27.9.2013   

DE

Amtsblatt der Europäischen Union

C 280/19

—

begrüßt die von der Europäischen Kommission vorgelegte Cybersicherheitsstrategie und die Richtlinie über Maßnahmen zur Gewährleistung einer hohen gemeinsamen Netz- und Informationssicherheit (NIS). Er unterstützt die Zielsetzung der Strategie, einen offenen, sicheren und geschützten Cyberraum zu garantieren und das Online-Umfeld in der EU zum weltweit sichersten zu machen;

—

ist überzeugt, dass ein Maßnahmenpaket zur Zusammenführung bestehender und vorgeschlagener Maßnahmen in diesem Bereich dringend erforderlich ist und dazu beitragen wird, eine koordinierte, strategische Vision für Europa zu gestalten; begrüßt dieses Maßnahmenpaket, mit dem darauf abgezielt wird, die erforderliche Koordinierung sicherzustellen, die Zusammenarbeit zu fördern, klare und entschlossene Maßnahmen festzulegen, ein gemeinsames Cyberschutzniveau zu erreichen, die Widerstandsfähigkeit in IT-Systemen und Netzen gegen neue und künftige Cyberbedrohungen zu erhöhen und die Fragmentierung in der EU abzubauen;

—

empfiehlt, dass die Europäische Kommission einen Aktionsplan veröffentlicht, in dem sie aufzeigt, wie die in diesem Maßnahmenpaket enthaltenen ehrgeizigen Ziele verwirklicht werden können. In diesem Aktionsplan müssen auch Anhaltspunkte für die Bewertung und Bemessung des Wirkungsgrads der Strategie geboten werden, um festzustellen, ob eine Zusammenarbeit stattfindet und Erfolge erzielt werden;

—

betont, dass mit diesem neuen Maßnahmenpaket Prävention, Erkennung und Reaktion auf Cybervorfälle gestärkt sowie ein besserer Informationsaustausch und eine stärkere Koordination zwischen den Mitgliedstaaten und der Europäischen Kommission in Bezug auf große Cybervorfälle angestoßen werden sollten. Hierfür ist eine echte Partnerschaft zwischen den Mitgliedstaaten, den EU-Institutionen, den lokalen und regionalen Gebietskörperschaften, dem privaten Sektor und der Zivilgesellschaft erforderlich.

Berichterstatter

Robert BRIGHT (UK/SPE), Mitglied des Stadtrats von Newport

Referenzdokumente

Gemeinsame Mitteilung an das Europäische Parlament, den Rat, den Europäischen Wirtschafts- und Sozialausschuss und den Ausschuss der Regionen: Cybersicherheitsstrategie der Europäischen Union — ein offener, sicherer und geschützter Cyberraum

(JOIN(2013) 1 final)

Vorschlag für eine Richtlinie des Europäischen Parlaments und des Rates über Maßnahmen zur Gewährleistung einer hohen gemeinsamen Netz- und Informationssicherheit in der Union

(COM(2013) 48 final)

1.

begrüßt die von der Europäischen Kommission vorgelegte Cybersicherheitsstrategie und die Richtlinie über Maßnahmen zur Gewährleistung einer hohen gemeinsamen Netz- und Informationssicherheit (NIS). Er unterstützt die Zielsetzung der Strategie, einen offenen, sicheren und geschützten Cyberraum zu garantieren und das Online-Umfeld in der EU zum weltweit sichersten zu machen;

2.

erwartet, dass mit dem neuen Cybersicherheits-Maßnahmenpaket (aus Strategie und Richtlinie) die Latte höher gelegt und ein wichtiger Beitrag zur Entwicklung von Cybersicherheitsstandards in der gesamten EU, zur Verringerung von Rechtsunsicherheit, zur Stärkung des Vertrauens in Online-Dienste, zur Senkung unnötiger Kosten und zum Abbau überflüssigen Verwaltungsaufwands und somit zur Förderung der Verwirklichung des digitalen Binnenmarkts und der Ziele der Europa-2020-Strategie geleistet wird;

3.

