6.4.2011   

DE

Amtsblatt der Europäischen Union

C 107/58

1.1

Dem Europäischen Wirtschafts- und Sozialausschuss ist sehr stark bewusst, dass die heutige Zivilgesellschaft in hohem Maße von Internetdienstleistungen abhängt. Der Ausschuss ist ferner beunruhigt über die relative Unwissenheit der Zivilgesellschaft bezüglich ihrer Cybersicherheit. Nach Ansicht des EWSA ist die Europäische Agentur für Netz- und Informationssicherheit (ENISA) als Einrichtung dafür zuständig, den Mitgliedstaaten und Dienstleistungsanbietern dabei behilflich zu sein, ihre allgemeinen Sicherheitsstandards zu verbessern, so dass alle Internetnutzer die notwendigen Vorkehrungen für ihre persönliche Internetsicherheit treffen.

1.2

Deswegen unterstützt der EWSA denn auch den Vorschlag, die ENISA zu stärken, um zur Gewährleistung einer hohen Netz- und Informationssicherheit (NIS) innerhalb der Union beizutragen, um das Problembewusstsein zu heben und eine Kultur der Netz- und Informationssicherheit in der Gesellschaft zum Nutzen der Bürger, Verbraucher, Unternehmen und Organisationen des öffentlichen Sektors in der Union zu entwickeln und auf diese Weise zum reibungslosen Funktionieren des Binnenmarktes beizutragen.

1.3

Der Auftrag von ENISA ist für die sichere Weiterentwicklung der Netzstruktur des Staatswesens, der Industrie, des Handels und der Zivilgesellschaft in der EU. Der EWSA erwartet, dass die Europäische Kommission für die ENISA die höchsten Leistungsstandards vorsieht und die Leistungsfähigkeit der ENISA im Kontext auftretender und sich abzeichnender Bedrohungen der Cybersicherheit beobachtet.

1.4

Alle von NATO, Europol und der Europäischen Kommission entworfenen Strategien hängen von einer effizienten Zusammenarbeit mit den Mitgliedstaaten ab, in denen sich wiederum eine ganze Palette interner Stellen mit Fragen der Cybersicherheit befasst. Die Strategien von NATO und Europol sind auf proaktives und operatives Handeln angelegt. In der Strategie der Europäischen Kommission ist die ENISA eindeutig eine wichtige Komponente des komplexen Gefüges an Einrichtungen, die für den Schutz kritischer Informationsinfrastrukturen (CIIP) zuständig sind. Auch wenn in der neuen Verordnung keine operative Rolle für die ENISA vorgesehen ist, so wertet der EWSA die ENISA gleichwohl als Einrichtung, die in erster Linie für CIIP in der Zivilgesellschaft der EU zuständig ist.

1.5

Die operative Zuständigkeit für die Cybersicherheit auf nationaler Ebene liegt bei den Mitgliedstaaten. Die Standards für den Schutz kritischer Informationsinfrastrukturen sind in den 27 Mitgliedstaaten zweifelsohne sehr unterschiedlich. Die Rolle der ENISA besteht darin, die diesbezüglich weniger gut ausgestatteten Mitgliedstaaten auf ein akzeptables Niveau zu bringen. Sie muss für die Zusammenarbeit zwischen den Mitgliedstaaten Sorge tragen und den Mitgliedstaaten bei der Anwendung bewährter Verfahrensweisen behilflich sein. Was grenzübergreifende Bedrohungen angeht, muss die Rolle der ENISA in Warnungshinweisen und Vorbeugungsmaßnahmen liegen.

1.6

Die ENISA wird auch in die internationale Zusammenarbeit mit Drittstaaten eingebunden werden müssen. Diese Zusammenarbeit wird hochpolitisch angelegt sein und zahlreiche Einrichtungen auf EU-Ebene einbinden, gleichwohl muss nach Ansicht des EWSA die ENISA auf der internationalen Bühne ihren Platz finden.

1.7

Der Ausschuss ist der Auffassung, dass die ENISA eine wichtige Rolle dabei spielen kann, Forschungsprojekte im Sicherheitsbereich auf den Weg zu bringen und einen Beitrag zu ihnen zu leisten.

