Choose the experimental features you want to try

This document is an excerpt from the EUR-Lex website

Document 32017H1584

    Empfehlung (EU) 2017/1584 der Kommission vom 13. September 2017 für eine koordinierte Reaktion auf große Cybersicherheitsvorfälle und -krisen

    C/2017/6100

    ABl. L 239 vom 19.9.2017, p. 36–58 (BG, ES, CS, DA, DE, ET, EL, EN, FR, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

    ELI: http://data.europa.eu/eli/reco/2017/1584/oj

    19.9.2017   

    DE

    Amtsblatt der Europäischen Union

    L 239/36


    EMPFEHLUNG (EU) 2017/1584 DER KOMMISSION

    vom 13. September 2017

    für eine koordinierte Reaktion auf große Cybersicherheitsvorfälle und -krisen

    DIE EUROPÄISCHE KOMMISSION —

    gestützt auf den Vertrag über die Arbeitsweise der Europäischen Union, insbesondere auf Artikel 292,

    in Erwägung nachstehender Gründe:

    (1)

    Die Nutzung und Abhängigkeit von Informations- und Kommunikationstechnologien sind von grundlegender Bedeutung in allen Wirtschaftssektoren, da Unternehmen und Bürger stärker als je zuvor branchen- und grenzübergreifend miteinander vernetzt und voneinander abhängig sind. Ein Cybersicherheitsvorfall, von dem Organisationen in mehr als einem Mitgliedstaat oder sogar in der gesamten Union betroffen sind und der potenziell schwerwiegende Störungen des Binnenmarktes sowie generell der Netz- und Informationssysteme, auf die sich Wirtschaft, Demokratie und Gesellschaft der Union stützen, mit sich bringen würde, ist ein Szenario, auf das die Mitgliedstaaten und die EU-Organe gut vorbereitet sein müssen.

    (2)

    Ein Cybersicherheitsvorfall kann als Krise auf Unionsebene erachtet werden, wenn die durch den Vorfall verursachte Störung zu umfangreich ist, als dass ein betroffener Mitgliedstaat sie alleine bewältigen könnte, oder wenn sie in zwei oder mehr Mitgliedstaaten zu so weitreichenden Auswirkungen von technischer oder politischer Bedeutung führt, dass eine zeitnahe Koordinierung und Reaktion auf der politischen Ebene der Union erforderlich ist.

    (3)

    Cybersicherheitsvorfälle können eine umfassendere Krise auslösen, die sich auf Tätigkeitsbereiche jenseits der Netz- und Informationssysteme und Kommunikationsnetze auswirkt; eine angemessene Reaktion muss sich sowohl auf Cyber-Maßnahmen als auch auf andere Maßnahmen zur Eindämmung der Folgen stützen.

    (4)

    Cybersicherheitsvorfälle sind unvorhersehbar und ereignen bzw. entwickeln sich häufig innerhalb sehr kurzer Zeiträume, sodass die betroffenen Organisationen und die für die Reaktion und die Begrenzung der Auswirkungen des Vorfalls Zuständigen ihre Reaktionen rasch koordinieren müssen. Darüber hinaus treten Cybersicherheitsvorfälle oft nicht innerhalb eines begrenzten geografischen Gebiets auf, sondern können sich gleichzeitig in vielen Ländern ereignen oder sich rasch in anderen Ländern ausbreiten.

    (5)

    Eine wirksame Reaktion auf große Cybersicherheitsvorfälle und -krisen auf EU-Ebene erfordert die rasche und wirksame Zusammenarbeit aller einschlägigen Interessenträger. Sie beruht zudem auf der Abwehrbereitschaft und den Fähigkeiten der einzelnen Mitgliedstaaten sowie auf koordinierten gemeinsamen Maßnahmen, die durch die Kapazitäten der Union unterstützt werden. Um rechtzeitig und wirksam auf Vorfälle reagieren zu können, müssen daher im Voraus festgelegte und, soweit möglich, eingespielte Verfahren und Mechanismen der Zusammenarbeit mit klar definierten Rollen und Zuständigkeiten der wichtigsten Akteure auf nationaler und auf Unionsebene bestehen.

    (6)

    In seinen Schlussfolgerungen (1) über den Schutz kritischer Informationsinfrastrukturen vom 27. Mai 2011 forderte der Rat die EU-Mitgliedstaaten auf, „die Zusammenarbeit zwischen den Mitgliedstaaten zu fördern und — gestützt auf die nationalen Erfahrungen und Ergebnisse bei der Krisenbewältigung und in Zusammenarbeit mit der ENISA — bei der Ausarbeitung eines Europäischen Mechanismus zur Zusammenarbeit bei Netzstörungen mitzuwirken, der im Rahmen der nächsten „CyberEurope“-Übung im Jahr 2012 getestet werden sollte“.

    (7)

    Die Mitteilung aus dem Jahr 2016 „Stärkung der Abwehrfähigkeit Europas im Bereich der Cybersicherheit und Förderung einer wettbewerbsfähigen und innovativen Cybersicherheitsbranche“ (2) hat die Mitgliedstaaten dazu ermutigt, die Kooperationsmechanismen der NIS-Richtlinie (3) bestmöglich zu nutzen und die grenzüberschreitende Zusammenarbeit im Bereich der Abwehrbereitschaft gegenüber großen Cybervorfällen zu intensivieren. Außerdem würde die Abwehrbereitschaft durch einen koordinierten Ansatz für die Zusammenarbeit in Krisensituationen, der die verschiedenen Elemente des Cyberökosystems einbezieht, gestärkt. Dieser sollte in einem „Konzeptentwurf“ festgehalten werden, der auch Synergien und Kohärenz mit bestehenden Krisenbewältigungsmechanismen gewährleisten sollte.

    (8)

    In den Schlussfolgerungen des Rates (4) zur vorstehend genannten Mitteilung forderten die Mitgliedstaaten die Kommission auf, einen solchen Konzeptentwurf zur Prüfung durch die NIS-Leitungsgremien und andere einschlägige Akteure vorzulegen. In der NIS-Richtlinie ist jedoch kein Rahmen für die Zusammenarbeit der Union bei großen Cybersicherheitsvorfällen und -krisen vorgesehen.

    (9)

    Die Kommission konsultierte die Mitgliedstaaten in zwei gesonderten Konsultationsworkshops in Brüssel am 5. April und 4. Juli 2017, an denen Vertreter der Mitgliedstaaten aus den IT-Noteinsatzteams (Computer Security Incident Response Teams, CSIRT), der durch die NIS-Richtlinie eingerichteten Kooperationsgruppe und der Horizontalen Gruppe „Fragen des Cyberraums“ des Rates sowie Vertreter des Europäischen Auswärtigen Dienstes (EAD), der ENISA, von Europol/EC3 und des Generalsekretariats des Rates teilnahmen.

    (10)

    Der im Anhang beigefügte Konzeptentwurf für eine koordinierte Reaktion auf große Cybersicherheitsvorfälle und -krisen auf Unionsebene ist das Ergebnis dieser Konsultationen und ergänzt die Mitteilung „Stärkung der Abwehrfähigkeit Europas im Bereich der Cybersicherheit und Förderung einer wettbewerbsfähigen und innovativen Cybersicherheitsbranche“.

    (11)

    In dem Konzeptentwurf werden die Ziele und Methoden der Zusammenarbeit zwischen den Mitgliedstaaten und den Organen, Einrichtungen und sonstigen Stellen der EU (im Folgenden „EU-Institutionen“) bei der Reaktion auf große Cybersicherheitsvorfälle und -krisen dargelegt und es wird erläutert, wie die bereits vorhandenen Krisenmanagementmechanismen sich die auf EU-Ebene bestehenden Cybersicherheitsstellen voll zunutze machen können.

    (12)

    Die Reaktion auf politischer Ebene der Union auf eine Cybersicherheitskrise im Sinne des Erwägungsgrunds 2 wird gemäß der Integrierten Regelung für die politische Reaktion auf Krisen (IPCR) (5) koordiniert; die Kommission wird den sektorübergreifenden Krisenkoordinierungsprozess auf hoher Ebene, ARGUS (6), nutzen. Berührt die Krise eine wichtige externe Dimension oder eine Dimension der Gemeinsamen Sicherheits- und Verteidigungspolitik (GSVP), so wird das Krisenreaktionssystem (CRM) (6) des Europäischen Auswärtigen Dienstes (EAD) ausgelöst.

    (13)

    In bestimmten Bereichen ist eine Zusammenarbeit im Fall von Cybersicherheitsvorfällen oder -krisen in sektorspezifischen Krisenmanagementmechanismen auf EU-Ebene vorgesehen. So sind beispielsweise im Rahmen des Globalen Satelliten-Navigationssystem (GNSS) mit Beschluss 2014/496/GASP des Rates (7) bereits die Aufgaben des Rates, der Hohen Vertreterin, der Kommission, der Agentur für das Europäische GNSS und der Mitgliedstaaten in der Kette der operationellen Zuständigkeiten festgelegt, die zur Reaktion auf eine Bedrohung für die Union, die Mitgliedstaaten oder das GNSS, auch durch Cyberangriffe, geschaffen wurde. Diese Empfehlung sollte daher die genannten Mechanismen unberührt lassen.

    (14)

    In erster Linie sind die Mitgliedstaaten zuständig für die Reaktion auf große Cybersicherheitsvorfälle oder -krisen, von denen sie betroffen sind. Der Kommission, der Hohen Vertreterin und anderen EU-Institutionen oder -Dienststellen kommt jedoch eine wichtige Rolle zu, die sich aus dem Unionsrecht oder aus der Tatsache ergibt, dass Cybersicherheitsvorfälle und -krisen sich auf alle Bereiche der Wirtschaftstätigkeit im Binnenmarkt, die Sicherheit und die internationalen Beziehungen der Union sowie auf die Institutionen selbst auswirken können.

    (15)

    Auf Unionsebene zählen zu den wichtigsten Akteuren bei Cybersicherheitskrisen die durch die NIS-Richtlinie neu geschaffenen Strukturen und Mechanismen, etwa das Netz der IT-Noteinsatzteams (CSIRT), sowie die einschlägigen Agenturen und Stellen, insbesondere die Agentur der Europäischen Union für Netz- und Informationssicherheit (ENISA), das bei Europol angesiedelte Europäische Zentrum zur Bekämpfung der Cyberkriminalität (Europol/EC3), das EU-Zentrum für Informationsgewinnung und -analyse (INTCEN), die Abteilung „Aufklärung“ des Militärstabs der EU (EUMS INT) und das Lagezentrum (SITROOM), die im Rahmen des SIAC (Einheitliches Analyseverfahren) zusammenarbeiten, die (bei INTCEN angesiedelte) EU-Analyseeinheit für hybride Bedrohungen, das IT-Notfallteam für die Organe, Einrichtungen und sonstigen Stellen der EU (CERT-EU) und das Zentrum für die Koordination von Notfallmaßnahmen der Europäischen Kommission.

    (16)

    Die Zusammenarbeit zwischen den Mitgliedstaaten bei der Reaktion auf Cybersicherheitsvorfälle auf technischer Ebene erfolgt über das durch die NIS-Richtlinie eingerichtete CSIRT-Netz. Die ENISA führt die Sekretariatsgeschäfte und unterstützt aktiv die Zusammenarbeit zwischen den CSIRT. Die nationalen CSIRT und das CERT-EU arbeiten — auf freiwilliger Basis — zusammen und tauschen Informationen aus, erforderlichenfalls auch bei Cybersicherheitsvorfällen, die einen oder mehrere Mitgliedstaaten betreffen. Auf Antrag des Vertreters des CSIRT eines Mitgliedstaats können sie einen Sicherheitsvorfall, der im Gebiet dieses Mitgliedstaats festgestellt wurde, erörtern und — sofern möglich — eine koordinierte Reaktion darauf ausarbeiten. Die entsprechenden Verfahren werden im Rahmen des CSIRT-Netzes (Standard Operating Procedures — SOP) (8) festgelegt.

    (17)

    Das CSIRT-Netz hat ferner die Aufgabe, weitere Formen der operativen Zusammenarbeit bei der Reaktion der Mitgliedstaaten auf grenzüberschreitende Risiken und Vorfälle zu erörtern, zu sondieren und zu bestimmen, unter anderem im Zusammenhang mit Kategorien von Risiken und Sicherheitsvorfällen, Frühwarnungen, gegenseitiger Unterstützung sowie Grundsätzen und Modalitäten der Koordinierung.

    (18)

    Die durch Artikel 11 der NIS-Richtlinie eingesetzte Kooperationsgruppe hat die Aufgabe, strategische Leitlinien für die Tätigkeiten des CSIRT-Netzes bereitzustellen, die Fähigkeiten und die Abwehrbereitschaft der Mitgliedstaaten zu erörtern und — auf freiwilliger Basis — die nationalen Strategien für die Sicherheit von Netz- und Informationssystemen und die Wirksamkeit der CSIRT zu bewerten sowie bewährte Verfahren zu bestimmen.