ist überzeugt, dass ein Maßnahmenpaket zur Zusammenführung bestehender und vorgeschlagener Maßnahmen in diesem Bereich dringend erforderlich ist und dazu beitragen wird, eine koordinierte, strategische Vision für Europa zu gestalten; begrüßt dieses Maßnahmenpaket, mit dem darauf abgezielt wird, die erforderliche Koordinierung sicherzustellen, die Zusammenarbeit zu fördern, klare und entschlossene Maßnahmen festzulegen, ein gemeinsames Cyberschutzniveau zu erreichen, die Widerstandsfähigkeit in IT-Systemen und Netzen gegen neue und künftige Cyberbedrohungen zu erhöhen und die Fragmentierung in der EU abzubauen;

4.

betont, dass Einrichtungen, auch Behörden, sich bewusst machen müssen, dass die Bekämpfung der Cyberkriminalität ein fortwährender Kampf ist. Sie müssen der von Cyberstörungen und -angriffen ausgehenden Gefahr oberste Priorität einräumen, indem sie Schwachstellen ermitteln und sich organisatorisch auf die Bewältigung der Folgen derartiger Angriffe vorbereiten. Da das Internet aus unserem Alltag kaum mehr wegzudenken ist, nehmen auch die von der Cyberkriminalität ausgehenden Gefahren immer stärker sowohl in Anzahl als auch Intensität zu. Cyberkriminalität in all ihren Formen ist eine sich rasant entwickelnde und ausgeklügelte neue Gefahr für die Mitgliedstaaten, Organisationen und Unionsbürger im 21. Jahrhundert, die immer häufiger auftritt, immer komplexer wird und keine Ländergrenzen kennt;

5.

ist sich der erheblichen Fortschritte bewusst, die die EU bislang zur Stärkung des Schutzes der Bürger vor Online-Kriminalität erzielt hat, u.a. durch den Vorschlag von Rechtsvorschriften über Angriffe auf Informationssysteme und die Lancierung des Globalen Bündnisses gegen sexuellen Missbrauch von Kindern im Internet. Mit diesem Maßnahmenpaket sollen frühere Maßnahmen, die u.a. auch in der Digitalen Agenda für Europa (1) aus dem Jahr 2010 aufgezeigt wurden, vorangebracht und eine robuste europäische Cyberverteidigungspolitik konzipiert werden. Diesbezüglich fordert er die Mitgesetzgeber auf, rasch eine Übereinkunft über den von ihnen derzeit diskutierten Kommissionsvorschlag für eine Richtlinie über Angriffe auf Informationssysteme (2) zu erzielen;

6.

unterstützt die ehrgeizige Zielsetzung der Strategie, da sie nicht nur auf die Harmonisierung der Cybersicherheitskapazitäten der Mitgliedstaaten und die Zusammenführung der verschiedenen bestehenden und vorgeschlagenen Maßnahmen in diesem Bereich abhebt, um gemeinsame Normen und gleiche Wettbewerbsbedingungen zu schaffen, sondern auch für Koordinierung und Kohärenz zwischen den drei Politikbereichen (Strafverfolgung; Digitale Agenda; Verteidigungs-, Sicherheits- und Außenpolitik) sorgen will, deren Zuständigkeiten nicht in ein und derselben Hand liegen;

7.

regt an, dass dieses Maßnahmenpaket von den Erfahrungswerten, die von den nationalen Regierungen erfasst werden, profitieren könnte und eine Reihe harmonisierter Normen für Netz- und Informationssicherheit beinhalten sollte;

8.

begrüßt die in diesem Maßnahmenpaket im Hinblick auf die Politikgestaltung gewählte Vorgehensweise, bei der viele Interessenträger einbezogen werden. In diesem Maßnahmenpaket wird auch die Bedeutung der Zusammenarbeit zwischen öffentlichem und privatem Sektor und des Aufbaus echter Partnerschaften mit entsprechenden Ressourcen anerkannt. Ferner wird auf die Verwirklichung des digitalen Binnenmarktes hingearbeitet, indem ein sicheres, geschütztes und prosperierendes digitales Umfeld für Unternehmen, Regierungen und Bürger geschaffen wird;

9.

