10.3.2017   

DE

Amtsblatt der Europäischen Union

C 75/124

Berichterstatter:

Thomas McDONOGH

1.1.

Der Europäische Wirtschafts- und Sozialausschuss (EWSA) begrüßt die Mitteilung der Europäischen Kommission zur Stärkung der Abwehrfähigkeit Europas im Bereich der Cybersicherheit und Förderung einer wettbewerbsfähigen und innovativen Cybersicherheitsbranche. Der EWSA teilt die Sorge der Europäischen Kommission über die anhaltende Anfälligkeit Europas für Cyberangriffe und weist darauf hin, dass es im vergangenen Jahr bei mindestens 80 % der europäischen Unternehmen zu mindestens einem Cybervorfall gekommen und die Zahl der sicherheitsrelevanten Vorfälle 2015 branchenübergreifend und weltweit um 38 % gestiegen ist (The Global State of Information Security Survey 2016, PWC). Er stimmt der Kommission darin zu, dass eine Reihe von Maßnahmen erforderlich sind, um die Abwehrfähigkeit Europas im Bereich der Cybersicherheit zu stärken und eine wettbewerbsfähige und innovative Cybersicherheitsbranche zu fördern.

1.2.

Der EWSA begrüßt diese Mitteilung vor allem im Kontext der jüngst verabschiedeten Richtlinie über Netz- und Informationssicherheit (NIS-Richtlinie) (1), mit der die Harmonisierung der Cybersicherheitskonzepte innerhalb der EU angestrebt wird, sowie der übergreifenden Cybersicherheitsstrategie (2), in der die Vorstellungen hinsichtlich der Vermeidung von Cyberstörungen und -angriffen und der Reaktion auf Cybervorfälle, der Förderung der europäischen freiheitlichen und demokratischen Werte sowie der Gewährleistung eines sicheren Umfelds für das Wachstum der digitalen Wirtschaft skizziert werden.

1.3.

Der EWSA schließt sich der Meinung an, dass umfassende Maßnahmen erforderlich sind, um die kritischen digitalen Infrastrukturen und Dienste Europas vor Sicherheitsbedrohungen zu schützen, und stellt zufrieden fest, dass die nun vorgeschlagenen Maßnahmen im Einklang mit vielen seiner in früheren Stellungnahmen (3) unterbreiteten Empfehlungen zur Verbesserung der Cybersicherheit in der EU stehen.

1.4.

Der EWSA begrüßt, dass die Europäische Kommission die vertragliche öffentlich-private Partnerschaft für Cybersicherheit (cPPP) unterzeichnet hat, die Investitionen in die Cybersicherheitsbranche in Höhe von 1,8 Mrd. EUR mit dem Ziel mobilisieren soll, die verstärkte Zusammenarbeit in den frühen Stadien des Forschungs- und Innovationsprozesses und die Entwicklung von Cybersicherheitslösungen für verschiedene Sektoren wie Energie, Gesundheit, Verkehr und Finanzen zu fördern. Insbesondere steht zu hoffen, dass über diese cPPP unionsweit die Weiterentwicklung von Cybersicherheitsunternehmen in der Anschubphase gefördert wird.

1.5.

Der EWSA begrüßt die Absicht der Europäischen Kommission, bis Ende 2017 zu prüfen, ob das Mandat der Agentur der Europäischen Union für Netz- und Informationssicherheit (ENISA) geändert oder ausgeweitet werden muss, und erwartet mit Spannung eine entsprechende Befassung. Nach Meinung des EWSA sollte die ENISA im Fall einer Ausweitung ihres Mandats mehr operationelle Befugnisse zur wirksamen Verstärkung der Sensibilisierung für Cyberbedrohungen und der Abwehrbereitschaft in der gesamten EU sowie eine größere unmittelbare Zuständigkeit für auf die Bürger und die KMU zugeschnittene Bildungs- und Aufklärungsprogramme im Bereich Cybersicherheit erhalten.

1.6.

Um die notwendige Führungsstärke und Integration auf EU-Ebene für die komplexe Umsetzung einer wirksamen europaweiten Cybersicherheitsstrategie sicherzustellen, ersucht der EWSA die Europäische Kommission, die Möglichkeit zu prüfen, den Status der ENISA zu ändern und sie nach dem Vorbild der Europäischen Agentur für Flugsicherheit (EASA) in eine Cybersicherheitsbehörde auf EU-Ebene umzuwandeln. Wenn eine solche Änderung des Mandats der ENISA nicht möglich ist, befürwortet der EWSA die Schaffung einer neuen Cybersicherheitsbehörde.