    (19)

    Eine spezielle Arbeitsgruppe innerhalb der Kooperationsgruppe befasst sich derzeit gemäß Artikel 14 Absatz 7 der NIS-Richtlinie mit der Ausarbeitung von Leitlinien für die Meldung von Sicherheitsvorfällen betreffend die Umstände, unter denen die Betreiber wesentlicher Dienste Sicherheitsvorfälle gemäß Artikel 14 Absatz 3 melden müssen sowie die Muster und Verfahren für derartige Mitteilungen (9).

    (20)

    Die Erfassung und das Verständnis der Lage in Echtzeit sowie bestehender Risiken und Bedrohungen durch Meldungen, Bewertungen, Forschung, Untersuchungen und Analyse sind von ausschlaggebender Bedeutung für fundierte Entscheidungen. Diese „Lageerfassung“ durch alle einschlägigen Akteure ist entscheidend für eine wirksame und koordinierte Reaktion. Die Lageerfassung enthält Elemente, die sowohl die Ursachen als auch die Folgen und den Ursprung des Vorfalls betreffen. Es wird anerkannt, dass hierfür der sichere Austausch von Informationen zwischen den beteiligten Parteien in einem geeigneten Format unter Verwendung einer gemeinsamen Systematik zur Beschreibung des Vorfalls entscheidend ist.

    (21)

    Die Reaktion auf Cybersicherheitsvorfälle kann vielfältige Formen annehmen und von der Ermittlung technischer Maßnahmen (z. B. gemeinsame Untersuchung der technischen Ursachen des Sicherheitsvorfalls durch zwei oder mehr Stellen etwa durch Analyse von Schadsoftware) oder der Ermittlung von Möglichkeiten, wie die Organisationen prüfen können, ob sie betroffen sind (z. B. Gefährdungsindikatoren (indicators of compromise, (IOC)), bis zu operativen Entscheidungen über die Anwendung solcher Maßnahmen und — auf politischer Ebene — zur Entscheidung über die Nutzung anderer Instrumente, beispielsweise des Rahmens für eine gemeinsame Reaktion auf böswillige Cyberaktivitäten (10) oder des Protokolls der EU für das operative Vorgehen bei der Abwehr hybrider Bedrohungen (11), reichen.

    (22)

    Das Vertrauen der europäischen Bürger und Unternehmen in digitale Dienste ist von wesentlicher Bedeutung für einen florierenden digitalen Binnenmarkt. Daher spielt die Kommunikation im Krisenfall eine besonders wichtige Rolle bei der Eindämmung der negativen Folgen von Cybersicherheitsvorfällen und -krisen. Kommunikationsmaßnahmen können im Kontext des Rahmens für eine gemeinsame diplomatische Reaktion auch genutzt werden, um das Verhalten von (potenziellen) Angreifern, die von Drittländern aus agieren, zu beeinflussen. Damit die politische Reaktion Wirkung zeigt, müssen die öffentlichen Kommunikationsmaßnahmen zur Eindämmung der negativen Folgen von Cybersicherheitsvorfällen und -krisen mit den Kommunikationsmaßnahmen zur Beeinflussung der Angreifer abgestimmt werden.

    (23)

    Die Auswirkungen eines großen Cybersicherheitsvorfalls oder einer bedeutenden Krise könnten dadurch wirksam begrenzt werden, dass die Öffentlichkeit darüber unterrichtet wird, wie sie auf Nutzer- und Organisationsebene diese Auswirkungen eindämmen kann (z. B. durch Sicherheitspatchs oder ergänzende Maßnahmen zur Vermeidung der Bedrohung).

    (24)

    Die Kommission entwickelt derzeit in Bezug auf die Netzsicherheit der Infrastrukturen für digitale Dienste im Rahmen der Fazilität „Connecting Europe“ (CEF) einen Kooperationsmechanismus für die Kerndienstplattform (MeliCERTes) für die Zusammenarbeit zwischen den CSIRT der teilnehmenden Mitgliedstaaten im Hinblick auf die Verbesserung ihrer Abwehrbereitschaft, Zusammenarbeit und Reaktion auf künftige Cyberbedrohungen und Sicherheitsvorfälle. Sie kofinanziert durch wettbewerbliche Aufforderungen zur Einreichung von Vorschlägen für die Gewährung von Finanzhilfen im Rahmen der Fazilität „Connecting Europe“ die CSIRT der Mitgliedstaaten, um so ihre operativen Kapazitäten auf nationaler Ebene zu verbessern.

    (25)

    Cybersicherheitsübungen auf EU-Ebene sind unbedingt erforderlich, um die Zusammenarbeit zwischen den Mitgliedstaaten und dem Privatsektor zu verbessern. Zu diesem Zweck organisiert die ENISA seit 2010 regelmäßig europaweite Übungen zu Cybervorfällen („Cyber Europe“).

    (26)

    In den Schlussfolgerungen des Rates (12) zur Umsetzung der Gemeinsamen Erklärung des Präsidenten des Europäischen Rates, des Präsidenten der Europäischen Kommission und des Generalsekretärs der Nordatlantikvertrags-Organisation wird die Stärkung der Zusammenarbeit bei Cyber-Übungen durch die wechselseitige Teilnahme des Personals an den entsprechenden Übungen, insbesondere den Übungen „Cyber Coalition“ und „Cyber Europe“, gefordert.

    (27)

    Die sich ständig verändernden Bedrohungen und jüngsten Cybersicherheitsvorfälle sind ein Indiz für die zunehmenden Risiken, denen die Union gegenübersteht. Die Mitgliedstaaten sollten auf die vorliegende Empfehlung hin unverzüglich und in jedem Fall vor Ende 2018 tätig werden —

    HAT FOLGENDE EMPFEHLUNG ABGEGEBEN:

    (1)

    Die Mitgliedstaaten und die EU-Institutionen sollten einen EU-Rahmen für die Reaktion auf Cybersicherheitskrisen schaffen, der die im Konzeptentwurf dargelegten Ziele und Modalitäten der Zusammenarbeit einbezieht und sich an den darin beschriebenen Leitprinzipien orientiert.

    (2)

    Der EU-Rahmen für die Reaktion auf Cybersicherheitskrisen sollte insbesondere die einschlägigen Akteure, EU-Institutionen und Behörden der Mitgliedstaaten auf allen erforderlichen Ebenen — technisch, operativ, strategisch/politisch — bestimmen und erforderlichenfalls Standardarbeitsanweisungen für die Art und Weise enthalten, in der diese im Rahmen der Krisenmanagementmechanismen der EU zusammenarbeiten. Der Schwerpunkt sollte auf der Förderung des unverzüglichen Austauschs von Informationen und der Koordinierung der Reaktion auf große Cybersicherheitsvorfälle und -krisen liegen.

    (3)

    Zu diesem Zweck sollten die zuständigen Behörden der Mitgliedstaaten zusammenarbeiten, um Protokolle für den Informationsaustausch und die Zusammenarbeit genauer zu spezifizieren. Die Kooperationsgruppe sollte diesbezügliche Erfahrungen mit den einschlägigen EU-Institutionen austauschen.

    (4)

    Die Mitgliedstaaten sollten sicherstellen, dass sie mit ihren nationalen Krisenmanagementmechanismen angemessen auf Cybersicherheitsvorfälle reagieren können und die notwendigen Verfahren für eine Zusammenarbeit auf EU-Ebene innerhalb des EU-Rahmens schaffen.

    (5)

    Was die bestehenden Krisenmanagementmechanismen der EU betrifft, sollten die Mitgliedstaaten im Einklang mit dem Konzeptentwurf gemeinsam mit den Kommissionsdienststellen und dem EAD praktische Leitlinien für die Eingliederung ihrer nationalen Stellen und Verfahren für Krisenmanagement und Cybersicherheit in die bestehenden Krisenmanagementmechanismen der EU, d. h. die IPCR und das CRM des EAD, festlegen. Sie sollten insbesondere sicherstellen, dass geeignete Strukturen vorhanden sind, die den effizienten Informationsaustausch zwischen ihren nationalen Krisenmanagementbehörden und ihren Vertretern auf EU-Ebene im Rahmen der Krisenmanagementmechanismen der EU ermöglichen.

    (6)

    Die Mitgliedstaaten sollten in vollem Umfang Gebrauch von den Möglichkeiten machen, die sich in Bezug auf die Netzsicherheit der Infrastrukturen für digitale Dienste (DSI) im Rahmen der Fazilität „Connecting Europe“ (CEF) bieten, und mit der Kommission zusammenarbeiten, um zu gewährleisten, dass der Kooperationsmechanismus der Kerndienstplattform, der sich derzeit noch in der Entwicklung befindet, die erforderlichen Funktionen bietet und ihre Anforderungen hinsichtlich der Zusammenarbeit auch bei Cybersicherheitskrisen erfüllt.

    (7)

    Die Mitgliedstaaten sollten mit Unterstützung der ENISA und aufbauend auf den bisherigen Arbeiten in diesem Bereich bei der Entwicklung und Annahme einer gemeinsamen Systematik und gemeinsamer Muster für Lageberichte zusammenarbeiten, in denen die technischen Ursachen und die Auswirkungen von Cybersicherheitsvorfällen erläutert werden, um ihre technische und operative Zusammenarbeit in Krisenzeiten weiter zu intensivieren. In diesem Zusammenhang sollten die Mitgliedstaaten die laufenden Arbeiten der Kooperationsgruppe zu den Leitlinien für die Meldung von Sicherheitsvorfällen und insbesondere die das Format der nationalen Meldungen betreffenden Aspekte berücksichtigen.

    (8)

    Die im Krisenreaktionsrahmen festgelegten Verfahren sollten erprobt und erforderlichenfalls überarbeitet werden, unter Berücksichtigung der Erfahrungen, die im Rahmen der Teilnahme der Mitgliedstaaten an Übungen zur Cybersicherheit auf nationaler, regionaler, Unions- und NATO-Ebene sowie im Rahmen der Cyberdiplomatie gesammelt wurden. Insbesondere sollten sie im Rahmen der „CyberEurope“-Übungen der ENISA erprobt werden. „CyberEurope 2018“ bietet hierfür eine erste Gelegenheit.

    (9)

    Die Mitgliedstaaten und die EU-Institutionen sollten regelmäßig ihre Reaktion — auch ihre politische Reaktion — auf große Cybersicherheitsvorfälle und -krisen auf nationaler und europäischer Ebene einüben und erforderlichenfalls den privaten Sektor einbeziehen.

    Brüssel, den 13. September 2017

    Für die Kommission

    Mariya GABRIEL

    Mitglied der Kommission


    (1)  Schlussfolgerungen des Rates über den Schutz kritischer Informationsinfrastrukturen „Ergebnisse und nächste Schritte: der Weg zur globalen Netzsicherheit“, Dokument 10299/11, Brüssel, 27. Mai 2011.

    (2)  COM(2016) 410 final vom 5. Juli 2016.

    (3)  Richtlinie (EU) 2016/1148 des Europäischen Parlaments und des Rates vom 6. Juli 2016 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union (ABl. L 194 vom 19.7.2016, S. 1).

    (4)  Dokument 14540/16 vom 15. November 2016.

    (5)  Weitere Informationen sind Abschnitt 3.1. der Anlage zu „Krisenmanagement, Kooperationsmechanismen und Akteure auf EU-Ebene“ zu entnehmen.

    (6)  Ebenda.

    (7)  Beschluss 2014/496/GASP des Rates vom 22. Juli 2014 betreffend die Gesichtspunkte der Einführung, des Betriebs und der Nutzung des europäischen Globalen Satellitennavigationssystems, die die Sicherheit der Europäischen Union berühren, und zur Aufhebung der Gemeinsamen Aktion 2004/552/GASP (ABl. L 219 vom 25.7.2014, S. 53).

    (8)  Werden derzeit ausgearbeitet und voraussichtlich Ende 2017 endgültig angenommen.

    (9)  Die Leitlinien sollen Ende 2017 vorliegen.

    (10)  Schlussfolgerungen des Rates über einen Rahmen für eine gemeinsame diplomatische Reaktion der EU auf böswillige Cyberaktivitäten („Cyber Diplomacy Toolbox“), Dok. 9916/17.

    (11)  Gemeinsame Arbeitsunterlage Protokoll der EU für das operative Vorgehen bei der Abwehr hybrider Bedrohungen („EU-Playbook“), SWD(2016) 227 final vom 5. Juli 2016.

    (12)  Dokument 15283/16 vom 6. Dezember 2016.


    ANHANG

    Konzeptentwurf zur koordinierten Reaktion auf grenzüberschreitende Cybersicherheitsvorfälle und -krisen großen Ausmaßes

    EINFÜHRUNG

    Dieser Konzeptentwurf beschäftigt sich mit Cybersicherheitsvorfällen, die so große Störungen hervorrufen, dass der betroffene Mitgliedstaat sie allein nicht bewältigen kann, oder die so weitreichende und beträchtliche Auswirkungen von technischer oder politischer Tragweite auf zwei oder mehr Mitgliedstaaten oder EU-Organe haben, dass rasch koordinierte Maßnahmen zu treffen sind und auf Unionsebene politisch reagiert werden muss.

    Solche Cybersicherheitsvorfälle von großem Ausmaß werden als „Cybersicherheitskrisen“ eingestuft.