begrüßt die in der Richtlinie vorgeschlagenen Maßnahmen, u.a. die Empfehlung, die Mitgliedstaaten zur Aufstellung einer nationalen NIS-Strategie und zur Bildung von IT-Notfallteams (Computer Emergency Response Teams, CERTs), die mit der Europäischen Agentur für Netz- und Informationssicherheit (ENISA) zusammenarbeiten, zu verpflichten sowie die Schaffung eines klaren Kooperationsmechanismus zwischen den Mitgliedstaaten und der Europäischen Kommission, um Frühwarnungen vor Sicherheitsrisiken und -vorfällen in einer sicheren Infrastruktur auszutauschen. Diese Maßnahme und der mit der Richtlinie verfolgte Regulierungsansatz sollten erheblich zur Verbesserung der Kohärenz, zur Schaffung eines gemeinsamen Mindestniveaus für die Abwehrbereitschaft der Mitgliedstaaten und zur Stärkung der Cyberabwehrkapazitäten in der gesamten EU beitragen;

10.

fordert das Europäische Parlament und den Rat auf, den Vorschlag für eine Richtlinie über Maßnahmen zur Gewährleistung einer hohen gemeinsamen Netz- und Informationssicherheit in der Union zügig zu verabschieden;

11.

schlägt vor, dass weitere Details über die Methoden der Mitgliedstaaten zur Erfassung und Meldung von Daten über die Cyberkriminalität sowie spezifische Erläuterungen zur Durchführung von Maßnahmen in das Maßnahmenpaket einfließen könnten. Gemeinsame Berichterstattungsmechanismen und eine weitere Klärung der Anforderungen für die Meldepflicht sind von grundlegender Bedeutung, um Unsicherheit und mangelnde Kohärenz in Bezug auf die Frage zu beseitigen, wie eine für die NIS zuständige nationale Behörde NIS-Vorfälle mit "erheblichen Auswirkungen" definiert und bewertet. Außerdem muss bei der Einrichtung einer für die NIS zuständigen nationalen Behörde die Aufteilung der Zuständigkeiten innerhalb der Mitgliedstaaten berücksichtigt werden, insbesondere in den Mitgliedstaaten mit starken föderalen oder dezentralisierten Strukturen;

12.

äußert daher Bedenken in Bezug auf bestimmte regulatorische und rechtliche Aspekte des Maßnahmenpakets, insbesondere in Bezug auf die fehlende Klarheit betreffend die Festlegung der Kriterien, die ein Mitgliedstaat erfüllen muss, um zur Teilnahme am sicheren System für den Informationsaustausch zugelassen zu werden, sowie die weitere Spezifikation für Auslöser von Frühwarnungen und die Festlegung der Umstände, unter denen für Marktteilnehmer und öffentliche Verwaltungen die Meldepflicht gilt. Das Fehlen klarer Bestimmungen zu diesen Punkten beeinträchtigt die Rechtssicherheit;

13.

zeigt sich besorgt, dass die Richtlinie in regulatorischer Hinsicht für Unternehmen und Behörden eine unnötige Belastung mit sich bringen könnte. Eine Überschneidung der regulatorischen Maßnahmen muss auf alle Fälle vermieden werden; gleichzeitig muss sichergestellt werden, dass jedwede zusätzliche Regulierung im Einklang mit dem Grundsatz der Verhältnismäßigkeit steht. Dies gilt insbesondere für Organisationen, die bereits einer Verpflichtung zur Meldung von Vorfällen unterliegen, die weitgehend mit der hier vorgeschlagenen Meldepflicht vergleichbar ist;

14.

empfiehlt, dass die Europäische Kommission einen Aktionsplan veröffentlicht, in dem sie aufzeigt, wie die in diesem Maßnahmenpaket enthaltenen ehrgeizigen Ziele verwirklicht werden können. In diesem Aktionsplan müssen auch Anhaltspunkte für die Bewertung und Bemessung des Wirkungsgrads der Strategie geboten werden, um festzustellen, ob eine Zusammenarbeit stattfindet und Erfolge erzielt werden;

15.