1.8

Im Rahmen der Folgenabschätzung wird der EWSA die vollständige Umsetzung der Optionen 4 und 5, die die ENISA zu einer operativen Agentur werden ließe, aus heutiger Sicht nicht unterstützen. Da die Cybersicherheit ein großes Problem ist und sich die Bedrohungen dynamisch entwickeln, müssen die Mitgliedstaaten weiterhin in der Lage sein, die Bedrohungen vorausschauend zu bekämpfen. Die Entwicklung operativer Agenturen der EU führt in der Regel zu einer Entqualifizierung der Mitgliedstaaten. Im Bereich der Cybersicherheit ist aber gerade das Gegenteil erforderlich, die Qualifikation der Mitgliedstaaten muss gesteigert werden.

1.9

Der EWSA kann den Standpunkt der Kommission nachvollziehen, dass die ENISA über einen genau umrissenen und sorgsam beobachteten Auftrag sowie eine angemessene Mittelausstattung verfügen sollte. Gleichwohl befürchtet der EWSA, dass das auf fünf Jahre begrenzte Mandat der ENISA langfristige Vorhaben ausschließen und die Entwicklung von Humankapital und eines Wissensfundus innerhalb der Agentur gefährden könnte. Diese Agentur wird eine ganz kleine Einrichtung sein, die sich mit einem großen und wachsenden Problem befasst. Wegen der Bandbreite und Größenordnung ihrer Aufgaben wird die ENISA Sachverständigenteams beschäftigen müssen. Die Arbeiten der ENISA werden unterschiedlich sein und sowohl kurzfristige Aufgaben als auch Langzeitprojekte umfassen. Daher würde der Ausschuss ein dynamisches und unbegrenztes Mandat der ENISA vorziehen, das kontinuierlich durch regelmäßige Prüfungen und Begutachtungen bestätigt würde. Die Mittel könnten dann je nach Bedarf stufenweise zugewiesen werden.

2.1

Diese Stellungnahme betrifft eine Verordnung zur Weiterentwicklung der ENISA.

2.2

Die Kommission legte ihren ersten Vorschlag zu einem kooperativen Vorgehen im Bereich der Netz- und Informationssicherheit in einer Mitteilung aus dem Jahr 2001 dar (KOM(2001) 298 endg.). Als Reaktion auf die Mitteilung arbeitete Daniel Retureau seinerzeit eine umfassende Stellungnahme (1) aus.

2.3

Die Kommission schlug danach eine Verordnung zur Gründung der ENISA vor (KOM(2003) 63 endg.). Die Stellungnahme des EWSA (2) zu diesem Vorschlag für eine Verordnung verfasste Göran Lagerholm. Die Agentur wurde mit der Verordnung (EG) Nr. 460/2004 errichtet.

2.4

Mit der exponentiellen Zunahme der Nutzung des Internet ist die Informationssicherheit ein immer wichtigeres Anliegen geworden. 2006 veröffentlichte die Kommission daher eine Mitteilung, in der sie eine Strategie für eine sichere Informationsgesellschaft darlegte (KOM(2006) 251 endg.). Die Stellungnahme (3) des EWSA verfasste Antonello Pezzini.

2.5

Da die Bedenken im Hinblick auf die Informationssicherheit zunahmen, legte die Kommission 2009 einen Vorschlag zum Schutz kritischer Informationsinfrastrukturen (KOM(2009) 149 endg.) vor. Thomas McDonogh verfasste die Stellungnahme (4), die im Dezember 2009 vom Plenum des EWSA verabschiedet wurde.

2.6

Es wird nun vorgeschlagen, die ENISA zu stärken und besser zu gestalten, um zur Gewährleistung einer hohen Netz- und Informationssicherheit innerhalb der Union beizutragen, um das Problembewusstsein zu heben und eine Kultur der Netz- und Informationssicherheit in der Gesellschaft zum Nutzen der Bürger, Verbraucher, Unternehmen und Organisationen des öffentlichen Sektors in der Union zu entwickeln und auf diese Weise zum reibungslosen Funktionieren des Binnenmarktes beizutragen.

