GEMEINSAME MITTEILUNG AN DAS EUROPÄISCHE PARLAMENT UND DEN RAT GEMEINSAME MITTEILUNG AN DAS EUROPÄISCHE PARLAMENT UND DEN RAT
Bericht über die Umsetzung der Cybersicherheitsstrategie der EU für die digitale Dekade
I.Abwehrfähigkeit gegen Cyberangriffe, operative Kapazitäten und Offenheit sind wichtiger denn je
Cybersicherheit ist für den Einsatz intelligenterer und umweltfreundlicherer Technik in der Welt nach der Pandemie unerlässlich. Sie ist für die Sicherheit der EU insgesamt unverzichtbar und bildet einen Pfeiler der Sicherheitsunion. Die soziale, politische und wirtschaftliche Entwicklung erfordert technologische Souveränität und einen globalen, offenen und sicheren Cyberraum, der auf Rechtsstaatlichkeit und auf der Achtung der Menschenrechte und Grundfreiheiten beruht. Dies war die zentrale Prämisse der Gemeinsamen Mitteilung der Kommission und des Hohen Vertreters für Außen- und Sicherheitspolitik über die Cybersicherheitsstrategie der EU für die digitale Dekade, die am 16. Dezember 2020 angenommen wurde. Alle kritischen Einrichtungen können Opfer von Cyberangriffen werden. Die Entwicklungen in den vergangenen sechs Monaten haben verdeutlicht, dass der Schwerpunkt der Strategie auf der Beschleunigung rechtlicher Reformen, auf Investitionen und auf einer gemeinsamen operativen Reaktion liegen muss.
Die jüngsten Cyberangriffe haben insbesondere die zunehmende Verbreitung von Ransomware und Cyberspionage und die davon ausgehenden, wachsenden Gefahren für alle Wirtschaftszweige und die Gesellschaft insgesamt deutlich gemacht. Das Ausmaß der Sicherheitsvorfälle war außergewöhnlich hoch: so waren von den Angriffen auf Microsoft Exchange Hunderttausende Server betroffen; von der SolarWinds-Orion-Kampagne waren potenziell 18 000 Organisationen betroffen; beim Ransomware-Angriff auf den irischen Gesundheitsdienst wurden sensible Daten Hunderter Patienten erbeutet und medizinische Dienstleistungen gestört; der Cyberangriff auf das Abrechnungssystem von Colonial Pipeline führte zu einem Kraftstoffnotstand und massivem Datendiebstahl; und beim weltweit größten Rindfleischlieferanten wurde eine Betriebsunterbrechung verursacht. Auch wenn das volle Ausmaß der entstandenen Schäden nach wie vor unklar ist, verdeutlicht jeder dieser Vorfälle, welche weitreichenden Folgen die böswillige Ausnutzung von Schwachstellen in Produkten, Diensten, Systemen und Netzen der Informations- und Kommunikationstechnik nach sich ziehen kann. Es ist davon auszugehen, dass die Wirkung und Häufigkeit solcher Cyberangriffe weiter zunehmen wird und dass dadurch unsere Sicherheit gefährdet wird.
Deshalb ist es wichtig, dass die Europäische Union – wie in der Strategie dargelegt – nun schnell Fortschritte in allen Bereichen erzielt – legislativ, operativ, bei Investitionen und auf diplomatischem Parkett. Die Vorschläge für eine Richtlinie über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Cybersicherheitsniveaus in der Union („NIS2-Richtlinie“), für eine Richtlinie über die Resilienz kritischer Einrichtungen und für eine Verordnung und eine Richtlinie über die Betriebsstabilität digitaler Systeme sollten daher so bald wie möglich verabschiedet werden. In diesem Zusammenhang kommt es darauf an, einen ehrgeizigen Ansatz insbesondere in Bezug auf Lieferketten zu verfolgen, denn die jüngsten Cyberangriffe waren auf Schwachstellen bei Software-Anbietern zurückzuführen, und Maßnahmen zu ergreifen, um die Behörden widerstandsfähiger zu machen und das rasche Melden von Sicherheitsvorfällen sicherzustellen. So ist es dringlicher denn je, ein Netz von Sicherheitseinsatzzentren („SOCs“) zur frühzeitigen Erkennung von Anzeichen für Cyberangriffe einzurichten und eine glaubwürdige, wirksame und kollektive Reaktionsfähigkeit der EU zur Abwehr großer Sicherheitsvorfälle – auch auf operativer Ebene – im Rahmen der Gemeinsamen Cyber-Einheit aufzubauen. Angesichts der Zunahme von Cyberangriffen durch staatliche oder staatlich veranlasste Akteure muss weiterhin auf ein verantwortungsvolles staatliches Verhalten hingewirkt werden, und zwar sowohl innerhalb der Vereinten Nationen als auch durch Cyberdialoge und einen strukturierten Austausch mit regionalen Organisationen, einschließlich der Afrikanischen Union, des ASEAN-Regionalforums, der Organisation Amerikanischer Staaten (OAS) und der Organisation für Sicherheit und Zusammenarbeit in Europa (OSZE), sowie durch ein wirksames diplomatisches Einwirken, um böswilligen Handlungen im Cyberraum vorzubeugen, sie zu verhindern, davor abzuschrecken und darauf zu reagieren. Besondere Bedeutung kommt dabei der Zusammenarbeit mit gleich gesinnten Drittländern und den Prioritäten der transatlantischen Agenda zu. So sollten insbesondere Möglichkeiten der Zusammenarbeit zwischen der EU und den USA bei bestimmten Aspekten der Cybersicherheit weiter geprüft werden, auch im Hinblick auf den Informationsaustausch und die Bekämpfung von Ransomware.