fordert die Mitgliedstaaten auf, nationale Cybersicherheitsstrategien zur Flankierung der neuen EU-Strategie zu entwickeln (bis 2012 hatten nur zehn Mitgliedstaaten eine derartige Strategie aufgestellt). Die Komplementarität zwischen den nationalen Strategien und der EU-Strategie ist von grundlegender Bedeutung für die Gewährleistung der notwendigen Kohärenz. Außerdem müssen auch die EU-Maßnahmen bestehende Strukturen und bewährte Verfahren in den Mitgliedstaaten ergänzen;

16.

begrüßt die geplanten Maßnahmen der Europäischen Kommission zur Stärkung der Cybersicherheitskapazitäten der EU, u.a. den Start eines Pilotprojekts zur Bekämpfung von Botnets und Schadprogrammen, das Engagement zur Verbesserung der Zusammenarbeit zwischen den nationalen CERTs, der ENISA und dem neuen Europäischen Zentrum zur Bekämpfung der Cyberkriminalität (EC3), den Aufbau eines Netzes nationaler Exzellenzzentren für die Bekämpfung der Cyberkriminalität, den Start einer öffentlich-privaten Plattform für NIS-Lösungen, die Anreize für die Einführung sicherer IKT-Lösungen entwickeln soll, sowie das Ziel der Strategie, alle einschlägigen Interessenträger zusammenzubringen, um in einem Jahr die Fortschritte zu überprüfen;

17.

betont, dass für eine erfolgreiche Cybersicherheitsstrategie eine enge Zusammenarbeit zwischen den NIS-Behörden und den Strafverfolgungsbehörden erforderlich ist. Hierfür müssen die Strafverfolgungsbehörden systematisch über Vorfälle informiert werden, bei denen ein schwerwiegender krimineller Hintergrund vermutet wird;

18.

erachtet die in dem Maßnahmenpaket dargelegten Prioritäten als ausgewogen und angemessen. Diese Prioritäten, u.a. Schutz der Grundrechte, der personenbezogenen Daten und der Privatsphäre, eine effiziente partizipative Governance und eine gemeinsame Verantwortung für die Gewährleistung der Sicherheit, sind allesamt Bereiche, in denen die Städte und Regionen als Eigentümer von Informationen des öffentlichen Sektors eine Schlüsselrolle übernehmen sollten;

19.

schlägt vor, dass die Regionen neben den Mitgliedstaaten als die wichtigsten Verfechter einer engeren Zusammenarbeit zwischen Herstellern und Nutzern der IKT-Innovationen in den unterschiedlichsten Bereichen der Regierungen und Verwaltungen einschl. Cybersicherheit und Datenschutz anerkannt werden sollten;

20.

betont, dass mit diesem neuen Maßnahmenpaket Prävention, Erkennung und Reaktion auf Cybervorfälle gestärkt sowie ein besserer Informationsaustausch und eine stärkere Koordination zwischen den Mitgliedstaaten und der Europäischen Kommission in Bezug auf große Cybervorfälle angestoßen werden sollten. Hierfür ist eine echte Partnerschaft zwischen den Mitgliedstaaten, den EU-Institutionen, den lokalen und regionalen Gebietskörperschaften, dem privaten Sektor und der Zivilgesellschaft erforderlich;

21.

weiß, dass für die Bekämpfung von Cyberbedrohungen umfassendere Ressourcen notwendig sind, um das Bewusstsein für die Gefahren der Cyberkriminalität und die Notwendigkeit einer effizienten und angemessenen Cybersicherheit zu schärfen. Unter dem Blickwinkel der Multi-Level-Governance müssen die lokalen und regionalen Gebietskörperschaften in einem soliden Cybersicherheitskonzept berücksichtigt werden; sie müssen umfassend und wirksam in die Governance von IKT-Initiativen eingebunden werden;

22.