    Im Falle einer EU-weiten Krise, die auch den Cyberbereich betrifft, übernimmt der Rat die Koordinierung auf der politischen Ebene der EU und bedient sich dabei der Integrierten Regelung für die politische Reaktion auf Krisen (IPCR).

    Bei der Kommission erfolgt die Koordinierung im Rahmen des Frühwarnsystems „ARGUS“.

    Berührt die Krise eine wichtige externe Dimension oder eine Dimension der Gemeinsamen Sicherheits- und Verteidigungspolitik (GSVP), so wird das Krisenreaktionssystem des EAD ausgelöst.

    In diesem Konzeptentwurf wird beschrieben, in welcher Form diese bewährten Krisenmechanismen die vorhandenen Cybersicherheitsstellen auf EU-Ebene ebenso wie die Kooperationsmechanismen zwischen den Mitgliedstaaten umfassend nutzen sollten.

    Der Konzeptentwurf stellt auf eine Reihe von Leitprinzipien ab (Verhältnismäßigkeit, Subsidiarität, Komplementarität und Vertraulichkeit von Informationen), stellt die Kernziele der Zusammenarbeit (wirksame Reaktion, abgestimmte Lageeinschätzung, Unterrichtung der Öffentlichkeit) auf drei Ebenen (der strategisch-politischen, der operativen und der technischen Ebene) auf, stellt die Mechanismen und Akteure vor und legt die Maßnahmen dar, die zur Erreichung der genannten Kernziele ergriffen werden sollen.

    Der Konzeptentwurf deckt nicht den gesamten Krisenmanagementzyklus (Prävention/Eindämmung, Vorsorge, Reaktion, Folgenbewältigung) ab, sondern stellt den Aspekt der Reaktion in den Mittelpunkt. Allerdings werden bestimmte Maßnahmen, insbesondere solche, die der abgestimmten Lageeinschätzung dienen, behandelt.

    Wichtig ist, auch zu berücksichtigen, dass Cybersicherheitsvorfälle Ausgangspunkt für weiterreichende Krisen sein können, die auch andere Bereiche betreffen. Da bei den meisten Cybersicherheitskrisen davon ausgegangen werden kann, dass sie sich auf die physische Welt auswirken, bedeutet angemessene Reaktion, dass sowohl im Cyberraum als auch außerhalb eindämmende Maßnahmen zu ergreifen sind. Maßnahmen zur Reaktion auf Cyberkrisen sollten mit anderen Krisenmanagementstrukturen auf europäischer, nationaler und sektoraler Ebene koordiniert werden.

    Der Konzeptentwurf berührt keine bereits bestehenden Mechanismen, Regelungen oder Instrumente für bestimmte Sektoren oder Politikbereiche, wie z. B. das europäische GNSS-Programm (Globales Satellitennavigationssystem) (1), noch soll es diese ersetzen.

    Leitprinzipien

    Bei der Aufstellung der Ziele, der Identifizierung der erforderlichen Maßnahmen und der Zuteilung der Rollen und Zuständigkeiten der einzelnen Akteure oder Mechanismen wurden die folgenden Leiprinzipien angewandt, die auch bei der Ausarbeitung künftiger Durchführungsleitlinien zu berücksichtigen sind.

    Verhältnismäßigkeit: Die meisten Cybersicherheitsvorfälle, von denen Mitgliedstaaten betroffen sind, erreichen bei weitem nicht das Ausmaß dessen, was als nationale oder gar europäische „Krise“ eingestuft werden könnte. Die Grundlage für die Zusammenarbeit zwischen den Mitgliedstaaten bei der Bewältigung solcher Vorfälle bilden die durch die NIS-Richtlinie (2) eingerichteten Computer-Notfallteams (CSIRTs). Die nationalen CSIRTs arbeiten zusammen und tauschen täglich auf freiwilliger Basis Informationen untereinander aus, falls erforderlich auch als Reaktion auf Cybersicherheitsvorfälle, die einen oder mehrere Mitgliedstaaten betreffen, und in Übereinstimmung mit den Standardarbeitsanweisungen (SOP) des CSIRTs-Netzwerks. Der Konzeptentwurf sollte daher diese SOP umfassend nutzen; etwaige zusätzliche auf Cybersicherheitskrisen ausgerichtete Aufgaben sollten sich darin widerspiegeln.

    Subsidiarität: Das Subsidiaritätsprinzip ist von zentraler Bedeutung. Bei großen Cybersicherheitsvorfällen oder -krisen sind in erster Linie die betroffenen Mitgliedstaaten für die Reaktion zuständig. Aber auch die Kommission, der Europäische Auswärtige Dienst und andere Organe, Einrichtungen und sonstige Stellen der Union spielen eine wichtige Rolle. Diese Rolle ist in der IPCR-Regelung klar definiert, leitet sich aber auch aus dem Unionsrecht oder der einfachen Tatsache ab, dass Cybersicherheitskrisen alle Bereiche des Wirtschaftslebens, die Sicherheit und die internationalen Beziehungen der Union oder auch die Organe selbst treffen können.

    Komplementarität: Der Konzeptentwurf trägt bestehenden Krisenmanagementstrukturen auf EU-Ebene in vollem Umfang Rechnung, d. h. der Integrierten Regelung für die politische Reaktion auf Krisen (IPCR), ARGUS und dem Krisenreaktionssystem des EAD, und bettet die neuen Strukturen und Mechanismen der NIS-Richtlinie darin ein, insbesondere das CSIRTs-Netzwerk sowie die einschlägigen Agenturen und Einrichtungen, d. h. die Agentur der Europäischen Union für Netz- und Informationssicherheit (ENISA), das Europäische Zentrum zur Bekämpfung der Cyberkriminalität (EC3) bei Europol, das EU-Zentrum für Informationsgewinnung und -analyse (INTCEN), die Abteilung Aufklärung des Militärstabs der EU (EUMS INT) und das EU-Lagezentrum (SITROOM) im INTCEN, die im Rahmen von SIAC (Single Intelligence Analysis Capacity) zusammenarbeiten, ferner die beim INTEN angesiedelte EU-Analyseeinheit für hybride Bedrohungen und das Computer-Notfallteam für die Organe, Einrichtungen und Agenturen der EU (CERT-EU). Hierbei soll der Konzeptentwurf auch sicherstellen, dass das Zusammenwirken und die Zusammenarbeit unter Vermeidung von Überschneidungen so komplementär wie möglich werden.

    Vertraulichkeit von Informationen: Der gesamte Informationsaustausch im Rahmen des Konzeptentwurfs muss mit den geltenden Sicherheits- (3) und Datenschutzvorschriften sowie mit dem Traffic Light Protocol (4) im Einklang stehen. Für den Austausch von Verschlusssachen sind unabhängig von der angewandten Geheimhaltungsregelung die verfügbaren akkreditierten Instrumente zu verwenden. (5) Bei der Verarbeitung personenbezogener Daten werden die anwendbaren EU-Vorschriften eingehalten, insbesondere die Datenschutz-Grundverordnung (6), die e-Datenschutz-Richtlinie (7) und die Verordnung zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union [und] zum freien Datenverkehr (8).

    Kernziele

    Die Zusammenarbeit im Rahmen des Konzeptentwurfs richtet sich nach dem oben genannten dreistufigen politischen, operativen und technischen Ansatz. Auf jeder Stufe kann die Zusammenarbeit den Informationsaustausch wie auch gemeinsame Aktionen umfassen. Verfolgt werden dabei folgende Kernziele:

    Wirksame Reaktion: Eine wirksame Abwehr von Cybersicherheitsvorfällen kann vielfältig sein und in technischen Maßnahmen bestehen, an der sich zwei oder mehr Stellen gemeinsam an der Untersuchung der technischen Ursachen des Vorfalls (z. B. Schadsoftware-Analyse) beteiligen, oder in der Feststellung, wie Organisationen herausfinden können, ob sie betroffen sind (z. B. Indicators of compromise — IoC); ferner kann es sich um operative Entscheidungen — auf politischer Ebene — handeln, um festzulegen, wie solche technischen Maßnahmen anzuwenden sind, und somit, je nach Fall, andere Instrumente wie die „Diplomatische Reaktion der EU auf böswillige Cyberaktivitäten“ („Cyber Diplomacy Toolbox“) oder das „Protokoll der EU für das operative Vorgehen bei der Abwehr hybrider Bedrohungen“ („EU-Playbook“) zu aktivieren.

    Abgestimmte Lageeinschätzung: Für eine koordinierte Reaktion ist ein hinreichendes Verständnis der Ereignisse seitens aller beteiligten Akteure auf allen drei Ebenen (der technischen, der operativen und der politischen Ebene) unerlässlich. Die abgestimmte Lageeinschätzung kann technische Elemente in Bezug auf die Ursachen sowie die Auswirkungen und den Ursprung des Vorfalls umfassen. Da Cybersicherheitsvorfälle die unterschiedlichsten Wirtschaftszweige (Finanz-, Energie-, Verkehrs-, Gesundheitssektor u. a.) betreffen können, müssen die richtigen Informationen im geeigneten Format alle relevanten Akteure zeitnah erreichen.

    Einigung auf zentrale Botschaften zur Unterrichtung der Öffentlichkeit (9): Mitteilungen in Krisensituationen können für die Eidämmung der negativen Auswirkungen von Cybersicherheitsvorfällen und -krisen eine wichtige Rolle spielen; sie können allerdings auch genutzt werden, um das Verhalten (potenzieller) Aggressoren zu beeinflussen. Die richtige Botschaft kann auch dazu dienen, die zu erwartenden Folgen einer diplomatischen Reaktion klar zu signalisieren, um so Einfluss auf das Angreiferverhalten zu nehmen. Um die Wirksamkeit einer politischen Reaktion zu gewährleisten, müssen die Unterrichtung der Öffentlichkeit, die darauf abzielt, die negativen Auswirkungen von Cybersicherheitsvorfällen und -krisen einzudämmen, und die Unterrichtung der Öffentlichkeit zur Beeinflussung des Aggressors aufeinander abgestimmt sein. Bei der Cybersicherheit ist die Verbreitung korrekter handlungsweisender Informationen darüber, wie die Öffentlichkeit die Auswirkungen eines Cybervorfalls (durch Patches, zusätzliche Maßnahmen zur Vermeidung der Bedrohung usw.) begrenzen kann, besonders wichtig.

    ZUSAMMENARBEIT ZWISCHEN DEN MITGLIEDSTAATEN UNTEREINANDER UND MIT DEN AKTEUREN DER EU AUF TECHNISCHER, OPERATIVER UND STRATEGISCH-POLITISCHER EBENE

    Eine wirksame Reaktion auf Cybersicherheitsvorfälle oder -krisen von großem Ausmaß steht und fällt mit der Wirksamkeit der technischen, operativen und strategisch-politischen Zusammenarbeit.

    Auf jeder der Ebenen sollten die Akteure bestimmte Maßnahmen zur Erreichung der drei Kernziele ergreifen:

    Koordinierte Reaktion,

    Abgestimmte Lageeinschätzung,

    Unterrichtung der Öffentlichkeit.

    Solange der Sicherheitsvorfall oder die Krise anhält, warnen, informieren und unterstützen die unteren Ebenen die höheren Ebenen und die höheren Ebenen geben den unteren Ebenen gegebenenfalls Orientierungshilfe (10) und treffen Entscheidungen.

    Zusammenarbeit auf der technischen Ebene

    Aktionen:

    Bewältigung von Sicherheitsvorfällen (11) während einer Cybersicherheitskrise,

    Beobachtung und Überwachung des Sicherheitsvorfalls einschließlich einer ständigen Analyse der Bedrohung und Risiken.

    Mögliche Akteure

    Auf der technischen Ebene ist der zentrale Mechanismus für die Zusammenarbeit im Rahmen des Konzeptentwurfs das CSIRTs-Netzwerk unter Leitung des Ratsvorsitzes; das Sekretariat wird von der ENISA gestellt.

    Mitgliedstaaten:

    Zuständige Behörden und die durch die NIS-Richtlinie geschaffenen zentralen Anlaufstellen,

    CSIRTs.

    Organe/Einrichtungen/Stellen der EU:

    ENISA,

    Europol/EC3,

    CERT-EU.

    Europäische Kommission:

    Das rund um die Uhr tätige Europäische Notfallabwehrzentrum (Emergency Response Coordination Centre — ERCC) am Standort GD ECHO und die federführende Dienststelle (je nach Art des Sicherheitsvorfalls entweder GD CNECT oder GD HOME), das Generalsekretariat (ARGUS-Sekretariat), GD HR (Direktion Sicherheit), GD DIGIT (IT-Betriebssicherheit),

    Für andere EU-Agenturen (12) die jeweilige übergeordnete GD der Kommission oder der EAD (erste Anlaufstelle).

    EAD:

    SIAC (Single Intelligence Analysis Capacity: EU INTCEN und EUMS INT),

    EU-Lagezentrum und die benannte geografische oder thematische Dienststelle,

    EU-Analyseeinheit für hybride Bedrohungen (Teil des INTCEN — Cybersicherheit im hybriden Kontext).