II.Überblick über die ersten sechs Monate der Umsetzung
Eine Reihe strategischer Maßnahmen ist bereits weit fortgeschritten.
II.1
Resilienz, technologische Souveränität und Führungsrolle
In aller Welt sind Lieferketten und kritische Infrastrukturen heute ständig von Cyberangriffen bedroht, sogar Krankenhäuser im Kampf gegen die COVID-19-Pandemie. Die Kommission unterstützt die beiden Gesetzgeber bei der zügigen Verabschiedung der vorgeschlagenen Überarbeitung der NIS-Richtlinie, mit der ihr Anwendungsbereich insbesondere auf das Gesundheitswesen, einschließlich Forschungslabors und Herstellung wichtiger medizinischer Geräte und Arzneimittel, und auf neue Tätigkeiten im Energiesektor wie Wasserstofferzeugung, Fernwärme, Stromerzeugung und zentrale Erdölbevorratung ausgeweitet werden soll.
Die Verordnung zur Einrichtung des Kompetenzzentrums für Cybersicherheit und des Netzes nationaler Koordinierungszentren wurde am 20. Mai 2021 angenommen. Sie wird Ressourcen der EU, der Mitgliedstaaten und der Industrie bündeln, um die technologischen und industriellen Cybersicherheitskapazitäten zu verbessern und auszubauen und die offene strategische Autonomie der EU zu stärken. Außerdem soll so eine Möglichkeit geschaffen werden, einen Teil der Tätigkeiten im Bereich der Cybersicherheit, die im Rahmen der Programme Horizont Europa und Digitales Europa und der Aufbau- und Resilienzfazilität finanziert werden, zu konsolidieren – dies betrifft Finanzmittel in Höhe von insgesamt bis zu 4,5 Mrd. EUR über die nächsten sechs Jahre. Unterstützt werden soll dadurch auch bis 2023 die Entwicklung eines EU-Cyberschutzschilds zur Früherkennung von Cyberangriffen, das aus einem Netz von Sicherheitseinsatzzentren bestehen wird, die öffentlich oder privat sein können und auf künstlicher Intelligenz beruhende Instrumente einsetzen werden. Mehrere Mitgliedstaaten sehen den Aufbau solcher nationalen Zentren im Rahmen ihrer jeweiligen Aufbau- und Resilienzpläne vor. Die Kommission wird diese Bemühungen durch die Zuweisung von Mitteln aus dem Programm Digitales Europa ergänzen und deren schrittweise Einbindung unterstützen. Die Finanzierungsprogramme werden auch die EuroQCI-Initiative zum Aufbau einer sicheren Quantenkommunikationsinfrastruktur unterstützen, die sich über die gesamte EU einschließlich ihrer überseeischen Gebiete erstrecken und die beste Kombination aus boden- und weltraumgestützter Technik einsetzen wird, ebenso wie eine besondere Haushaltslinie zur Steigerung der Widerstandsfähigkeit des Gesundheitswesens gegenüber Cyberangriffen.