1.7.

Der EWSA fordert die Europäische Kommission auf, nach dem Vorbild des Reifegradmodells (Capability Maturity Model, CMM) in der IT-Branche die Erarbeitung eines Modells für die Entwicklung und Bewertung der nationalen Cybersicherheit zu erwägen, um den Stand der Cyberresilienz eines jeden Mitgliedstaats objektiv ermitteln zu können.

1.8.

Der EWSA nimmt zur Kenntnis, dass die Europäische Kommission bald prüfen wird, ob die EU-Cybersicherheitsstrategie von 2013 überarbeitet werden muss, und erwartet, zu gegebener Zeit dazu angehört zu werden.

1.9.

In Anbetracht der Bedeutung der Cybersicherheit und der ständig wachsenden Cyberbedrohungen fordert der EWSA eine angemessene Finanzierung und Mittelausstattung des Europäischen Zentrums zur Bekämpfung der Cyberkriminalität (EC3) bei Europol und der Europäischen Verteidigungsagentur (EDA).

1.10.

In Anbetracht der großen Bedeutung, die dem Schutz behördlich gespeicherter personenbezogener Daten gebührt, plädiert der EWSA dafür, Bedienstete in der öffentlichen Verwaltung gezielt in Informations-Governance, Datenschutz und Cybersicherheit fortzubilden.

1.11.

Um die EU umfassend vor Cyberkriminalität und Cyberangriffen zu schützen und um eine starke Cybersicherheitsbranche in Europa aufzubauen, muss eine EU-Cybersicherheitsstrategie und -politik nach Meinung des Ausschusses vor allem folgende Voraussetzungen erfüllen: Führungsstärke der EU; Verbesserung der Sicherheit bei gleichzeitiger Wahrung des Persönlichkeitsrechts und anderer Grundrechte; Sensibilisierung der Bürger und Förderung proaktiven Schutzverhaltens; umfassende Governance der Mitgliedstaaten; sachkundige und verantwortungsbewusste Maßnahmen der Unternehmen; enge Partnerschaften zwischen Regierungen, Privatwirtschaft und Bürgern; angemessene Investitionen; gute technische Standards und ausreichende Investitionen in F+E+I; internationale Zusammenarbeit.

2.1.

In der Mitteilung werden im Einklang mit der EU-Cybersicherheitsstrategie und der Strategie für einen digitalen Binnenmarkt Maßnahmen zur Stärkung der Abwehrfähigkeit Europas im Bereich der Cybersicherheit und zur Förderung einer wettbewerbsfähigen und innovativen Cybersicherheitsbranche in Europa vorgestellt.

2.2.

Die von der Europäischen Kommission dazu vorgeschlagenen Maßnahmen setzen bei den Bestimmungen der NIS-Richtlinie an, um EU-weit die Zusammenarbeit im Bereich Cybersicherheit, den Informationsaustausch, die Ausbildung und die Sicherheitsorganisation auszubauen. Die Europäische Kommission wird ferner die Bewertung der ENISA bis Ende 2017 abschließen und sich zu der Notwendigkeit einer Änderung oder Erweiterung des Mandats der ENISA äußern.

2.2.1.

Die Europäische Kommission wird eng mit den Mitgliedstaaten, der ENISA, dem EAD und anderen einschlägigen Einrichtungen der EU zusammenarbeiten, um eine Ausbildungsplattform zur Cybersicherheit einzurichten.

2.2.2.

Es werden verschiedene Maßnahmen vorgeschlagen, um sektorübergreifende Abhängigkeiten zu berücksichtigen und die Resilienz wichtiger öffentlicher Netzinfrastrukturen zu verbessern, darunter die Entwicklung europäischer sektorbezogener Informationsaustausch- und analysezentren (Information Sharing and Analysis Centres — ISAC) sowie die Zusammenarbeit mit den entsprechenden CSIRT. Die Europäische Kommission schlägt zudem vor, nationalen Behörden die Möglichkeit einzuräumen, die CSIRT mit regelmäßigen Kontrollen wesentlicher Netzinfrastrukturen zu beauftragen.