    Abgestimmte Lageeinschätzung:

    Als Teil der regulären Zusammenarbeit auf technischer Ebene zur Unterstützung der EU-Lageeinschätzung sollte die ENISA auf der Grundlage öffentlich verfügbarer Informationen, ihrer eigenen Analysen und anhand von Berichten, die sie (auf freiwilliger Basis) von den CSIRTs der Mitgliedstaaten oder den zentralen Anlaufstellen gemäß der NIS-Richtlinie, dem Europäischen Zentrum zur Bekämpfung der Cyberkriminalität (EC3) bei Europol und dem CERT-EU und gegebenenfalls dem EU-Zentrum für Informationsgewinnung und -analyse (INTCEN) des Europäischen Auswärtigen Dienstes (EAD) erhalten hat, regelmäßig den EU-Cybersicherheitslagebericht über Cybervorfälle und -bedrohungen erstellen. Der Bericht sollte den einschlägigen Stellen des Rates, der Kommission, der Hohen Vertreterin der Union für Außen- und Sicherheitspolitik und dem CSIRTs-Netzwerk zur Verfügung gestellt werden.

    Im Falle eines Sicherheitsvorfalls von großem Ausmaß erstellt der Vorsitz des CSIRTs-Netzwerks mit Unterstützung der ENISA einen EU-Cybersicherheitslagebericht (13), der dem Ratsvorsitz, der Kommission und der Hohen Vertreterin über das CSIRT des amtierenden Vorsitzes vorgelegt wird.

    Alle anderen EU-Agenturen erstatten ihren jeweiligen übergeordneten GDs Bericht; diese erstatten wiederum der federführenden Dienststelle der Kommission Bericht.

    Das CERT-EU übermittelt dem CSIRTs-Netzwerk, den EU-Organen und -Agenturen (je nach Fall) und ARGUS (sofern aktiviert) technische Berichte.

    Europol/EC3  (14) und das CERT-EU versorgen das CSIRTs-Netzwerk mit Fachanalysen forensischer Artefakte und anderen technischen Informationen.

    Einheitliches Analyseverfahren (SIAC) des EAD: Die EU-Analyseeinheit für hybride Bedrohungen erstattet den zuständigen EAD-Abteilungen im Namen des INTCEN Bericht.

    Reaktion:

    Das CSIRTs-Netzwerk tauscht technische Einzelheiten und Analysen über den Vorfall (z. B. IP-Adressen, IoC (15) usw.) aus. Solche Informationen sollten der ENISA unverzüglich, spätestens aber 24 Stunden nach Feststellung des Cybervorfalls zur Verfügung gestellt werden.

    Die Mitglieder des CSIRTs-Netzwerks arbeiten im Einklang mit den Standardarbeitsanweisungen (SOP) des Netzwerks bei der Analyse der verfügbaren forensischen Artefakte und anderer technischer Informationen im Zusammenhang mit dem Vorfall zusammen, um die Ursache festzustellen und mögliche Eindämmungsmaßnahmen zu identifizieren.

    Die ENISA unterstützt die CSIRTs im Rahmen ihres Mandats bei ihren technischen Bemühungen mit Know-how. (16)

    Die CSIRTs der Mitgliedstaaten koordinieren ihre technischen Reaktionsmaßnamen mit Unterstützung der ENISA und der Kommission.

    Einheitliches Analyseverfahren (SIAC) des EAD: Die EU-Analyseeinheit für hybride Bedrohungen leitet die erste Beweissicherung im Namen des INTCEN ein.

    Unterrichtung der Öffentlichkeit:

    Die CSIRTs bieten technischen Rat (17) und geben Gefährdungswarnungen (18) heraus, die sie an ihre jeweiligen Zielgruppen und die Öffentlichkeit übermitteln, wobei sie die für den betreffenden Fall geltenden Genehmigungsverfahren beachten.

    Die ENISA unterstützt die Erstellung und Verbreitung gemeinsamer Mitteilungen des CSIRTs-Netzwerks.

    Die ENISA koordiniert ihre Unterrichtung der Öffentlichkeit mit dem CSIRTs-Netzwerk und dem Sprecherdienst der Kommission.

    Die ENISA und das EC3 koordinieren ihre Unterrichtung der Öffentlichkeit auf der Grundlage der unter den Mitgliedstaaten vereinbarten abgestimmten Lageeinschätzung. Beide koordinieren ihre Unterrichtung der Öffentlichkeit mit dem Sprecherdienst der Kommission.

    Berührt die Krise eine Dimension der Gemeinsamen Sicherheits- und Verteidigungspolitik (GSVP), so sollte die Unterrichtung der Öffentlichkeit mit dem EAD und dem Sprecherdienst der Hohen Vertreterin koordiniert werden.

    Zusammenarbeit auf der operativen Ebene

    Aktionen:

    Vorbereitung der Beschlussfassung auf der politischen Ebene,

    Koordinierung des Cyberkrisenmanagements (sofern erforderlich),

    Bewertung der Auswirkungen und des Ausmaßes des Sicherheitsvorfalls auf EU-Ebene und Empfehlung möglicher Eindämmungsmaßnahmen.

    Mögliche Akteure

    Mitgliedstaaten:

    Zuständige Behörden und die durch die NIS-Richtlinie geschaffenen zentralen Anlaufstellen,

    CSIRTs, Cybersicherheitsagenturen,

    Sonstige nationale Fachbehörden (bei Sicherheitsvorfällen und -krisen, die mehrere Sektoren betreffen).

    Organe/Einrichtungen/Stellen der EU

    ENISA,

    Europol/EC3,

    CERT-EU.

    Europäische Kommission

    Der (stellvertretende) Generalsekretär, Generalsekretariat (ARGUS-Verfahren),

    GD CNECT/HOME,

    Sicherheitsstelle der Kommission,

    Sonstige Generaldirektionen (bei Sicherheitsvorfällen und -krisen, die mehrere Sektoren betreffen).

    EAD

    Der (stellvertretende) Generalsekretär für Krisenreaktion und SIAC (EU INTCEN und EUMS INT),

    EU-Analyseeinheit für hybride Bedrohungen (EU Hybrid Fusion Cell).

    Rat

    Der Ratsvorsitz (Vorsitzender der horizontalen Gruppe „Fragen des Cyberraums“ (HWPCI) oder der AStV (19)), unterstützt durch das Generalsekretariat des Rates oder das PSK (20) und — wenn aktiviert — mit Unterstützung der IPCR-Regelung.

    Lageeinschätzung:

    Hilfe bei der Erstellung politisch-strategischer Lageberichte (z. B. ISAA im Falle einer Aktivierung der IPCR);

    Die horizontale Ratsarbeitsgruppe „Fragen des Cyberraums“ bereitet je nach Fall die Sitzung des AStV oder des PSK vor;

    Bei einer Aktivierung der IPCR:

    Der Ratsvorsitz kann Rundtischgespräche anberaumen, um sich bei seinen AStV- oder PSK-Vorbereitungen unterstützen zu lassen, und hierzu einschlägige Interessenträger in den Mitgliedstaaten, Organen und Agenturen sowie Dritte (z. B. Nicht-EU-Länder und internationale Organisationen) einladen. Hierbei handelt es sich um Krisensitzungen, auf denen Engpässe ausgemacht und Vorschläge für bereichsübergreifende Maßnahmen eingebracht werden.

    Die federführende Dienststelle der Kommission oder der EAD arbeitet als Leiter der ISAA den ISAA-Bericht mit Beiträgen der ENISA, des CSIRTs-Netzwerks, von Europol/EC3, EUMS INT, INTCEN und allen anderen Akteuren aus. Der ISAA-Bericht ist eine EU-weite Bewertung auf der Grundlage der Korrelation zwischen technischen Sicherheitsvorfällen und der Krisenbewertung (Bedrohungsanalyse, Risikobewertung, nicht-technische Folgen und Auswirkungen, nicht cyberbezogene Aspekte des Vorfalls oder der Krise usw.), die auf den Bedarf der operativen und politischen Ebenen zugeschnitten ist.

    Bei Aktivierung von ARGUS:

    CERT-EU und EC3 (21) tragen direkt zum Informationsaustausch innerhalb der Kommission bei.

    Bei Aktivierung des Krisenreaktionssystems des EAD:

    Das SIAC intensiviert seine Datenerhebung, aggregiert die Informationen aus allen Quellen und erstellt die Analyse und Bewertung des Sicherheitsvorfalls.

    Reaktion (auf Anfrage der politischen Ebene):

    Grenzüberschreitende Zusammenarbeit mit der zentralen Anlaufstelle und den zuständigen nationalen Behörden (NIS-Richtlinie) zur Eindämmung der Folgen und Auswirkungen,

    Aktivierung aller technischen Eindämmungsmaßnahmen und Koordinierung der technischen Kapazitäten, die zur Begrenzung der Folgen der Angriffe auf die betroffenen Informationssysteme erforderlich sind,

    Zusammenarbeit und, sofern beschlossen, Koordinierung der technischen Kapazitäten mit Blick auf eine gemeinsame oder abgestimmte Reaktion im Einklang mit den SOP des CSIRTs-Netzwerks ,

    Prüfen des Bedarfs im Hinblick auf eine Zusammenarbeit mit Dritten,

    Beschlussfassung im Rahmen des ARGUS-Verfahrens (sofern aktiviert),

    Ausarbeitung von Beschlüssen und Koordinierung im Rahmen der IPCR-Regelung (sofern aktiviert),

    Unterstützung der EAD-Beschlussfassung über das Krisenreaktionssystem des EAD (sofern aktiviert), auch in Bezug auf Kontakte mit Drittländern und internationalen Organisationen und einschließlich Maßnahmen aller Art, die auf den Schutz von GSVP-Missionen und -Operationen und EU-Delegationen abzielen.

    Unterrichtung der Öffentlichkeit:

    Einigung auf die Unterrichtung der Öffentlichkeit über den Sicherheitsvorfall,

    Berührt die Krise eine Dimension der Gemeinsamen Sicherheits- und Verteidigungspolitik (GSVP), so sollte die Unterrichtung der Öffentlichkeit mit dem EAD und dem Sprecherdienst der Hohen Vertreterin koordiniert werden.

    Zusammenarbeit auf strategisch-politischer Ebene

    Mögliche Akteure

    Für die Mitgliedstaaten, die für Cybersicherheit zuständigen Minister,

    Für den Europäischen Rat, der Präsident,

    Für den Rat, der amtierende Ratsvorsitz,

    Bei Maßnahmen im Rahmen der „Cyber Diplomacy Toolbox“, das PSK und die Horizontale Gruppe,

    Für die Europäische Kommission, der Präsident oder der stellvertretende Vizepräsident/Kommissar,

    Die Hohe Vertreterin der Union für Außen- und Sicherheitspolitik/Vizepräsidentin der Europäischen Kommission.

    Aktionen: Das strategische und politische Management sowohl der cyberbezogenen als auch der nicht cyberbezogenen Aspekte der Krise, einschließlich der Maßnahmen gemäß dem Rahmen für eine gemeinsame diplomatische Reaktion der EU auf böswillige Cyberaktivitäten.

    Abgestimmte Lageeinschätzung:

    Identifizierung der Auswirkungen der durch die Krise ausgelösten Störungen auf das Funktionieren der Union.

    Reaktion:

    Aktivierung zusätzlicher Krisenmanagementmechanismen/-instrumente je nach Art und Tragweite des Sicherheitsvorfalls. Dies kann z. B. der Katastrophenschutzmechanismus sein,

    Maßnahmen gemäß dem Rahmen für eine gemeinsame diplomatische Reaktion der EU auf böswillige Cyberaktivitäten,

    Bereitstellung von Notfallhilfe für betroffene Mitgliedstaaten, z. B. Aktivierung des Cybersicherheits-Notfallfonds (22), sobald dieser anwendbar ist,

    Gegebenenfalls Zusammenarbeit und Koordinierung mit internationalen Organisationen, z. B. mit den Vereinten Nationen (VN), der Organisation für Sicherheit und Zusammenarbeit in Europa (OSZE) und insbesondere NATO,

    Prüfung der Konsequenzen für die nationale Sicherheit und Verteidigung.

    Unterrichtung der Öffentlichkeit:

    Einigung auf eine gemeinsame Kommunikationsstrategie gegenüber der Öffentlichkeit.

    KOORDINIERTE REAKTION MIT DEN MITGLIEDSTAATEN AUF EU-EBENE IM RAHMEN DER IPCR-REGELUNG

    Gemäß dem Grundsatz der Komplementarität auf EU-Ebene werden in diesem Abschnitt die Kernziele und Aufgaben sowie die Maßnahmen der Behörden der Mitgliedstaaten, des CSIRTs-Netzwerks, der ENISA, des CERT-EU, von Europol/EC3, INTCEN, der EU-Analyseeinheit für hybride Bedrohungen und der horizontalen Gruppe „Fragen des Cyberraums“ des Rates im Rahmen des IPCR-Verfahrens behandelt. Es wird davon ausgegangen, dass die Akteure in Überstimmung mit den auf EU- oder nationaler Ebene festgelegten Verfahren agieren.

