der Verordnung (EG) Nr. 45/2001 und des Beschlusses Nr. 1247/2002/EG (ABl. L 295 vom 21.11.2018, S. 39-98)

Richtlinie (EU) 2016/1148 des Europäischen Parlaments und des Rates vom 6. Juli 2016 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union (ABl. L 194 vom 19.7.2016, S. 1-30)

Nachfolgende Änderungen der Richtlinie 2016/1148 wurden in den Originaltext eingefügt. Diese konsolidierte Fassung hat ausschließlich dokumentarischen Charakter.

Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1-88)

Siehe konsolidierte Fassung.

Letzte Aktualisierung: 10.03.2020