ist überzeugt, dass den lokalen und regionalen Gebietskörperschaften bei der Bekämpfung von Cyberkriminalität, der Erhebung einschlägiger Daten und auf dem Gebiet des Datenschutzes eine Schlüsselrolle zukommt, da Sicherheitsverletzungen eine Gefahr für öffentliche Versorgungsdienste wie die lokale Wasser- und Energieversorgung sind und die Gebietskörperschaften selbst viele digitale Informatikprodukte und -dienste nutzen und verwalten. Sie sind auch in zunehmendem Maße für die Erbringung beispielsweise digitaler Dienste für die Bürger und Gemeinschaften sowie von NIS-Kursen in Schulen zuständig. Regierungen, auch auf lokaler und regionaler Ebene, müssen die Zugänglichkeit und Offenheit des Cyberraums sicherstellen, die Grundrechte online respektieren und schützen und die Zuverlässigkeit und Interoperabilität des Internets aufrechterhalten;

23.

schlägt vor, dass die lokalen und regionalen Gebietskörperschaften aufgrund ihrer Befugnisse und ihrer Schlüsselrolle bei der Planung und Umsetzung von Maßnahmen im IKT-Bereich (insbesondere betreffend Aspekte wie Schutz der Privatsphäre, Datenschutz und Cybersicherheit) mit Blick auf eine bessere Rechtsetzung von den EU-Institutionen und Mitgliedstaaten sowohl bei der Gestaltung als auch bei der Durchführung von Maßnahmen zur Verwirklichung der europäischen Digitalen Agenda systematisch konsultiert werden sollten. Es ist bedauernswert, dass im Zuge der Ausarbeitung dieses Richtlinienvorschlags keinerlei Anstrengungen unternommen wurden, die Standpunkte der lokalen und regionalen Gebietskörperschaften einzuholen. Wie im Protokoll über die Zusammenarbeit zwischen der Kommission und dem Ausschuss der Regionen (3) verankert, hat sich der Ausschuss bereiterklärt, die Europäische Kommission bei Konsultationen im Vorfeld des Gesetzgebungsverfahrens zu unterstützen;

24.

empfiehlt, in Artikel 14 Ziffer 1 der Richtlinie Maßnahmen aufzunehmen, die auf lokaler und regionaler Ebene umzusetzen sind, wie die Festlegung eines Verfahrens für Risikobewertung und -management, die Stärkung der Politik für die Informationssicherheit, die größere Sensibilisierung für Fragen der Cybersicherheit oder die Verbesserung der digitalen Kompetenzen und eSkills;

25.

unterstreicht, dass Partnerschaften zwischen allen einschlägigen Akteuren auf nachgeordneter Ebene gefördert und ausgebaut werden sollten, um koordinierte Maßnahmen für die Cybersicherheit zu entwickeln und derartige Maßnahmen auf nationaler und EU-Ebene zu bereichern und somit die Cyberkriminalität zu bekämpfen sowie ihre Auswirkungen aufgrund direkter finanzieller Verluste oder des Diebstahls geistigen Eigentums, von Kommunikationsunterbrechungen und der Schädigung unternehmenskritischer Daten zu minimieren;

26.

hält fest, dass die beiden Bedingungen für die Einhaltung des Subsidiaritätsprinzips, namentlich Notwendigkeit für ein Handeln der EU und Mehrwert der EU-Maßnahmen, alles in allem erfüllt zu sein scheinen. Die vorgeschlagenen Maßnahmen sind notwendig, weil sie transnationale Aspekte betreffen, die von den Mitgliedstaaten und/oder Gebietskörperschaften alleine nicht korrekt geregelt werden können. Die vorgeschlagenen Maßnahmen dürften auch einen deutlichen Nutzen im Vergleich zu einem Handeln auf nationaler, regionaler oder lokaler Ebene im Alleingang bringen, da beispielsweise personenbezogene Daten immer schneller über nationale Grenzen, und zwar sowohl Binnen- als auch Außengrenzen, hinweg verbreitet werden. Außerdem werden rechtliche Verpflichtungen auf EU-Ebene klar dazu beitragen, gleiche Wettbewerbsbedingungen zu schaffen und Gesetzeslücken zu schließen;

27.