    Wichtig ist, dass, wie in Abbildung 1 dargestellt, die Maßnahmen auf nationaler Ebene wie auch (gegebenenfalls) die Zusammenarbeit im Rahmen des CSIRTs-Netzwerks unabhängig von der Aktivierung der EU-Krisenmanagementmechanismen bei allen Sicherheitsvorfällen/-krisen durchgehend nach dem Subsidiaritätsprinzip und dem Verhältnismäßigkeitsgrundsatz durchgeführt werden.

    Abbildung 1

    Cybersicherheitsvorfall/Krisenreaktion auf EU-Ebene

    Image

    Alle oben beschriebenen Maßnahmen sind in Überstimmung mit den Standardarbeitsanweisungen/-regeln der betreffenden Kooperationsmechanismen und gemäß den festgelegten Mandaten und Zuständigkeiten der einzelnen Akteure und Einrichtungen durchzuführen. Diese Verfahren/Regeln müssen unter Umständen ergänzt oder angepasst werden, damit eine bestmögliche Zusammenarbeit und wirksame Reaktion auf Cybersicherheitsvorfälle und -krisen von großem Ausmaß erreicht werden können.

    Möglicherweise müssen nicht alle nachstehend genannten Akteure bei einem bestimmten Sicherheitsvorfall aktiv werden. Dennoch sollten der Konzeptentwurf und die einschlägigen Standardarbeitsanweisungen der Kooperationsmechanismen die Möglichkeit ihrer Mitwirkung vorsehen.

    Angesichts der unterschiedlichen Auswirkungen, die Cybersicherheitsvorfälle und -krisen auf die Gesellschaft haben können, ist bei der Einbeziehung branchenspezifischer Akteure auf allen Ebenen ein hoher Grad an Flexibilität erforderlich, und jegliche angemessene Reaktion wird stets sowohl cyberbezogene wie auch nicht cyberbezogene Maßnahmen umfassen.

    Cybersicherheitskrisenmanagement — Integration der Cybersicherheit in das IPCR-Verfahren

    Die IPCR-Regelung, die in den IPCR-SOP (23) beschrieben ist, umfasst nacheinander die nachstehend beschriebenen Stufen (einige dieser Stufen sind situationsabhängig).

    Auf jeder Stufe werden cybersicherheitsspezifische Maßnahmen und Akteure festgelegt. Aus Gründen der Übersichtlichkeit wird bei jeder Stufe zunächst der Wortlaut der IPCR-SOP wiedergegeben; anschließend werden die Maßnahmen gemäß dem Konzeptentwurf genannt. Bei diesem stufenweisen Ansatz lässt sich das aktuelle Defizit bei den erforderlichen Kapazitäten und Verfahren, das eine wirksame Reaktion auf Cybersicherheitskrisen behindert, klar feststellen.

    In Abbildung 2 (24) ist das IPCR-Verfahren grafisch dargestellt. Die neuen Elemente sind blau unterlegt.

    Abbildung 2

    Cybersicherheitsspezifische Elemente in der IPCR

    Image

    Hinweis: Die EU muss über Maßnahmen zur Prävention und zur Stärkung der Abwehrbereitschaft verfügen, um auf hybride Bedrohungen im Cyberraum reagieren zu können, die dazu bestimmt sind, unterhalb der Schwelle einer erkennbaren Krise zu liegen. Es ist die Aufgabe der EU-Analyseeinheit für hybride Bedrohungen, rasch relevante Sicherheitsvorfälle zu analysieren und die geeigneten Koordinierungsstrukturen zu informieren. Die regelmäßige Berichterstattung der EU-Analyseeinheit kann durch Unterrichtung der sektorspezifischen Entscheidungsträger zu einer besseren Abwehrbereitschaft beitragen.

    Stufe 1 — Regelmäßige sektorspezifische Überwachung und Warnung: Die vorhandenen regelmäßigen sektorspezifischen Lageberichte und Warnungen geben dem Ratsvorsitz Hinweise auf eine sich anbahnende Krise und ihre mögliche Entwicklung.

    Identifiziertes Defizit: Derzeit gibt es keine regelmäßigen, koordinierten Cybersicherheitslageberichte und -warnungen im Hinblick auf Cybersicherheitsvorfälle (und -bedrohungen) auf EU-Ebene.

    Konzeptentwurf: EU-Cybersicherheitsüberwachung/-Berichterstattung

    Die ENISA wird auf der Grundlage öffentlich verfügbarer Informationen, ihrer eigenen Analysen und anhand von Berichten, die sie (auf freiwilliger Basis) von den CSIRTs der Mitgliedstaaten oder den zentralen Anlaufstellen gemäß der NIS-Richtlinie, dem Europäischen Zentrum zur Bekämpfung der Cyberkriminalität (EC3) bei Europol und dem CERT-EU, und gegebenenfalls dem EU-Zentrum für Informationsgewinnung und -analyse (INTCEN) des Europäischen Auswärtigen Dienstes (EAD) erhalten hat, einen regelmäßigen technischen EU-Cybersicherheitslagebericht über Cybervorfälle und -bedrohungen ausarbeiten. Der Bericht sollte den einschlägigen Stellen des Rates, der Kommission und dem CSIRTs-Netzwerk zur Verfügung gestellt werden.

    Im Namen des SIAC sollte die EU-Analyseeinheit für hybride Bedrohungen einen operativen EU-Cybersicherheitslagebericht erstellen. Mit dem Bericht wird ferner der Rahmen für eine gemeinsame diplomatische Reaktion der EU auf böswillige Cyberaktivitäten unterstützt.

    Beide Berichte werden an die Interessenträger in der EU und den Mitgliedstaaten übermittelt, um zu deren Lageeinschätzung beizutragen, die Beschlussfassung zu untermauern und die grenzüberschreitende regionale Zusammenarbeit zu fördern.

    Nach Feststellung eines Sicherheitsvorfalls

    Stufe 2 — Analyse und Beratung: Auf der Grundlage der verfügbaren Überwachung und Warnung unterrichten sich die Kommissionsdienststellen, der EAD und das Generalsekretariat des Rates gegenseitig über mögliche Entwicklungen, um den Vorsitz in Bezug auf eine mögliche (vollständige oder auf den Informationsaustausch beschränkte) Aktivierung der IPCR beraten zu können.

    Konzeptentwurf:

    Für die Kommission: GD CNECT, GD HOME, GD HR.DS und GD DIGIT, mit Unterstützung von ENISA, EC3 und CERT-EU;

    EAD: Die EU-Analyseeinheit für hybride Bedrohungen, die auf die Arbeit des SITROOM und auf nachrichtendienstliche Quellen zurückgreift, liefert die Lageeinschätzung der tatsächlichen und potenziellen hybriden Bedrohungen (einschließlich der Cyberbedrohungen) der EU und ihrer Partner. Ergibt die Analyse und Bewertung der EU-Analyseeinheit für hybride Bedrohungen, dass eine mögliche Bedrohung für einen Mitgliedstaat, ein Partnerland oder eine Partnerorganisation besteht, benachrichtigt das INTCEN im Einklang mit den vorgeschriebenen Verfahren (in erster Instanz) die operative Ebene. Die operative Ebene arbeitet daraufhin Empfehlungen für die politisch-strategische Ebene aus und veranlasst unter Umständen die Aktivierung der Krisenmanagementregelungen (z. B. des EAD-Krisenreaktionssystems oder die IPCR-Überwachungswebsite);

    Der Vorsitz des CSIRTs-Netzwerks erstellt mit Unterstützung der ENISA einen EU-Cybersicherheitslagebericht (25), der dem Ratsvorsitz, der Kommission und der Hohen Vertreterin über das CSIRT dem amtierenden Vorsitz vorgelegt wird.

    Stufe 3 — Bewertung/Beschluss zur IPCR-Aktivierung: Der Vorsitz beurteilt, ob politische Koordinierung, Informationsaustausch oder Beschlussfassung auf EU-Ebene erforderlich ist. Zu diesem Zweck kann der Ratsvorsitz eine informelle Rundtischsitzung einberufen. Der Ratsvorsitz identifiziert zunächst die Bereiche, in denen der AStV oder der Rat zu beteiligen ist. Dies stellt die Grundlage für Leitlinien zur Erstellung der Berichte der Unterstützungsfähigkeit „Integrierte Lageeinschätzung und -auswertung“ (ISAA) dar. Der Vorsitz wird in Anbetracht der Merkmale der Krise, ihrer möglichen Folgen und der diesbezüglichen politischen Notwendigkeiten entscheiden, ob es angemessen ist, die einschlägigen Ratsgruppen und/oder den AStV und/oder das PSK einzuberufen.

    Konzeptentwurf:

    Teilnehmer der Rundtischgespräche:

    Die Kommissionsdienststellen und der EAD beraten den Vorsitz in Bezug auf ihre jeweiligen Zuständigkeitsbereiche;

    Die Mitglieder der Mitgliedstaaten in der horizontalen Gruppe „Fragen des Cyberraums“, unterstützt durch die Sachverständigen aus den Hauptstädten (CSIRTs, für die Cybersicherheit zuständige Behörden, sonstige);

    Politisch-strategische Orientierung für die ISAA-Berichte auf der Grundlage des aktuellen EU-Cybersicherheitslageberichts und weiterer, von den Rundtischteilnehmern zur Verfügung gestellten Informationen;

    Einschlägige Arbeitsgruppen und Ausschüsse:

    Horizontale Gruppe „Fragen des Cyberraums“ des Rates.

    Die Kommission, der EAD und das Generalsekretariat des Rates können in völligem Einvernehmen und unter Beteiligung des Vorsitzes außerdem beschließen, die IPCR durch Anlegen einer Krisenwebsite im „Informationsaustausch-Modus“ zu aktivieren, um die Voraussetzungen für eine eventuelle vollständige Aktivierung zu schaffen.

    Stufe 4 — IPCR-Aktivierung/Einholung und Austausch von Informationen: Im Falle der (vollständigen oder auf den Informationsaustausch beschränkten) Aktivierung wird auf der IPCR-Web-Plattform eine Krisenwebsite erstellt, die den spezifischen Informationsaustausch über Aspekte ermöglicht, die an die ISAA weitergegeben werden und der Vorbereitung der Debatte auf politischer Ebene dienen. Welche Dienststelle in der ISAA federführend ist (eine Kommissionsdienststelle oder der EAD), hängt vom Einzelfall ab.

    Stufe 5 — ISAA-Erstellung: Beginn der Ausarbeitung der ISAA-Berichte. Die Kommission/der EAD erstellt ISAA-Berichte gemäß den ISAA-SOP und kann des Weiteren den Informationsaustausch über die IPCR-Web-Plattform fördern oder besondere Informationsanfragen herausgeben. Die ISAA-Berichte sind auf den Bedarf auf politischer Ebene (d. h. AStV oder Rat) — der vom Ratsvorsitz festgelegt und in seinen Leitlinien erläutert wird — ausgelegt und ermöglichen sowohl einen strategischen Überblick über die Lage als auch eine fundierte Erörterung der vom Ratsvorsitz angesetzten Tagesordnungspunkte. Im Einklang mit den ISAA-SOP wird es von der Art der Cybersicherheitskrise abhängen, ob der ISAA-Bericht von einer Kommissionsdienststelle (GD CNECT, GD HOME) oder vom EAD erstellt wird.

    Nach der Aktivierung der IPCR wird der Ratsvorsitz die Schwerpunkte der ISAA darlegen, um so das politische Koordinierungs- und/oder Beschlussfassungsverfahren im Rat zu unterstützen. Der Ratsvorsitz wird nach Rücksprache mit den Kommissionsdienststellen/dem EAD auch den Zeitpunkt des Berichts festlegen.

    Konzeptentwurf:

    Der ISAA-Bericht umfasst die Beiträge der einschlägigen Dienststellen, u. a.

    des CSIRTs-Netzwerks in Form des EU-Cybersicherheitslageberichts;

    des EC3, des SITROOM, der EU-Analyseeinheit für hybride Bedrohungen und des CERT-EU; die EU-Analyseeinheit für hybride Bedrohungen unterstützt die federführende ISAA-Dienststelle und gegebenenfalls den IPCR-Rundtisch;

    der sektorspezifischen EU-Agenturen und -einrichtungen, je nach betroffenen Sektoren;

    der Behörden der Mitgliedstaaten (außer CSIRTs).

    Input für die ISAA (26):

    Kommission und EU-Agenturen: Das ARGUS-IT-System stellt das interne Backbone-Netzwerk für die ISAA. Die EU-Agenturen übermitteln ihre Beiträge an die einzelnen zuständigen Generaldirektionen, die ihrerseits ARGUS die relevanten Informationen zuleiten. Die Kommissionsdienststellen und die Agenturen tragen Informationen aus den bestehenden sektorspezifischen Netzen, an denen die Mitgliedstaaten und internationalen Organisationen beteiligt sind, und aus anderen relevanten Quellen zusammen.

    Für den EAD: Das EU-Lagezentrum (SITROOM) stellt mit Unterstützung der übrigen einschlägigen EAD-Abteilungen das interne Backbone-Netzwerk und ist die zentrale Anlaufstelle für die ISAA. Der EAD trägt die Informationen aus Drittländern und von einschlägigen internationalen Organisationen zusammen.