2.7

Die ENISA ist jedoch nicht die einzige Sicherheitsagentur, die für den Cyberspace der EU geplant ist. Für die Reaktion auf Internetkrieg und Cyberterrorismus ist das Militär zuständig. Die NATO ist auf diesem Gebiet die wichtigste Einrichtung. Ihrem neuen strategischen Konzept zufolge, das im November 2010 in Lissabon veröffentlicht wurde (und unter der Adresse http://www.nato.int/lisbon2010/strategic-concept-2010-eng.pdf abgerufen werden kann), wird die NATO ihre Fähigkeit weiterentwickeln, Angriffe auf Computernetze zu verhindern, zu entdecken, sich dagegen zu verteidigen und sich davon zu erholen, auch indem sie den NATO-Planungsprozess dazu nutzt, nationale Fähigkeiten zur Bekämpfung von Computerkriminalität zu stärken und zu koordinieren, indem sie für alle NATO-Gremien einen zentralen Schutz vor Computerkriminalität gewährleistet und die Überwachungs-, Warn- und Reaktionsaufgaben der NATO im Bereich der Computerkriminalität besser mit denen der Mitgliedstaaten zusammenführt.

2.8

Nach dem Cyberangriff auf Estland im Jahr 2007 wurde das Kompetenzzentrum für kooperativen Schutz vor Computerangriffen (CCD COE) am 14. Mai 2008 offiziell gegründet, um die Fähigkeiten der NATO bei der Abwehr von Cyberangriffen zu verbessern. Das Zentrum mit Sitz in Tallinn (Estland) ist ein internationales Gremium, das derzeit von Estland, Lettland, Litauen, Deutschland, Ungarn, Italien, der Slowakischen Republik und Spanien („sponsoring nations“) unterstützt wird.

2.9

Für elektronische Verbrechen auf EU-Ebene ist Europol zuständig. Folgender Text ist ein Auszug aus einem Schriftstück, das Europol dem britischen Oberhaus vorgelegt hat (siehe http://www.publications.parliament.uk/pa/ld200910/ldselect/ldeucom/68/68we05.htm):

Die Strafverfolgungsbehörden müssen mit der technischen Entwicklung von Straftätern Schritt halten, damit Verbrechen wirksam verhütet oder aufgedeckt werden können. Da die Hochtechnologie keine Grenzen kennt, müssen die Fähigkeiten in der gesamten EU den gleichen hohen Standard aufweisen, damit keine „Schwachstellen“ entstehen, an denen sich Hochtechnologie-Kriminalität straflos entfalten kann. Diese Fähigkeiten sind in der EU bei weitem nicht homogen. Die Entwicklung erfolgt sogar ausgesprochen asymmetrisch; einige Mitgliedstaaten haben in bestimmten Bereichen einen großen Vorsprung, andere dagegen sind technisch gesehen im Rückstand. Daher ist ein zentraler Dienst erforderlich, der alle Mitgliedstaaten bei der Koordinierung gemeinsamer Tätigkeiten unterstützt, die Vereinheitlichung der Ansätze und Qualitätsstandards fördert und bewährte Verfahrensweisen ermittelt und verbreitet; nur so kann eine einheitliche Strafverfolgung zur Bekämpfung von Hochtechnologie-Kriminalität innerhalb der EU sichergestellt werden.

2.10

Bei Europol wurde 2002 das „High Tech Crime Centre“ (HTCC) eingerichtet. Die relativ kleine Einheit ist das Kernstück der Arbeit von Europol in diesem Bereich und wird in Zukunft voraussichtlich weiter wachsen. Das HTCC spielt bei der Koordinierung, der operativen Unterstützung, der strategischen Analyse und der Ausbildung eine bedeutende Rolle. Besonders wichtig ist die Aufgabe der Ausbildung. Darüber hinaus hat Europol die ECCP eingerichtet, die Europäische Plattform zur Bekämpfung von Cyberkriminalität, die sich hauptsächlich mit folgenden Fragen befasst:

2.11

Die EU-Strategie für die Cybersicherheit ist im Kapitel „Vertrauen und Sicherheit“ der Digitalen Agenda für Europa erläutert. Die Herausforderungen werden wie folgt beschrieben:

Bislang hat sich das Internet als erstaunlich sicher, widerstandsfähig und stabil erwiesen, aber IT-Netze und die Endgeräte der Nutzer bleiben einer breiten Palette sich ständig verändernder Bedrohungen ausgesetzt: In den letzten Jahren hat die Menge unerwünscht zugesandter E-Mails („Spam“) solche Ausmaße angenommen, dass der E-Mail-Verkehr im Internet erheblich beeinträchtigt wird (nach verschiedenen Schätzungen entfallen auf Spam 80-98 % aller versandten E-Mails), und mit diesen Spam-Mails werden im großem Maßstab auch Computerviren und Schadsoftware verbreitet. Auch Identitätsdiebstahl und Online-Betrug nehmen rapide zu. Die Angriffe werden immer raffinierter (Trojaner, Botnets usw.) und sind häufig finanziell motiviert. Sie können aber auch politische Motive haben, wie die Cyberangriffe auf Estland, Litauen und Georgien in jüngster Zeit gezeigt haben.