Die Gewährleistung der Cybersicherheit der 5G-Netze ist ein kontinuierlicher Prozess, der die schrittweise 5G-Einführung und die Umsetzung des EU-Instrumentariums für die 5G-Cybersicherheit begleiten wird. Die meisten Mitgliedstaaten verfügen bereits – oder demnächst – über einen Rahmen für die Auferlegung angemessener Beschränkungen für 5G-Anbieter. Die Anforderungen an Mobilfunknetzbetreiber werden mit der Umsetzung des europäischen Kodex für die elektronische Kommunikation in nationales Recht weiter verschärft. Gleichzeitig arbeitet die EU-Cybersicherheitsagentur (ENISA) derzeit an einem Vorschlag für ein EU-System für die Cybersicherheitszertifizierung von 5G-Netzen. Im Hinblick auf neue Trends und Entwicklungen in der 5G-Lieferkette haben die Behörden der Mitgliedstaaten beschlossen, im Rahmen des EU-Instrumentariums eine gründliche Analyse der Auswirkungen offener, disaggregierter und interoperabler Netztechnik (Open RAN) auf die Sicherheit einzuleiten. Die Ergebnisse dieser Arbeiten werden ein weiterer Beitrag zum abgestimmten Vorgehen bei der Sicherheit von 5G-Netzen sein.
Es bedarf noch größerer Anstrengungen, insbesondere im Rahmen des Aktionsplans der EU für digitale Bildung, um den massiven Fachkräftemangel zu beheben, der Prognosen zufolge bis 2022 weltweit auf fast zwei Millionen unbesetzte Stellen im Bereich der Cybersicherheit ansteigen wird, davon 350 000 unbesetzte Stellen allein in Europa, und um die gravierende Unterrepräsentation von Frauen in der IKT-Branche zu beheben die weltweit nur 11 % und in Europa noch weniger (7 %) der Arbeitskräfte im Bereich der Cybersicherheit ausmachen. Bei anderen laufenden Politikinitiativen geht es um Vorarbeiten für künftige Initiativen zur Sicherheit des Internets der Dinge, um Normen für das Internet und um den Aufbau eines gemeinnützigen Dienstes zur Auflösung von Domänennamen (DNS4EU).
II.2
Aufbau operativer Kapazitäten zur Prävention, Abschreckung und Reaktion
Angesichts der Zunahme staatlicher und staatlich veranlasster Angriffe, aber auch krimineller Angriffe auf Netze und Informationssysteme und zunehmender Abhängigkeit von Datenbanken, die sensible Informationen enthalten, muss die EU ihre Cybergemeinschaften engmaschiger miteinander vernetzen. Diese müssen in abgestimmter Weise auf die zivilen, kriminellen, diplomatischen und verteidigungspolitischen Aspekte groß angelegter Cyberangriffe reagieren, wie sie in jüngster Zeit in vielen sensiblen Wirtschaftszweigen zu beobachten sind. Es sind daher Anstrengungen aller Gemeinschaften nötig, um die vier Schritte zu vollziehen, die in der zusammen mit diesem Bericht abgegebenen Empfehlung der Kommission für die Einrichtung der Gemeinsamen Cyber-Einheit als Mechanismus für die weitere Koordinierung und die Schließung von Lücken bei der Reaktion der EU auf Cyberbedrohungen dargelegt worden sind. Im Zuge der Bekämpfung der Cyberkriminalität wurde eine politische Einigung über die befristete Verordnung zur Bekämpfung des sexuellen Missbrauchs von Kindern im Internet erzielt, die in Kürze zu Annahme ansteht, und die Notwendigkeit, die Strafverfolgungsbehörden mit den digitalen Instrumenten auszustatten, die sie benötigen, in den Mittelpunkt der neuen Strategie der Kommission zur Bekämpfung der organisierten Kriminalität gestellt. Außerdem nahm die Kommission im Februar 2020 einen Aktionsplan für Synergien zwischen der zivilen, der Verteidigungs- und der Weltraumindustrie an, der ein neues Vorzeigeprojekt für den Aufbau eines sicheren weltraumgestützten globalen Konnektivitätssystems der EU vorsieht. Es soll „Hochgeschwindigkeitsanbindungen für jedermann in Europa zugänglich machen und für ein widerstandsfähiges Konnektivitätssystem sorgen, das es Europa ermöglicht, unter allen Umständen die Anbindung nicht zu verlieren“.