    Stufe 6 — Vorbereitung der informellen Rundtischsitzung des Ratsvorsitzes: Der Ratsvorsitz legt mit Unterstützung des Generalsekretariats des Rates den Zeitpunkt, die Tagesordnung, die Teilnehmer und das erwartete Resultat der Rundtischsitzung (mögliche Ergebnisse) fest. Das Generalsekretariat gibt relevante Informationen auf der IPCR-Web-Plattform im Namen des Ratsvorsitzes weiter und gibt insbesondere die Einberufung der Sitzung bekannt.

    Stufe 7 — Rundtischsitzung des Ratsvorsitzes/Vorbereitende Maßnahmen für die politische EU-Koordinierung/-beschlussfassung: Der Ratsvorsitz beruft eine informelle Rundtischsitzung zur Prüfung der Lage ein und zur Vorbereitung und Überprüfung von Tagesordnungspunkten, die an den AStV oder den Rat herangetragen werden sollen. Die informelle Rundtischsitzung des Ratsvorsitzes ist auch das Forum, in dem alle Maßnahmenvorschläge, die dem AStV/Rat vorgelegt werden sollen, ausgearbeitet, geprüft und debattiert werden.

    Konzeptentwurf:

    Die horizontale Gruppe „Fragen des Cyberraums“ des Rates bereitet den AStV oder das PSK vor.

    Stufe 8 — Politische Koordinierung und Beschlussfassung beim AStV/Rat: Die Ergebnisse der AStV-/Ratssitzungen betreffen die Koordinierung der Reaktionsmaßnahmen auf allen Ebenen, die Beschlüsse über außerordentliche Maßnahmen, politische Erklärungen usw. Diese Beschlüsse stellen auch eine aktualisierte politisch-strategische Orientierung für weitere ISAA-Berichte dar.

    Konzeptentwurf:

    Die politische Entscheidung über die Koordinierung der Reaktion auf die Cybersicherheitskrise wird über die in Abschnitt 1 beschriebenen (von den jeweiligen Akteuren durchgeführten) Maßnahmen „Zusammenarbeit auf der strategisch-politischen, der operativen und der technischen Ebene“ in Bezug auf die Reaktion und die Unterrichtung der Öffentlichkeit durchgeführt.

    Die ISAA-Erstellung wird auf der Grundlage der Zusammenarbeit auf der technischen, operativen und politisch-strategischen Ebene in Bezug auf die ebenfalls in Abschnitt 1 beschriebene Lagebeurteilung fortgesetzt.

    Stufe 9 — Überwachung der Auswirkungen: Die federführende Dienststelle der ISAA wird mit Unterstützung der ISAA-Beteiligten Informationen über die Entwicklung der Krise und die Auswirkungen der bisherigen politischen Entscheidungen bereitstellen. Dieses kontinuierliche Feedback unterstützt einen laufenden Prozess und unterstützt die Entscheidung des Ratsvorsitzes über eine weitere Einbeziehung der politischen Ebene der EU oder die Ausphasung der IPCR.

    Stufe 10 — Ausphasung: Wie bei der Aktivierung kann der Ratsvorsitz eine informelle Rundtischsitzung einberufen, um zu beraten, ob die IPCR aktiviert bleiben soll oder nicht. Der Ratsvorsitz kann beschließen, die Aktivierung zu beenden oder herunterzufahren.

    Konzeptentwurf:

    Die ENISA kann ersucht werden, im Einklang mit ihrem Mandat nachträglich eine technische Untersuchung des Sicherheitsvorfalls durchzuführen oder einen Beitrag zu einer solchen Untersuchung zu leisten.


    (1)  Beschluss 2014/496/GASP.

    (2)  Richtlinie (EU) 2016/1148.

    (3)  Beschluss (EU, Euratom) 2015/443 der Kommission vom 13. März 2015 über Sicherheit in der Kommission (ABl. L 72 vom 17.3.2015, S. 41) und Beschluss (EU, Euratom) 2015/444 der Kommission vom 13. März 2015 über Sicherheitsvorschriften zum Schutz von Verschlusssachen der EU (ABl. L 72 vom 17.3.2015, S. 53); Beschluss der Hohen Vertreterin der Union für Außen und Sicherheitspolitik vom 19. April 2013 über die Sicherheitsvorschriften für den Europäischen Auswärtigen Dienst (ABl. C 190 vom 29.6.2013, S. 1); Beschluss 2013/488/EU des Rates vom 23. September 2013 über die Sicherheitsvorschriften für den Schutz von EU-Verschlusssachen (ABl. L 274 vom 15.10.2013, S. 1).

    (4)  https://www.first.org/tlp/

    (5)  Im Juni 2016 gehörten zu diesen Übertragungskanälen CIMS (Classified Information Management System), ACID (Verschlüsselungsalgorithmus) und RUE (sicheres System für die Erstellung, den Austausch und die Speicherung von Dokumenten des Geheimhaltungsgrads RESTREINT UE/EU RESTRICTED) und SOLAN. Andere Mittel zur Übertragung von Verschlusssachen sind z. B. PGP und S/MIME.

    (6)  Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1).

    (7)  Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation) (ABl. L 201 vom 31.7.2002, S. 37).

    (8)  Die Verordnung (EG) Nr. 45/2001 des Europäischen Parlaments und des Rates vom 18. Dezember 2000 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe und Einrichtungen der Gemeinschaft und zum freien Datenverkehr (ABl. L 8 vom 12.1.2001, S. 1) sollte Anwendung finden.

    (9)  Wichtig ist, dass es sich bei der Unterrichtung der Öffentlichkeit sowohl um die Unterrichtung der gesamten Öffentlichkeit über den Sicherheitsvorfall oder aber um die eher technische und operative Unterrichtung kritischer Sektoren und/oder Betroffener handeln kann. Hierzu müssen möglicherweise vertrauliche Verbreitungskanäle oder besondere Tools/Plattformen genutzt werden. In jedem Fall ist die Kommunikation mit Betreibern und mit der breiteren Öffentlichkeit in einem Mitgliedstaat Sache des jeweiligen Mitgliedstaats. Deshalb liegt die Verantwortung für die Informationen, die in einem bestimmten Hoheitsgebiet bzw. an die Bedarfsträger verbreitet werden, — im Einklang mit dem oben genannten Subsidiaritätsprinzip — letztlich bei den Mitgliedstaaten und den nationalen CSIRTs.

    (10)  „Handlungsbefugnis“: Bei einer Cybersicherheitskrise sind kurze Reaktionszeiten unerlässlich, damit angemessene Eindämmungsmaßnahmen eingeleitet werden können. Zu diesem Zweck können Mitgliedstaaten einander freiwillig „Handlungsbefugnis“ erteilen; hierbei erhält der betreffende Mitgliedstaat die Erlaubnis, unverzüglich zu handeln, ohne zuvor höhere Ebenen oder EU-Organe konsultieren und alle normalerweise erforderlichen offiziellen Kanäle durchlaufen zu müssen, sofern sich dies bei einem bestimmten Sicherheitsvorfall als nicht notwendig erweist. (So müsste ein CSIRT z. B. nicht die höheren Ebenen konsultieren, um wertvolle Informationen an ein CSIRT eines anderen Mitgliedstaats weitergeben zu können).

    (11)  „Bewältigung von Sicherheitsvorfällen“ sind alle Verfahren zur Unterstützung der Erkennung, Analyse und Eindämmung von Sicherheitsvorfällen sowie die Reaktion darauf.

    (12)  Je nach Art des Sicherheitsvorfalls und seinen Auswirkungen auf die verschiedenen Sektoren (Finanzen, Verkehr, Energie, Gesundheit usw.) werden die einschlägigen EU-Agenturen bzw. -einrichtungen eingebunden.

    (13)  Bei dem EU-Cybersicherheitslagebericht handelt es sich um eine Synthese der von den nationalen CSIRTs vorgelegten nationalen Berichte. Das Format des Berichts sollte in den SOP des CSIRTs-Netzwerks beschrieben sein.

    (14)  Im Einklang mit und gemäß den im Rechtsrahmen des EC3 festgelegten Bedingungen und Verfahren.

    (15)  In der Computerforensik ist ein Indicator of compromise (IoC) ein Artefakt in einem Netzwerk oder Betriebssystem, das mit hoher Wahrscheinlichkeit auf einen unbefugten Computerzugriff hindeutet. Typische IoC sind Virensignaturen und IP-Adressen, MD5-Hashes in Schadsoftware oder URLs bzw. Domainnamen von Botnetz-Command-und-Control-Servern.

    (16)  Vorschlag für eine Verordnung über die Agentur der Europäischen Union für Netz- und Informationssicherheit und zur Aufhebung der Verordnung (EU) Nr. 526/2013 und über die Zertifizierung der Cybersicherheit von Informations- und Kommunikationstechnologien („Rechtsakt zur Cybersicherheit“), 13. September 2017.

    (17)  Technischer Rat hinsichtlich der Ursachen des Sicherheitsvorfalls und möglicher Eindämmungsmaßnahmen.

    (18)  Informationen zur Größe der technischen Schwachstelle, die zur Gefährdung der IT-Systeme ausgenutzt wird.

    (19)  Der Ausschuss der Ständigen Vertreter oder AStV (Artikel 240 des Vertrags über die Arbeitsweise der Europäischen Union — AEUV) trägt die Verantwortung, die Arbeiten des Rates der Europäischen Union vorzubereiten.

    (20)  Das Politische und Sicherheitspolitische Komitee (in Artikel 38 des Vertrags über die Europäische Union genannt) ist ein Ausschuss des Rates der Europäischen Union, der sich mit Fragen der Außen- und Sicherheitspolitik (GASP) beschäftigt.

    (21)  Im Einklang mit den im Rechtsrahmen des EC3 festgelegten Bedingungen und Verfahren.

    (22)  Der Cybersicherheits-Notfallfonds ist eine im Rahmen der Gemeinsamen Mitteilung „Abwehrfähigkeit, Abschreckung und Abwehr: die Cybersicherheit in der EU wirksam erhöhen“, JOIN(2017) 450/1, vorgeschlagene Maßnahme.

    (23)  Aus dem Dokument „Standardarbeitsanweisungen zur IPCR“ (12607/15), vereinbart von der Gruppe der Freunde des Vorsitzes und vom AStV im Oktober 2015 zur Kenntnis genommen.

    (24)  Dieselbe Abbildung im Großformat befindet sich in der Anlage.

    (25)  Bei dem EU-Cybersicherheitslagebericht handelt es sich um eine Synthese der von den nationalen CSIRTs vorgelegten nationalen Berichte. Das Format des Berichts sollte in den SOP des CSIRTs-Netzwerks beschrieben sein.

    (26)  Standardarbeitsanweisungen der ISAA.


    ANLAGE

    1.   KRISENMANAGEMENT, KOOPERATIONSMECHANISMEN UND AKTEURE AUF EU-EBENE

    Mechanismen zur Krisenbewältigung

    Integrierte Regelung für die politische Reaktion auf Krisen (IPCR): Die vom Rat am 25. Juni 2013 gebilligte integrierte Regelung für die politische Reaktion auf Krisen (IPCR) (1) soll im Falle einer schweren Krise die zeitnahe Koordinierung und Reaktion auf der politischen Ebene der EU erleichtern. Die IPCR unterstützt auch die Koordinierung der Reaktion auf politischer Ebene auf die Geltendmachung der Solidaritätsklausel (Artikel 222 AEUV) gemäß der Festlegung im Beschluss 2014/415/EU des Rates vom 24. Juni 2014 über die Vorkehrungen für die Anwendung der Solidaritätsklausel durch die Union. Die Standardarbeitsanweisungen (2) (SOP) zur IPCR beschreiben den Aktivierungsprozess und die zu ergreifenden Maßnahmen.

    ARGUS: ARGUS ist ein von der Europäischen Kommission 2005 geschaffenes Krisenkoordinierungssystem und beinhaltet ein spezifisches Koordinierungsverfahren, das im Falle einer schweren Krise, die mehrere Sektoren betrifft, eingeleitet wird. Unterstützt wird es durch ein allgemeines Frühwarnsystem (IT-Instrument) mit derselben Bezeichnung. ARGUS umfasst zwei Phasen, wobei in Phase II (bei größeren sektorenübergreifenden Krisen) Sitzungen des Krisenkoordinierungsausschusses (CCC) stattfinden, die unter der Aufsicht des Präsidenten der Kommission oder eines Kommissionsmitglieds, dem die Verantwortung übertragen wurde, stehen. Der CCC setzt sich aus Vertretern der zuständigen Generaldirektionen der Kommission, der Kabinette und anderer Dienststellen der EU zusammen, um die Reaktion der Kommission auf die Krise zu leiten und zu koordinieren. Unter dem Vorsitz des stellvertretenden Generalsekretärs bewertet der CCC die Lage, prüft Optionen und fasst handlungsweisende Beschlüsse in Bezug auf die unter der Verantwortung der Kommission stehenden Werkzeuge und Instrumente der EU und sorgt für die Umsetzung dieser Beschlüsse (3)  (4).