begrüßt, dass die Grundsätze von Subsidiarität und Verhältnismäßigkeit in der Richtlinie grundsätzlich gewahrt werden. Angesichts der grenzübergreifenden Aspekte von NIS-Vorfällen und -Risiken können die in der Richtlinie dargelegten Ziele — gemäß dem Subsidiaritätsprinzip — auf EU-Ebene besser erreicht werden. Forschungsergebnisse zeigen, dass die EU-Bürger in Bezug auf den Schutz personenbezogener Daten Vertrauen in Institutionen wie die Europäische Kommission haben (4). Die Richtlinie steht außerdem grundsätzlich im Einklang mit dem Grundsatz der Verhältnismäßigkeit, da gewährleistet wird, dass sie nicht über das zum Erreichen dieser Ziele erforderliche Maß hinausgeht. Bedenken bezüglich der Wahrung des Subsidiaritätsprinzips und der internen Regierungsstrukturen der EU-Mitgliedstaaten bestehen allerdings dahingehend, dass für jeden Mitgliedstaat jeweils nur eine zuständige Behörde bzw. ein nationales CERT-Team vorgesehen ist;

28.

vertritt die Ansicht, dass die vorgeschlagenen Maßnahmen über den Anwendungsbereich der für das Maßnahmenpaket gewählten Rechtsgrundlage, namentlich Artikel 26 und 114 AEUV, hinausgeht, da der Vorschlag sämtliche öffentliche Verwaltungsinformationssysteme erfasst, auch interne Informationssysteme wie das Intranet;

29.

begrüßt, dass die Richtlinie der Charta der Grundrechte der Europäischen Unions gerecht wird. Die gleichen Normen, Grundsätze und Werte, für die die EU "offline" eintritt, sollten auch "online" gelten. IKT sollten den Bedürfnissen aller Mitglieder der Gesellschaft Rechnung tragen, auch derjenigen, die von sozialer Ausgrenzung bedroht sind. Die Internetnutzer sollten im Hinblick auf zahlreiche Anforderungen wie Zuverlässigkeit, Sicherheit, Transparenz, Benutzerfreundlichkeit, Interoperabilität sowie Risiko- und Haftungsminderung Mindestnormen erwarten können. Im Interesse des effektiven Grundrechtschutzes, der Rechtssicherheit und zur Wahrung des Parlamentsvorbehalts wird eine konkretere Regelung zur materiell-rechtlichen Ausgestaltung der Standards der Netz- und Informationssicherheit in der Richtlinie selbst angeregt. Hierbei sollen insbesondere grundrechtlichen und datenschutz- und datensicherheitsrechtlichen Anforderungen an die Ausgestaltung der Netz- und Informationssicherheit formuliert werden;

30.

weist darauf hin, dass Bemühungen, die Bürger im Cyberraum zu schützen und zu verteidigen, in einem ausgewogenen Verhältnis zu den Rechten, Freiheiten und Grundsätzen stehen müssen, die den Bürgern in der Grundrechtecharta eingeräumt werden. Die Bedeutung, die den Grundwerten der EU bei der Konzipierung der Maßnahmen für den Cyberraum beigemessen wird, ist zu begrüßen. Wie bereits in früheren Stellungnahmen (5) hervorgehoben, wird es von entscheidender Bedeutung sein, die Einhaltung sämtlicher Sicherheitsanforderungen auf allen Ebenen zu gewährleisten, um einen möglichst guten Schutz der Privatsphäre und der personenbezogenen Daten sicherzustellen. Wichtig ist dabei auch, dass jedweder unerlaubte Zugriff auf persönliche Informationen und das Erstellen von Profilen verhindert wird;

31.

betont, dass zwar private Betreiber in zunehmenden Maße für kritische Infrastrukturen und Online-Dienste verantwortlich sind und die wichtige Rolle des Privatsektors anerkannt werden muss, letztlich jedoch der Staat die Verantwortung für den Schutz der Freiheit und für die Sicherheit seiner Bürger im Cyberraum tragen muss;

32.

hält fest, dass die europaweite Anwendung des Grundsatzes, dass Daten über Bürger und Gegenstände grundsätzlich nur ein einziges Mal registriert werden und es somit nicht erforderlich ist, wiederholt verschiedene Formulare auszufüllen, wesentlich dazu beitragen wird, den Bürgern unnötige Bürokratie zu ersparen und die Kosten für die öffentliche Verwaltung zu senken. Daher ist dafür Sorge zu tragen, dass datenschutzrechtliche Belange gewahrt bleiben;