Aus internationaler Sicht bereitet der Hohe Vertreter im Einklang mit den im strategischen Kompass gesteckten Zielen derzeit die Überprüfung des Politikrahmens für die Cyberabwehr vor, deren Ergebnisse den Mitgliedstaaten im zweiten Halbjahr 2021 vorgelegt werden sollen. Der Hohe Vertreter arbeitet an der Verbesserung der Fähigkeit der EU, böswilligen Cyberaktivitäten vorzubeugen, sie zu verhindern, davor abzuschrecken und darauf zu reagieren, auch durch eine verstärkte internationale Zusammenarbeit. Am 17. Mai 2021 veranstaltete der Europäische Auswärtige Dienst (EAD) in Zusammenarbeit mit dem portugiesischen Ratsvorsitz und dem Institut der Europäischen Union für Sicherheitsstudien (EUISS) eine szenariobasierte Diskussion mit EU-Mitgliedstaaten und internationalen Partnern, um das gegenseitige Verständnis der jeweiligen diplomatischen Ansätze für die Vorbeugung, Verhinderung, Abschreckung und Reaktion auf böswillige Cyberaktivitäten zu verbessern und diesbezüglich Möglichkeiten für eine weitere Verstärkung der internationalen Zusammenarbeit zu ermitteln. Um das Instrumentarium der EU für die Cyberdiplomatie weiter zu verbessern, sammelt der EAD Erkenntnisse und Erfahrungen und kann dementsprechend die Leitlinien zur Umsetzung des Rahmens für eine gemeinsame diplomatische Reaktion der EU auf böswillige Cyberaktivitäten überprüfen.
Wie in der Cybersicherheitsstrategie der EU für das digitale Jahrzehnt angekündigt, veranlasst die Kommission eine Untersuchung zur Entwicklung von Aufklärungsinstrumenten, mit denen, die Abwehrbereitschaft und Widerstandsfähigkeit von EU-Unternehmen gegen Cyberdiebstahl geistigen Eigentums gestärkt werden soll. Darüber hinaus intensivierte die Kommission die Durchsetzungsmaßnahmen im Zusammenhang mit der Richtlinie 2013/40/EU über Angriffe auf Informationssysteme und leitete im Juni 2021 weitere Vertragsverletzungsverfahren gegen mehrere Mitgliedstaaten ein. Gegebenenfalls wird die Kommission weitere Maßnahmen in Erwägung ziehen. Ebenfalls von großer Bedeutung wird die Verbesserung der verfügbaren Cybersicherheitskompetenzen unter den Arbeitskräften in der EU sein. Daher wird das Kompetenzzentrum für Cybersicherheit diesbezüglich wichtige Maßnahmen ergreifen, um das Wissen und die Kapazitäten zu verbessern und die Entwicklung fachübergreifender Kompetenzen im Bereich der Cybersicherheit zu fördern.
II.3
Förderung eines globalen offenen Cyberraums
Die Bedrohungslage wird durch geopolitische Spannungen in Bezug auf das globale und offene Internet und die Technologien entlang der gesamten Lieferkette noch verschärft. Beschränkungen im und in Bezug auf das Internet, die Zunahme von böswilligen Cyberaktivitäten und von Vorgängen, die die Sicherheit und Integrität von Produkten und Diensten der Informations- und Kommunikationstechnik beeinträchtigen, stellen eine Bedrohung für einen globalen und offenen Cyberraum sowie für die Rechtsstaatlichkeit, die Menschenrechte, die Grundfreiheiten und die demokratischen Werte dar. Daher arbeitet der Hohe Vertreter gemeinsam mit den Mitgliedstaaten darauf hin, das verantwortungsvolle staatliche Handeln im Cyberraum voranzubringen, insbesondere durch die Einrichtung eines Aktionsprogramms zur Förderung verantwortungsvollen staatlichen Handelns auf Ebene der Vereinten Nationen, zusammen mit den 53 weiteren Geldgebern, aufbauend auf der Empfehlung des Konsensberichts vom 12. März 2021 der offenen Arbeitsgruppe der Vereinten Nationen für Entwicklungen auf dem Gebiet der Information und Telekommunikation im Kontext der internationalen Sicherheit. Die EU arbeitet an der Stärkung und Ausweitung der Beziehungen zu Drittländern, internationalen und regionalen Organisationen sowie der Multi-Stakeholder-Gemeinschaft durch Cyberdialoge – wie in der Strategie dargelegt – und durch die Einrichtung eines EU-Netzes für Cyberdiplomatie. Darüber hinaus wird das EU-Gremium für den Cyberkapazitätsaufbau eingerichtet, das es den Organen, Einrichtungen und sonstigen Stellen der EU ermöglichen wird, die externen Bemühungen der EU zum Aufbau von Cyberkapazitäten besser zu koordinieren und besser zusammenzuarbeiten.