    Krisenreaktionssystem des EAD: Das Krisenreaktionssystem des EAD ist ein strukturiertes System, das es dem EAD ermöglicht, auf Krisen und Notsituationen externer Art oder mit erheblicher externer Dimension (einschließlich hybrider Bedrohungen), die den Interessen der EU oder der Mitgliedstaaten potenziell oder tatsächlich schaden, zu reagieren. Durch die Teilnahme zuständiger Beamter der Kommission und des Ratssekretariats an den Sitzungen fördert das Krisenreaktionssystem Synergien zwischen den Anstrengungen in den Bereichen Diplomatie, Sicherheit und Abwehr und den von der Kommission verwalteten Finanz-, Handels- und Kooperationsinstrumenten. Der Krisenstab kann für die Dauer der Krise einberufen werden.

    Kooperationsmechanismen

    CSIRTs-Netz: Im Netz der Computer-Notfallteams (Computer Security Incident Response Teams, CSIRTs) sind alle nationalen und staatlichen CSIRTs sowie das EU-Notfallteam CERT-EU vertreten. Ziel des Netzes ist es, zwischen den CSIRTs den Austausch von Informationen über Bedrohungen und Vorfälle im Bereich der Cybersicherheit zu ermöglichen und zu verbessern und auf Cybersicherheitsvorfälle und -krisen gemeinsam zu reagieren.

    Horizontale Gruppe „Fragen des Cyberraums“ des Rates: Die Gruppe wurde eingerichtet, um für die strategische und horizontale Koordinierung politischer Fragen des Cyberraums im Rat zu sorgen, und kann sowohl an legislativen wie auch nichtlegislativen Tätigkeiten mitwirken.

    Akteure

    ENISA: Die Agentur der Europäischen Union für Netz- und Informationssicherheit (ENISA) wurde 2004 errichtet. Die Agentur arbeitet eng mit den Mitgliedstaaten und dem Privatsektor zusammen, um zu Fragen wie europaweiten Übungen zur Cybersicherheit, der Entwicklung nationaler Strategien zur Cybersicherheit, Zusammenarbeit der CSIRTs und Kapazitätsaufbau Beratung zu leisten und Lösungen anzubieten. Die ENISA kooperiert unmittelbar mit den CSIRTs in der gesamten EU und fungiert als Sekretariat des CSIRTs-Netzes.

    ERCC: Das Zentrum für die Koordination von Notfallmaßnahmen der Kommission (unter Leitung der Generaldirektion Europäischer Katastrophenschutz und Humanitäre Hilfe, GD ECHO) unterstützt und koordiniert täglich rund um die Uhr ein breites Spektrum von Tätigkeiten auf den Gebieten Prävention, Vorsorge und Reaktion. Es nahm 2013 seine Arbeit auf und fungiert als Drehscheibe für die Krisenreaktion der Kommission (Verbindung zu anderen Krisenstellen der EU) sowie als zentrale IPCR-Kontaktstelle mit 24-Stunden-Dienstbereitschaft.

    Europol/EC3: Das Europäische Zentrum zur Bekämpfung der Cyberkriminalität (EC3) wurde 2013 innerhalb von Europol eingerichtet und unterstützt die Reaktion der Strafverfolgungsbehörden auf Cyberkriminalität in der EU. Das EC3 leistet operative und analytische Unterstützung für Ermittlungen der Mitgliedstaaten und dient als zentrales Drehkreuz für kriminalpolizeiliche Informationen und Erkenntnisse zur Unterstützung der Operationen und Ermittlungen der Mitgliedstaaten durch operative Analyse, Koordinierung und Expertise sowie hochspezialisierte technische und digitale forensische Unterstützungsfähigkeiten.

    CERT-EU: Das Computer-Notfallteam für die Organe, Einrichtungen und Agenturen der EU (Computer Emergency Response Team, CERT-EU) hat den Auftrag, den Schutz der Organe, Einrichtungen und Agenturen der EU vor Cyberbedrohungen zu verbessern. Das CERT-EU gehört dem CSIRTs-Netz an. Das CERT-EU hat mit der „Computer Incident Response Capability“ der NATO (NCIRC), mit bestimmten Drittstaaten und bedeutenden kommerziellen Akteuren im Bereich der Cybersicherheit technische Vereinbarungen über den Austausch von Informationen über Cyberbedrohungen geschlossen.

    Zu den Nachrichtendiensten der EU (Intelligence Community) zählen das EU-Zentrum für Informationsgewinnung und -analyse (INTCEN) und die Abteilung „Aufklärung“ des Militärstabs der EU (EUMS INT) im Rahmen der Vereinbarung über ein einheitliches Analyseverfahren (Single Intelligence Analysis Capacity, SIAC). SIAC dient der Erstellung von nachrichtendienstlichen Analysen, Frühwarnmeldungen und Lagebewertungen für die Hohe Vertreterin der Europäischen Union für Außen- und Sicherheitspolitik und den Europäischen Auswärtigen Dienst (EAD). SIAC-Dienste werden den verschiedenen Entscheidungsgremien der EU in den Bereichen Gemeinsame Außen- und Sicherheitspolitik (GASP), Gemeinsame Sicherheits- und Verteidigungspolitik (GSVP) und Terrorismusbekämpfung (CT) wie auch den Mitgliedstaaten zur Verfügung gestellt. EUMS INT und EU INTCEN sind keine operativen Stellen und verfügen über keine eigenen Fähigkeiten zur Informationssuche. Das operationelle Niveau der Nachrichtendienste liegt in der Verantwortung der Mitgliedstaaten. SIAC ist allein mit der strategischen Auswertung befasst.

    EU-Analyseeinheit für hybride Bedrohungen (EU Hybrid Fusion Cell): In der Gemeinsamen Mitteilung für die Abwehr hybrider Bedrohungen von April 2016 wird die sogenannte EU Hybrid Fusion Cell (EU HFC) als Kontaktstelle für die Analyse sämtlicher Quellen bezüglich hybrider Bedrohungen in der EU benannt. Ihr Mandat wurde im Dezember 2016 von der Kommission im Rahmen einer dienststellenübergreifenden Konsultation gebilligt. Die EU Hybrid Fusion Cell befindet sich im INTCEN. Als Teil von SIAC kooperiert sie mit der EUMS INT und verfügt über ein auf Dauer abgestelltes Mitglied des Militärs. „Hybrid“ bezeichnet die absichtliche Verwendung einer Kombination aus mehreren verdeckten und offenen, zivilen und militärischen Instrumenten und Hebeln durch staatliche oder nichtstaatliche Akteure. Dazu zählen beispielsweise Cyber-Angriffe, Desinformationskampagnen, Spionagetätigkeiten, wirtschaftlicher Druck, der Einsatz von Stellvertreterkräften oder andere subversive Tätigkeiten. Die EU HFC kooperiert mit einem ausgedehnten Netz von Kontaktstellen sowohl in der Kommission als auch in den Mitgliedstaaten im Hinblick auf eine integrierte Reaktion und einen behördenübergreifenden Ansatz („Whole of Government-Approach“), die für die Bewältigung unterschiedlicher Herausforderungen erforderlich sind.

    EU-LAGEZENTRUM: Das EU-Lagezentrum (SITROOM) ist Teil des EU-Zentrums für Informationsgewinnung und -analyse (EU INTCEN) und verschafft dem Europäischen Auswärtigen Dienst (EAD) operative Fähigkeiten, um unverzüglich und wirksam auf Krisen reagieren zu können. Es handelt sich um ein ständiges zivil-militärisches Gremium in Dauerbereitschaft, das täglich rund um die Uhr eine weltweite Krisenüberwachung und Lageerfassung sicherstellt.

    Einschlägige Instrumente

    Rahmen für eine gemeinsame diplomatische Reaktion der EU auf böswillige Cyberaktivitäten: Der im Juni 2017 vereinbarte Rahmen ist Teil des Ansatzes der EU für die Cyberdiplomatie, die zur Konfliktverhütung, zur Eindämmung von Cyberbedrohungen und zu größerer Stabilität in den internationalen Beziehungen beiträgt. Dabei wird in vollem Umfang von den Maßnahmen im Rahmen der Gemeinsamen Außen- und Sicherheitspolitik, darunter nötigenfalls auch restriktive Maßnahmen, Gebrauch gemacht. Der Einsatz der Maßnahmen in diesem Rahmen soll die Zusammenarbeit fördern, zur Eindämmung unmittelbarer und langfristiger Bedrohungen beitragen und auf lange Sicht Einfluss auf das Verhalten verantwortlicher Täter und potenzieller Angreifer nehmen.

    2.   KOORDINIERUNG VON CYBERKRISEN IM RAHMEN DER IPCR — HORIZONTALE KOORDINATION UND POLITISCHE ABSTUFUNG

    Die IPCR kann (wie in der Vergangenheit bereits geschehen) zur Lösung technischer und operativer Probleme eingesetzt werden, allerdings immer aus politischer/strategischer Perspektive.

    Die IPCR kann je nach Ausmaß der Krise stufenweise aktiviert werden, wobei vom „Überwachungsmodus“ über den „Informationsaustausch-Modus“, der die erste IPCR-Aktivierungsstufe darstellt, zur vollständigen Aktivierung („IPCR full activation“) übergegangen werden kann.

    Die Entscheidung über eine vollständige Aktivierung liegt in Händen des turnusmäßig wechselnden EU-Ratsvorsitzes. Die Kommission, der EAD und das Generalsekretariat des Rates können veranlassen, die IPCR im „Informationsaustausch-Modus“ zu aktivieren. Der Überwachungs- und der Informationsaustausch-Modus lösen jeweils unterschiedliche Stufen des Informationsaustauschs aus, wobei im „Informationsaustausch-Modus“ integrierte Lageeinschätzungs- und -auswertungsberichte (ISAA) angefordert werden. Bei vollständiger Aktivierung umfasst das Instrumentarium auch IPCR-Rundtischsitzungen unter Beteiligung des Vorsitzes (in der Regel der Präsident des AStV II oder ein Sachverständiger auf Ebene der Ständigen Vertreter; in Ausnahmefällen finden Sitzungen aber auch auf Ministerebene statt).

    Akteure

     

    Die Leitung hat der turnusmäßig wechselnde Ratsvorsitz (i. d. R. der Präsident des AStV);

     

    Für den Europäischen Rat: das Kabinett des Präsidenten;

     

    Für die Europäische Kommission: stellvertretender Generalsekretär/GD und/oder Experten;

     

    Für den EAD: stellvertretender Generalsekretär/geschäftsführender Direktor und/oder Experten;

     

    Für das Generalsekretariat des Rates: das Kabinett des Generalsekretärs, das IPCR-Team und zuständige GD.

    Umfang der Tätigkeiten: Verschaffung eines gemeinsamen Überblicks über die Lage, Stärkung des Bewusstseins für Engpässe oder Mängel auf jeder einzelnen der drei Stufen, um auf politischer Ebene Abhilfe zu schaffen, Beschlüsse zu fassen, soweit sie den Zuständigkeitsbereich der Teilnehmer betreffen, oder Maßnahmenvorschläge auszuarbeiten, die dem AStV II und dem Rat übergeben werden.

    Abgestimmte Lageeinschätzung:

     

    (inaktiv): Möglichkeit der Generierung von IPCR-Überwachungsseiten zur Verfolgung von Entwicklungen, die sich zu einer Krise mit Folgen für die EU ausweiten können.

     

    (IPCR-Informationsaustausch): Erstellung integrierter Lageeinschätzungs- und -auswertungsberichte (ISAA) auf der Grundlage von Beiträgen der Kommissionsdienststellen, des EAD und der Mitgliedstaaten (IPCR-Fragebögen).

     

    (Vollständige IPCR-Aktivierung): Zusätzlich zu den Lageeinschätzungs- und -auswertungsberichten finden informelle Rundtischsitzungen statt, in denen u. a. verschiedene betroffene Akteure der Mitgliedstaaten, die Kommission, der EAD und die beteiligten Agenturen zusammenkommen, um Mängel und Engpässe zu erörtern.

    Zusammenarbeit und Reaktion:

    Aktivierung/Synchronisierung zusätzlicher Krisenmanagementmechanismen/-instrumente, je nach Art und Auswirkungen des Vorfalls. Dies sind beispielsweise das Katastrophenschutzverfahren, der Rahmen für eine gemeinsame diplomatische Reaktion der EU auf böswillige Cyberaktivitäten oder der „Gemeinsame Rahmen für die Abwehr hybrider Bedrohungen“.

    Krisenkommunikation:

    Das IPCR-Netz der Krisenbeauftragten kann vom Vorsitz nach Rücksprache mit den zuständigen Dienststellen der Kommission, dem Generalsekretariat des Rates und dem EAD aktiviert werden, um die Abfassung gemeinsamer Mitteilungen zu unterstützen oder die wirksamsten Kommunikationsmittel zu erörtern.

    3.   CYBERSICHERHEITSKRISENMANAGEMENT MIT ARGUS — INFORMATIONSAUSTAUSCH IN DER EUROPÄISCHEN KOMMISSION

    Konfrontiert mit unerwarteten Krisen, die ein Handeln auf EU-Ebene erforderten (die Terroranschläge in Madrid (März 2004), die Tsunami-Katastrophe in Südostasien (Dezember 2004) und die Terroranschläge in London im Juli 2005) errichtete die Kommission 2005 das Koordinierungssystem ARGUS, das durch ein allgemeines Frühwarnsystem gleichen Namens unterstützt wird (5)  (6). Es sieht im Falle einer schweren Krise, die mehrere Sektoren betrifft, ein spezifisches Krisenbewältigungsverfahren vor, um den Austausch krisenrelevanter Informationen in Echtzeit zu ermöglichen und zügige Entscheidungsprozesse zu gewährleisten.