33.

unterstreicht, dass für den Aufbau wirksamer Cyberabwehrkapazitäten die Mitarbeiter, auch der lokalen und regionalen Gebietskörperschaften, geschult und fortgebildet werden müssen. Es sollten umfassende Schulungsmaßnahmen zu vertrauens- und sicherheitsbezogenen Fragen für alle Mitarbeiter durchgeführt werden — vor allem aber für technisches Fachpersonal, für Personal, das unmittelbar für Sicherheitsverfahren zuständig ist, die die Anwendung unterschiedlicher Methoden beinhalten, und für an Innovations- und Modernisierungsprozessen allgemein bzw. indirekt beteiligtes Personal. Eine kontinuierliche Weiterbildung ist ein wichtiger Erfolgsgarant für elektronische Behördendienste vor Ort; lokale und regionale Gebietskörperschaften spielen auch eine immer größere Rolle bei der Bereitstellung von Informationen und Orientierungshilfen für die Bürger, damit sie die Systeme korrekt nutzen und Cybergefahren erkennen können (6);

34.

betont, dass das "Engagement der Leitungsebene" ein sehr wichtiger Erfolgsfaktor ist. Aus diesem Grund ist auch eine gezielte Ausbildung der Führungsstäbe und Leitungsorgane erforderlich, um sie zu sensibilisieren und ihnen geeignete Voraussetzungen für den Aufbau einer Sicherheitskultur in ihren jeweiligen Organisationen zu geben;

35.

nimmt die Verstärkung von Ausbildungs- und Schulungsmaßnahmen durch die Einführung von NIS-Ausbildungsprogrammen und die Veranstaltung eines Cybersicherheitswettbewerbs im Jahr 2014 zur Kenntnis. Dabei sollten bestehende Veranstaltungen in den Mitgliedstaaten berücksichtigt und der Austausch bewährter Verfahren gefördert werden. Der Ausschuss begrüßt die Absicht, mit dieser Strategie NIS in die Lehrpläne aufzunehmen, betont jedoch, dass Bildung in den Zuständigkeitsbereich der Mitgliedstaaten fällt und für die Verwirklichung dieses Ziels bis 2014 erhebliche Ressourcen und Planungsanstrengungen erforderlich sind;

36.

weist drauf hin, dass der Schutz der Privatsphäre von bestimmten Faktoren abhängt, einschl. der Behördenstruktur (die Mehrheit ist auf lokaler Ebene angesiedelt), der Konvergenz des EU-Rechtsrahmens, der Förderung einer innovativen Kultur bei den Mitarbeitern der Behörden — u.a. durch die Nutzung eines gemeinsamen Ehrenkodex — und bei den Bürgerinnen und Bürgern — durch die Festlegung der Verbraucherrechte in Bezug auf elektronische Produkte und die Verbesserung ihres Wissens über ihre einschlägigen Rechte — sowie der Verwaltung der IKT-Anwendungen;

37.

bekräftigt, dass die Entwicklung und Anwendung technischer Lösungen für den Umgang mit illegalen Inhalten und schädlichem Verhalten im Online-Umfeld angeregt und unterstützt sowie die Zusammenarbeit und der Austausch empfehlenswerter Verfahren zwischen einer breiten Palette von Akteuren auf lokaler, regionaler, europäischer und internationaler Ebene gefördert werden sollten. Diesbezüglich sind die Beratungsdienste (Helplines) für Kinder, Eltern und Betreuer, Hotlines zur Meldung von Missbrauch und Softwaresysteme für eine leichtere Ermittlung missbräuchlicher Inhalte sowie zu deren einfacher und rascher Meldung von grundlegender Bedeutung;

38.

empfiehlt, alles daran zu setzen, den geringen Prozentsatz an Unternehmen in der EU zu steigern, die formell eine IKT-Sicherheitspolitik festgelegt haben (26% im Januar 2012) (7). Unternehmen aller Größenordnungen müssen zu Investitionen in die Cybersicherheit angehalten werden, die auch als Marketing-Argument für den Gewinn neuer Kunden genutzt werden und die verheerenden Auswirkungen der Cyberkriminalität abfedern können. Die Unternehmen sollten einen wirtschaftsorientierten und technologiegestützten Ansatz für ihre Cybersicherheit in Betracht ziehen und vorrangig ihre kritischsten Aktiva bzw. Verfahren schützen;