2.3.

Die von der Europäischen Kommission vorgeschlagenen Maßnahmen heben auch auf die Notwendigkeit ab, Wachstum und Entwicklung einer starken europäischen Cybersicherheitsbranche durch Ausbildung, Investitionen, Schaffung der geeigneten Voraussetzungen auf dem Binnenmarkt sowie einer neuen öffentlich-privaten Partnerschaft für Cybersicherheit, die bis 2020 ein Investitionsvolumen von 1,8 Mio. EUR mobilisieren soll, zu fördern.

2.3.1.

Es wird ferner vorgeschlagen, einen Vorschlag für einen europäischen IT-Sicherheitszertifizierungsrahmen auszuarbeiten und bis Ende 2017 vorzulegen und die Machbarkeit und die Auswirkungen eines handlichen europäischen Rahmens für die Cybersicherheitskennzeichnung zu prüfen.

2.3.2.

Im Hinblick auf mehr Investitionen in die Cybersicherheit in Europa und eine gezielte KMU-Förderung wird die Europäische Kommission die Cybersicherheitskreise für die bestehenden Finanzierungsmechanismen sensibilisieren; die Nutzung von EU-Werkzeugen und Instrumenten vorantreiben, um innovative KMU bei der Suche nach Synergien zwischen dem zivilen Segment und dem verteidigungsbezogenen Segment des Cybersicherheitsmarktes zu unterstützen (so werden das Enterprise Europe Network und das europäische Netz der im Verteidigungssektor engagierten Regionen zum Beispiel den Regionen neue Möglichkeiten bieten, die grenzüberschreitende Zusammenarbeit im Bereich der Güter mit doppeltem Verwendungszweck, einschließlich der Cybersicherheit, zu erproben, und den KMU Gelegenheit geben, Investoren zu finden); prüfen, ob sich der Zugang zu Investitionsmitteln erleichtern lässt, z. B. mittels einer speziellen Investitionsplattform für Cybersicherheit oder anderer Werkzeuge; und eine Cybersicherheitsplattform für intelligente Spezialisierung entwickeln, um Ländern und Regionen, die an Investitionen im Cybersicherheitssektor (RIS3) interessiert sind, zu helfen.

2.3.3.

Außerdem wird die Europäische Kommission zur Förderung der europäischen Cybersicherheitsbranche durch Innovation mit der Branche eine vertragliche öffentlich-private Partnerschaft (cPPP) für Cybersicherheit eingehen; Aufforderungen zur Einreichung von Vorschlägen im Rahmen von Horizont 2020 in Bezug auf die cPPP für Cybersicherheit veröffentlichen und für die Koordinierung der cPPP für Cybersicherheit mit den einschlägigen sektoralen Strategien, den Instrumenten von Horizont 2020 und sektorspezifischen öffentlich-privaten Partnerschaften sorgen.

3.1.

Die digitale Wirtschaft trägt mit über einem Fünftel zum EU-BIP-Wachstum bei. Im Laufe eines Jahres tätigen die meisten Europäer Online-Käufe. Zentral wichtige Energie-, Gesundheits-, Behörden- und Finanzdienste sind digital vernetzt und hängen vom Internet ab. Jedoch sind die für unsere Wirtschaft und Gesellschaft grundlegenden kritischen digitalen Infrastrukturen zunehmend Bedrohungen durch Cyberangriffe ausgesetzt, die unseren Wohlstand und unsere Lebensqualität in Gefahr bringen.

3.2.

Regierungen, Behörden und öffentliche Einrichtungen legen mittlerweile eine Vielzahl personenbezogener Angaben über alle Bürger elektronisch ab. Deshalb sind eine gute Informations-Governance, Cybersicherheit und Datenschutz für alle Bürger EU-weit ausnehmend wichtig; sie müssen Gewissheit haben, dass ihre personenbezogenen Daten und Persönlichkeitsrechte im Einklang mit dem geltenden EU-Recht geschützt werden. Insbesondere gilt dies für personenbezogene gesundheitliche, finanzielle, rechtliche und andere Informationen, die für einen Identitätsdiebstahl missbraucht oder unrechtmäßig an Dritte weitergegeben werden könnten. Es ist unerlässlich, alle Bediensteten im öffentlichen Sektor angemessen in Informations-Governance, Datenschutz und Cybersicherheit fortzubilden.