2.12

In der Agenda vorgesehene Maßnahmen sind:

Schlüsselaktion 6: im Jahr 2010 Vorschläge für Maßnahmen vorlegen, die eine Politik zur Stärkung der Netz- und Informationssicherheit auf hohem Niveau zum Ziel haben, einschließlich Legislativinitiativen, u.a. für eine modernisierte Europäische Agentur für Netz- und Informationssicherheit (ENISA), und Maßnahmen, die eine schnellere Reaktion auf Cyberangriffe ermöglichen, einschließlich eines IT-Notfallteams (Computer Emergency Response Team, CERT) für die EU-Organe;

Schlüsselaktion 7: Vorschläge für Maßnahmen, einschließlich Legislativinitiativen, zur Bekämpfung von Cyberangriffen auf Informationssysteme bis 2010 sowie entsprechende Vorschriften zur Gerichtsbarkeit im virtuellen Raum auf europäischer und internationaler Ebene bis 2013.

2.13

In einer Mitteilung von November 2010 (KOM(2010) 673 endg.) hat die Kommission die Agenda durch den Entwurf einer EU-Strategie der inneren Sicherheit weiterentwickelt. Die Strategie hat fünf Ziele; das dritte Ziel ist der bessere Schutz der Bürger und Unternehmen im Cyberspace. Drei Aktionsprogramme sind vorgesehen, die Maßnahmen im Einzelnen sind der nachstehenden (der Kommissionsmitteilung entnommenen und unter http://ec.europa.eu/commission_2010-2014/malmstrom/archive/internal_security_strategy_in_action_en.pdf abrufbaren) Tabelle zu entnehmen:

2.14

Alle von NATO, Europol und der Europäischen Kommission entworfenen Strategien hängen von einer effizienten Zusammenarbeit mit den Mitgliedstaaten ab, in denen sich eine Vielzahl an internen Stellen mit Fragen der Cybersicherheit befasst. Die Strategien von NATO und Europol sind auf aktives und operatives Handeln ausgelegt. In der Strategie der Europäischen Kommission ist die ENISA eindeutig eine wichtige Komponente des komplexen Gefüges an Einrichtungen, die für den Schutz kritischer Informationsinfrastrukturen (CIIP) zuständig sind. Auch wenn in der neuen Verordnung keine operative Rolle für die ENISA vorgesehen ist, so wertet der EWSA die ENISA gleichwohl als Einrichtung, die in erster Linie für CIIP in der Zivilgesellschaft der EU zuständig ist.

3.1

Mit der ENISA müssen sieben Problempunkte gelöst werden:

3.2

Im ENISA-Vorschlag sind die bestehenden Bestimmungen und die neuen, in der Digitalen Agenda der EU dargelegten Initiativen gebündelt:

3.3

Von den bestehenden Maßnahmen soll die ENISA Folgendes unterstützen:

3.4

Die ENISA unterstützt folgende neue Entwicklungen:

3.5

Bevor dieser Vorschlag abgeschlossen wurde, sind fünf verschiedene Politikoptionen untersucht worden. Mit jeder Option wurden Aufgaben und Mittel verknüpft. Die Wahl fiel auf die dritte Option. Sie sieht eine Ausweitung der gegenwärtigen ENISA-Aufgaben und die Einbindung der Strafverfolgungs- und Datenschutzbehörden als Akteure vor.

3.6

Bei Option 3 würde eine modernisierte NIS-Agentur zu Folgendem beitragen:

3.7

Bei Option 3 würde die ENISA über alle notwendigen Ressourcen verfügen, damit sie ihre Aufgaben zufriedenstellend und gründlich wahrnehmen und dadurch eine tatsächliche Wirkung erzielen kann. Mit einer aufgestockten Mittelausstattung (5) könnte die ENISA deutlich proaktiver werden und mehr Initiativen zur Förderung der aktiven Mitarbeit der Akteure ergreifen. Außerdem würde diese neue Situation mehr Flexibilität ermöglichen, so dass schnell auf Änderungen im sich ständig weiterentwickelnden NIS-Umfeld reagiert werden könnte.