Im Rahmen der Vereinten Nationen billigte die Generalversammlung der VN am 26. Mai 2021 die Modalitäten für die Arbeit des mit der Resolution 74/247 eingesetzten Ad-hoc-Ausschusses zur Bekämpfung des Einsatzes von Informations- und Kommunikationstechnik für kriminelle Zwecke
. Die schließlich angenommenen Modalitäten enthalten wichtige Elemente zur Gewährleistung inklusiver Entscheidungsverfahren und einer stärkeren Beteiligung der Zivilgesellschaft an den Arbeiten des Ad-hoc-Ausschusses. Die erste Verhandlungsrunde des Prozesses, der zu einem neuen VN-Übereinkommen führen soll, wird im Januar 2022 in New York stattfinden.
Auf der Plenartagung des Ausschusses der Vertragsstaaten des Budapester Übereinkommens des Europarats über Computerkriminalität am 28. Mai 2021 schlossen die Vertragsstaaten die Beratungen ab und nahmen einen Textentwurf für das Zweite Zusatzprotokoll zu dem Übereinkommen an, mit dem die Zusammenarbeit in Sachen Cyberkriminalität und elektronische Beweismittel bei strafrechtlichen Ermittlungen verbessert werden soll. Die Kommission nahm im Namen der EU an den Gesprächen teil. Dies dürfte die Grundlage für den förmlichen Abschluss der Verhandlungen im zweiten Halbjahr 2021 und die anschließende Eröffnung des zweiten Zusatzprotokolls zur Unterzeichnung Anfang 2022 bilden.
Die EU und ihre Partner bekräftigten im Juni 2021 ihre Entschlossenheit, gemeinsam gegen die akute und eskalierende Bedrohung durch kriminelle Ransomware-Netze vorzugehen, die eine Gefahr für unsere Bürger und Unternehmen darstellen, sowie ein gemeinsames Verständnis darüber zu fördern, wie das geltende Völkerrecht im Cyberraum angewendet werden soll, und für diesen Ansatz in den Vereinten Nationen und anderen internationalen Foren zu werben. Außerdem forderte sie alle Staaten auf, kriminelle Ransomware-Netze, die von ihren Hoheitsgebieten aus operieren, umgehend zu ermitteln und zu zerschlagen und sie für ihr Handeln zur Rechenschaft zu ziehen.
II.4
Cybersicherheit in den Organen, Einrichtungen und sonstigen Stellen der EU
Die EU hat die Anhebung der Standards für Cybersicherheit und Informationssicherheit in den Organen, Einrichtungen und sonstigen Stellen der EU in Angriff genommen. Dazu führt die Kommission Konsultationen der Interessenträger und ein Benchmarking der derzeitigen Politik durch, damit bis Ende 2021 neue Vorschläge angenommen werden können.
III.Hintergrund dieses Berichts
Am 16. Dezember 2020 nahmen die Kommission und der Hohe Vertreter die Cybersicherheitsstrategie der EU an. Angesichts zunehmender und komplexer Bedrohungen für die europäischen Netze und Informationssysteme werden darin Prioritäten und Leitaktionen zur Verbesserung der Abwehrfähigkeit, Autonomie, Führungsstärke und operativen Kapazitäten Europas sowie zur Förderung eines globalen und offenen Cyberraums und diesbezüglicher internationaler Partnerschaften festgelegt. Die Kommission und der Hohe Vertreter sagten zu, die Fortschritte bei der Umsetzung der Strategie zu überwachen.
In seiner Erklärung vom 26. Februar 2021 forderte der Europäische Rat die Kommission und den Hohen Vertreter auf, bis Juni 2021 über die Umsetzung der Strategie Bericht zu erstatten. In seinen Schlussfolgerungen vom 9. März 2021 begrüßte der Rat die Strategie und betonte, dass die Cybersicherheit für den Aufbau eines resilienten, grünen und digitalen Europas von entscheidender Bedeutung ist. Ferner rief er die Kommission und den Hohen Vertreter auf, einen detaillierten Umsetzungsplan mit den Prioritäten und dem Zeitplan für die geplanten Maßnahmen aufzustellen. Die Strategie wird derzeit von den zuständigen Ausschüssen des Europäischen Parlaments geprüft, wobei die Gefahr einer fragmentierten Regulierung aber auch die Gelegenheit, die europäische Industrie im Zuge der Digitalisierung zu stärken, hervorzuheben sind. Der Europäische Wirtschafts- und Sozialausschuss verabschiedete am 27. April 2021 eine Stellungnahme, in der er die Strategie als positiven Schritt zum Schutz vor globalen Cyberbedrohungen und zur Sicherung des Wirtschaftswachstums begrüßte.
Im vorliegenden Bericht wird auf diese Entwicklungen eingegangen und insbesondere der Aufforderung des Europäischen Rates Folge geleistet.