39.

unterstreicht, dass angesichts des enormen Potenzials der IKT für die europäische Wirtschaft (sie erwirtschaften derzeit beinahe 6% des BIP der EU (8)) konkrete Maßnahmen erforderlich sind, um das zunehmende Phänomen der Cyberkriminalität zu bewältigen und das Vertrauen der Bürger und Unternehmen in ein sicheres Internet wiederherzustellen (und so die Zahl der Internetnutzer in der EU, die über die Sicherheit u.a. von Online-Zahlungen beunruhigt sind (9), zu verringern);

40.

weist darauf hin, dass zur Senkung der erheblichen durch Cyberkriminalität verursachten Kosten und zur Stärkung des Vertrauens der Verbraucher dringend Anstrengungen auf lokaler, regionaler, nationaler und EU-Ebene erforderlich sind, um Cyberverbrechern das Handwerk zu legen;

41.

schlägt vor, weitere Informationen über Entwicklung und Schutz von Cloud Computing, das ein beträchtliches Wirtschaftspotenzial aufweist, in die Strategie aufzunehmen. Die rasante Zuwachsrate der Verwendung mobiler elektronischer Geräte scheint ungebremst. Laut Gartner werden bis 2016 mindestens die Hälfte aller Unternehmensmitarbeiter darüber auf ihre E-Mails zugreifen (10). Es gilt, neue Probleme und Chancen in Verbindung mit mobilen elektronischen Geräten und Cloud Computing zu analysieren. Außerdem ist für Cloud Computing eine angemessene Architektur erforderlich, um optimale Sicherheit zu gewährleisten (11). So hat der Ausschuss bereits seine Sorge geäußert, dass in der vor Kurzem veröffentlichten Mitteilung der Europäischen Kommission zu Cloud-Computing der Zusammenhang zwischen der vorgeschlagenen Strategie und anderen Aspekten wie der Gewährleistung von Datensicherheit, den Urheberrechten oder der Verbesserung der Zugänglichkeit und Portabilität der Daten nicht angemessen berücksichtigt wird (12);

42.

ist der Meinung, dass angesichts der globalen, vernetzten und grenzüberschreitenden Gefahr, die von der Cyberkriminalität ausgeht, Zusammenarbeit und Dialog auf internationaler Ebene über die EU-Grenzen hinaus gefördert werden müssen, um ein wirklich globales und koordiniertes Cybersicherheitskonzept zu verwirklichen. Diesbezüglich müssen alle Länder dazu aufgefordert werden, sich zur Einhaltung des Übereinkommens des Europarats über Computerkriminalität (Budapester Übereinkommen) (13) zu verpflichten. Außerdem ist eine kontinuierliche Zusammenarbeit auf bilateraler Ebene, insbesondere mit den USA, und auf multilateraler Ebene mit einer Reihe von internationalen Organisationen von grundlegender Bedeutung;

43.

betont, dass die Koordination zwischen bestehenden und künftigen Finanzierungsinstrumenten wie "Horizont 2020", der EFC (European Framework Cooperation) und dem Fonds für innere Sicherheit verbessert werden muss, um einen besser koordinierten Ansatz für Investitionen in den Cyberraum sicherzustellen;

44.

wirft die Frage auf, ob Mittel in Höhe von 1,25 Mio. EUR ausreichen, um eine robuste und angemessen NIS-Infrastruktur aufzubauen, und zeigt sich enttäuscht, dass der Haushalt für die Fazilität "Connecting Europe" in der Vereinbarung des Rates über den mehrjährigen Finanzrahmen 2014-2020 vom 8. Februar 2013 gekürzt wurde. Es bedarf einer soliden und umfassenderen Haushaltsgrundlage, um die finanzielle Unterstützung für wichtige IKT-Infrastrukturen, die Vernetzung der NIS-Kapazitäten der Mitgliedstaaten und somit eine verbesserte Zusammenarbeit in der EU sicherzustellen.