3.8

Politikoption 4 umfasst operative Funktionen zur Bekämpfung von Cyberangriffen und zur Reaktion auf Netzstörungen. Zusätzlich zu den in Option 3 dargelegten Tätigkeiten würde die Agentur operative Funktionen übernehmen, z.B. eine aktivere Rolle beim Schutz kritischer Infrastrukturen in der EU, etwa bei der Verhütung und Bewältigung von Störungen, indem sie insbesondere als IT-Notfallteam (CERT) der EU im NIS-Bereich wirkt und als EU-NIS-Krisenzentrum die nationalen CERTs sowohl im Tagesgeschäft als auch bei Notfällen koordiniert.

3.9

Option 4 würde eine größere Wirkung auf operativer Ebene zusätzlich zu der von Option 3 erzielen. Als EU-NIS-CERT und durch die Koordinierung der nationalen CERTs würde die Agentur zu höheren Größeneinsparungen bei der Bewältigung EU-weiter Störungen und zu geringeren operativen Risiken für Unternehmen beitragen, z. B. dank höherer Sicherheit und Widerstandsfähigkeit. Diese Option würde eine beträchtliche Aufstockung der finanziellen und personellen Mittel der Agentur erforderlich machen, was Bedenken bezüglich ihrer Aufnahmefähigkeit und der effektiven Mittelverwendung im Verhältnis zu den angestrebten Zielen hervorruft.

3.10

Politikoption 5 sieht operative Funktionen zur Unterstützung der Strafverfolgungs- und der Justizbehörden bei der Bekämpfung von Cyberkriminalität vor. Zusätzlich zu den in Option 4 dargelegten Tätigkeiten würde diese Option für ENISA folgende Funktionen vorsehen:

3.11

Option 5 würde durch zusätzliche operative Funktionen zur Unterstützung der Strafverfolgungs- und der Justizbehörden eine größere Wirkung bei der Bekämpfung der Cyberkriminalität erzielen als die Optionen 3 und 4.

3.12

Option 5 würde eine beträchtliche Aufstockung der Haushaltsmittel der Agentur erforderlich machen, was auf ähnliche Bedenken bezüglich ihrer Aufnahmefähigkeit und der effektiven Mittelverwendung stößt.

3.13

Die Optionen 4 und 5 hätten zwar eine größere positive Wirkung als Option 3, nach Ansicht der Kommission gibt es jedoch eine Reihe von Gründen, die gegen diese Optionen sprechen:

4.1

Die Agentur unterstützt die Kommission und die Mitgliedstaaten dabei, die rechtlichen und regulatorischen Anforderungen der Netz- und Informationssicherheit zu erfüllen.

4.2

Der Verwaltungsrat bestimmt die allgemeine Ausrichtung der Tätigkeit der Agentur.

4.3

Dem Verwaltungsrat gehören je ein Vertreter jedes Mitgliedstaats, drei von der Kommission ernannte Vertreter und jeweils ein Vertreter der IKT-Branche, der Verbrauchergruppen und der wissenschaftlichen Sachverständigen für Informationstechnologie an.

4.4

Die Agentur wird von einem unabhängigen Direktor geleitet, der für die Aufstellung des Arbeitsprogramms der Agentur verantwortlich ist, das dem Verwaltungsrat zur Genehmigung vorgelegt wird.

4.5

Der Direktor ist ferner für die Erstellung eines jährlichen Haushaltsplans zur Unterstützung des Arbeitsprogramms verantwortlich. Der Verwaltungsrat muss der Kommission und den Mitgliedstaaten den Haushaltsplan und das Arbeitsprogramm zur Genehmigung vorlegen.

4.6

Der Verwaltungsrat setzt auf Vorschlag des Direktors eine Ständige Gruppe der Interessenvertreter ein, die sich aus Sachverständigen der IKT-Branche, der Verbrauchergruppen, Wissenschaftlern sowie Strafverfolgungs- und Datenschutzbehörden zusammensetzt.

4.7

Da die Verordnung noch in Vorbereitung ist, sind die Zahlen nicht sicher. Die Agentur hat derzeit 44-50 Mitarbeiter und einen Haushalt von 8 Mio. EUR. Entsprechend dem Konzept könnte Option 3 eine Erhöhung des Personals auf 99 Personen und des Haushalts auf 17 Mio. EUR mit sich bringen.

4.8

Die Verordnung sieht eine feste Mandatszeit von fünf Jahren vor.