    Je nach Schwere des Ereignisses sind in ARGUS zwei Phasen definiert:

     

    Phase I dient dem „Informationsaustausch“ im Fall einer Krise von begrenztem Umfang.

    Aktuelle Beispiele für die Phase I sind die Waldbrände in Portugal und Israel, der Terroranschlag in Berlin 2016, die Überschwemmungen in Albanien, der Wirbelsturm Matthew in Haiti und die Dürre in Bolivien. Jede GD kann die Phase I aktivieren, wenn sie eine in ihre Zuständigkeit fallende Situation als so ernst einstuft, dass sie den Austausch von Informationen für gerechtfertigt oder nützlich hält. Beispielsweise kann die Phase I von der GD CNECT oder GD HOME ausgelöst werden, wenn eine Cybersituation für so bedrohlich gehalten wird, dass der Austausch von Informationen gerechtfertigt oder nützlich erscheint.

     

    Phase II wird bei einer schweren sektorenübergreifenden Krise oder einer absehbaren bzw. unmittelbar bevorstehenden Bedrohung für die Union ausgelöst.

    In Phase II wird ein besonderes Koordinierungsverfahren aktiviert, das es der Kommission ermöglicht, auf höchster Ebene ihres Zuständigkeitsbereichs und in Abstimmung mit den anderen Organen Entscheidungen zu treffen und auf koordinierte und kohärente Weise rasch zu reagieren. Phase II ist für schwere sektorenübergreifende Krisen oder absehbare bzw. unmittelbar bevorstehende derartige Bedrohungen vorgesehen. Konkrete Beispiele für Ereignisse der Phase II sind die Migrations- und Flüchtlingskrise (seit 2015), die Dreifachkatastrophe von Fukushima (2011) und der Ausbruch des Vulkans Eyjafjallajökull in Island (2010).

    Die Phase II wird entweder vom Präsidenten auf dessen Initiative oder auf Ersuchen eines Kommissionsmitglieds aktiviert. Der Präsident kann die politische Verantwortung für die Reaktion der Kommission einem Kommissionsmitglied zuweisen, der für die von der Krise am stärksten betroffene Dienststelle zuständig ist, oder entscheiden, die Verantwortung selbst zu übernehmen.

    In Phase II sind Dringlichkeitssitzungen des Krisenkoordinierungsausschusses (CCC) vorgesehen. Sie werden unter der Verantwortung des Präsidenten oder eines Kommissionsmitglieds, dem die Verantwortung übertragen wurde, einberufen. Die Organisation erfolgt durch das Generalsekretariat über das ARGUS-IT-Instrument. Der CCC ist ein spezifisches operatives Krisenbewältigungsgremium, das zur Leitung und Koordinierung der Krisenbewältigungsmaßnahmen der Kommission eingesetzt wird und sich aus Vertretern aller zuständigen Generaldirektionen der Kommission, der Kabinette und anderer Dienststellen der EU zusammensetzt. Unter dem Vorsitz des stellvertretenden Generalsekretärs bewertet der CCC die Lage, prüft Optionen, fasst Beschlüsse und sorgt dafür, dass Beschlüsse und Maßnahmen umgesetzt werden. Gleichzeitig gewährleistet er die Einheitlichkeit und Kohärenz der Krisenbewältigungsmaßnahmen. Der CCC wird vom Generalsekretariat unterstützt.

    4.   KRISENREAKTIONSSYSTEM DES EAD

    Das Krisenreaktionssystem (Crisis Response Mechanism, CRM) des EAD wird bei Eintreten einer ernsten Lage oder Notsituation aktiviert, die die externe Dimension der EU betrifft oder in irgendeiner Weise beeinflusst. Das CRM wird vom stellvertretenden Generalsekretär für Krisenreaktion nach Absprache mit der Hohen Vertreterin/Vizepräsidentin oder dem Generalsekretär aktiviert. Die Hohe Vertreterin/Vizepräsidentin, der Generalsekretär, ein anderer stellvertretender Generalsekretär oder geschäftsführender Direktor können den stellvertretenden Generalsekretär für Krisenreaktion auch auffordern, das Krisenreaktionssystem zu aktivieren.

    Im Rahmen der Sicherheitsstrategie leistet das Krisenreaktionssystem einen Beitrag zur kohärenten Krisenbewältigung der EU. Insbesondere fördert das CRM die Schaffung von Synergien zwischen den Anstrengungen in den Bereichen Diplomatie, Sicherheit und Abwehr und den von der Kommission verwalteten Finanz-, Handels- und Kooperationsinstrumenten.

    Das CRM ist mit dem allgemeinen Frühwarnsystem (ARGUS) der Kommission und der Integrierten Regelung für die politische Reaktion auf Krisen (IPCR) der EU verknüpft, um bei zeitgleicher Aktivierung Synergien nutzen zu können. Das EAD-Lagezentrum dient als Kommunikationsdrehscheibe zwischen dem EAD und den Notfallsystemen im Rat und in der Kommission.

    Bei Aktivierung des CRM findet in der Regel als Erstes ein Krisentreffen statt, zu dem von der Krise unmittelbar betroffenes Führungspersonal des EAD, der Kommission und des Rates einberufen wird. Dabei werden die kurzfristigen Auswirkungen der Krise eingeschätzt und gegebenenfalls Sofortmaßnahmen vereinbart. Unter Umständen wird auch der Krisenstab oder eine Krisenplattform einberufen. Diese Stufen können in beliebiger zeitlicher Abfolge erfolgen.

    Der Krisenstab ist eine kleine Operationseinheit, in der Vertreter der an der Krisenbewältigung beteiligten Dienststellen des EAD, der Kommission und des Rates zur fortlaufenden Beobachtung der Lage zusammenkommen, um die Entscheidungsträger in der EAD-Zentrale zu unterstützen. Der Krisenstab ist nach seiner Aktivierung täglich rund um die Uhr in Bereitschaft.

    Die Krisenplattform vereinigt die beteiligten Dienststellen des EAD, der Kommission und des Rates, um die mittel- bis langfristigen Auswirkungen von Krisen zu beurteilen und sich über die zu ergreifenden Maßnahmen abzustimmen. Den Vorsitz führt die Hohe Vertreterin/Vizepräsidentin, der Generalsekretär oder der stellvertretende Generalsekretär für Krisenreaktion. Die Krisenplattform bewertet die Wirksamkeit der EU-Maßnahmen zur Bewältigung der Krise in dem betreffenden Land oder der Region, entscheidet über Änderungen oder zusätzliche Maßnahmen und erörtert Vorschläge für Maßnahmen des Rates. Die Krisenplattform kommt nur zu Ad-hoc-Treffen zusammen und befindet sich somit nicht in Dauerbereitschaft.

    Die Taskforce setzt sich aus Vertretern der an der Krisenbewältigung beteiligten Dienststellen zusammen und kann aktiviert werden, um die Durchführung der entsprechenden EU-Maßnahmen zu verfolgen und zu erleichtern. Die Kommission bewertet die Auswirkungen der EU-Maßnahmen, erstellt politische Dokumente und Erläuterungen von Optionen, trägt zur Ausarbeitung des politischen Rahmens für einen Ansatz zur Krisenbewältigung (Political Framework for Crisis Approach, PFCA) sowie zur Kommunikationsstrategie bei und erlässt alle sonstigen Regelungen, die bei der Umsetzung der Krisenreaktion der EU hilfreich sein können.

    5.   REFERENZDOKUMENTE

    Nachstehend sind die Dokumente aufgeführt, die zur Erstellung des Entwurfs herangezogen wurden:

    European Cyber Crisis Cooperation Framework (Europäischer Rahmen für die Zusammenarbeit im Fall von Cyberkrisen), Version 1, 17. Oktober 2012

    Report on Cyber Crisis Cooperation and Management (Bericht über Zusammenarbeit und Management im Fall von Cyberkrisen), ENISA, 2014

    Actionable Information for Security Incident Response (Handlungsweisende Informationen für die Reaktion auf Cybersicherheitsvorfälle), ENISA, 2014

    Common practices of EU-level crisis management and applicability to cyber crises (Gemeinsame Verfahren für das Krisenmanagement auf EU-Ebene und deren Anwendbarkeit auf Cyberkrisen), ENISA, 2015

    Strategies for Incident Response and Cyber Crisis Cooperation (Reaktionsstrategien und Zusammenarbeit im Fall von Cyberkrisen), ENISA, 2016

    EU Cyber Standard Operating Procedures (EU-Standardarbeitsanweisungen für die Cybersicherheit), ENISA, 2016

    A good practice guide of using taxonomies in incident prevention and detection (Leitfaden für gute Praxis bei der Verwendung von Schemata im Bereich der Verhütung und Aufdeckung von Vorfällen), ENISA, 2017

    Mitteilung über die Stärkung der Abwehrfähigkeit Europas im Bereich der Cybersicherheit und Förderung einer wettbewerbsfähigen und innovativen Cybersicherheitsbranche, COM(2016) 410 final vom 5. Juli 2016

    Schlussfolgerungen des Rates zur Stärkung der Abwehrfähigkeit Europas im Bereich der Cybersicherheit und Förderung einer wettbewerbsfähigen und innovativen Cybersicherheitsbranche — Schlussfolgerungen des Rates vom 15. November 2016, 14540/16

    Beschluss 2014/415/EU des Rates vom 24. Juni 2014 über die Vorkehrungen für die Anwendung der Solidaritätsklausel durch die Union (ABl. L 192 vom 1.7.2014, S. 53)

    Abschluss der CCA-Überprüfung: die Integrierte EU-Regelung für die politische Reaktion auf Krisen (IPCR), 10708/13, 7. Juni 2013

    Integrierte Lageeinschätzung und -auswertung (ISAA) — Standardarbeitsanweisungen, DS 1570/15, 22. Oktober 2015

    Bestimmungen der Kommission zum allgemeinen Frühwarnsystem „ARGUS“, KOM(2005) 662 endg. vom 23. Dezember 2005

    Beschluss 2006/25/EG, Euratom der Kommission vom 23. Dezember 2005 zur Änderung ihrer Geschäftsordnung (ABl. L 19 vom 24.1.2006, S. 20)

    ARGUS Modus Operandi, Europäische Kommission, 23. Oktober 2013

    Schlussfolgerungen des Rates über einen Rahmen für eine gemeinsame diplomatische Reaktion der EU auf böswillige Cyberaktivitäten („Cyber Diplomacy Toolbox“), Dok. 9916/17

    Gemeinsames Protokoll der EU für das operative Vorgehen bei der Abwehr hybrider Bedrohungen („EU Playbook“), Dok. SWD(2016) 227

    EEAS Crisis Response Mechanism (EAD-Krisenreaktionssystem), 8. November 2016 [Ares(2017)880661]. Arbeitsunterlage der Kommissionsdienststellen: Protokoll der EU für das operative Vorgehen bei der Abwehr hybrider Bedrohungen („EU Playbook“), SWD(2016) 227 final, 5. Juli 2016

    Gemeinsame Mitteilung an das Europäische Parlament und den Rat: Gemeinsamer Rahmen für die Abwehr hybrider Bedrohungen — eine Antwort der Europäischen Union, JOIN(2016) 18 final vom 6. April 2016

    Arbeitsunterlage des Europäischen Auswärtigen Dienstes — EU Hybrid Fusion Cell — Terms of Reference (Mandat der EU-Analyseeinheit für hybride Bedrohungen), EEAS(2016) 1674

    6.   CYBERSICHERHEITSSPEZIFISCHE ELEMENTE DES IPCR-PROZESSES

    Image


    (1)  Abschluss der CCA-Überprüfung: die Integrierte EU-Regelung für die politische Reaktion auf Krisen (10708/13), gebilligt vom Rat am 24. Juni 2013

    (2)  Standardarbeitsanweisungen zur IPCR (12607/15), vereinbart von der Gruppe der Freunde des Vorsitzes und vom AStV im Oktober 2015 zur Kenntnis genommen

    (3)  Bestimmungen der Kommission zum allgemeinen Frühwarnsystem „ARGUS“, KOM(2005) 662 endg. vom 23. Dezember 2005

    (4)  Beschluss 2006/25/EG, Euratom der Kommission vom 23. Dezember 2005 zur Änderung ihrer Geschäftsordnung (ABl. L 19 vom 24.1.2006, S. 20) über die Einrichtung des allgemeinen Frühwarnsystems „ARGUS“.

    (5)  Mitteilung der Kommission an das Europäische Parlament, den Rat, den Europäischen Wirtschafts- und Sozialausschuss und den Ausschuss der Regionen — Bestimmungen der Kommission zum allgemeinen Frühwarnsystem „ARGUS“, KOM(2005) 662 endg. vom 23. Dezember 2005.

    (6)  Beschluss 2006/25/EG, Euratom.


    Top