3.3.

Die Aufklärung der Bürger über persönliche Cybersicherheit und Datensicherheit sollte grundlegender Bestandteil sämtlicher Lehrpläne zur Vermittlung digitaler Kompetenzen sein. Ein von der EU initiiertes Bildungsprogramm kann die Bemühungen der weniger aktiven Mitgliedstaaten untermauern und sicherstellen, dass die Strategie richtig verstanden wird und somit die Befürchtungen über eine Gefährdung des Datenschutzes eingedämmt und das Vertrauen in die digitale Wirtschaft gestärkt werden. Ein solches Programm könnte EU-weit mit Unterstützung der Verbrauchervereinigungen und zivilgesellschaftlichen Organisationen sowie Bildungseinrichtungen für Senioren durchgeführt werden.

3.4.

Jeder Mitgliedstaat sollte seine für industrielle Entwicklung zuständigen Organisationen in die Lage versetzen, den Mittelstand über Cybersicherheitsfragen zu informieren und bei der Durchführung einschlägiger Maßnahmen zu unterstützen. Große Unternehmen können das erforderliche Wissen leicht beschaffen, KMU hingegen müssen hierbei unterstützt werden.

3.5.

Es wäre sinnvoll, den Stand der Cyberresilienz eines jeden Mitgliedstaats objektiv ermitteln zu können, um Vergleiche anzustellen und entsprechend Schwächen zu beheben und Verbesserungen voranzutreiben. Eventuell wäre die Erarbeitung eines Modells für die Entwicklung und Bewertung der nationalen Cybersicherheit nach dem Vorbild des Reifegradmodells (Capability Maturity Model, CMM) in der IT-Branche denkbar, um den Stand der Cybersicherheit und Cyberresilienz der Mitgliedstaaten ermitteln zu können.

3.6.

Eine umfassende Cybersicherheitsstrategie sollte auf folgende Aspekte abheben:

4.1.

Ausgehend von dem in der NIS-Richtlinie skizzierten Rahmen für eine Cybersicherheits-Governance und den in dieser Mitteilung unterbreiteten Maßnahmen sollte die EU in Betracht ziehen, zur Überwindung des fragmentierten Ansatzes zur Verbesserung der Cybersicherheit in der EU eine starke zentrale Cybersicherheitsbehörde nach dem Vorbild der Europäischen Agentur für Flugsicherheit (EASA) oder des in den USA jüngst geschaffenen Federal Chief Information Security Officer (Cybersecurity National Action Plan, White House, 9. Februar 2016) einzurichten, die für die Umsetzung einer Cybersicherheitsstrategie auf EU-Ebene und die Integration der Anstrengungen der verschiedenen einschlägigen Stellen zuständig wäre.

4.2.

Der EWSA ist angesichts der von der ENISA über die Jahre hinweg entwickelten Expertise beeindruckt und geht davon aus, dass die Agentur noch mehr zur Stärkung der Cyberresilienz und Cybersicherheit Europas beitragen könnte. Das ENISA-Mandat sollte um operationelle Befugnisse erweitert werden, um EU-weit das Bedrohungsbewusstsein und die Reaktionsfähigkeit auf Cyberangriffe zu verbessern. Eine Überprüfung des Mandats ist angezeigt, denn der Cybersicherheitskontext hat sich seit der Errichtung der ENISA erheblich verändert. Eventuell könnte auf der Grundlage der NIS-Richtlinie die operationelle Rolle der ENISA ausgeweitet werden, um durch den wirksamen Einsatz ihrer Kompetenzen und die Förderung einer synergetischen Zusammenarbeit mit anderen Institutionen, Agenturen und Gremien der EU und der Mitgliedstaaten wie CERT-EU, dem Europäischen Zentrum zur Bekämpfung der Cyberkriminalität und der Europäischen Verteidigungsagentur ihren Nutzeffekt für die EU, die Mitgliedstaaten, die Bürger und die Unternehmen zu steigern. Die ENISA sollte auch beauftragt werden, in Eigenregie spezifische, an die Bürger und KMU gerichtete Bildungs- und Aufklärungsprogramme über Cybersicherheit durchzuführen.

4.3.

Bei seiner Gründung 2013 stand dem Europäischen Zentrum zur Bekämpfung der Cyberkriminalität (EC3) lediglich ein 7 Mio. EUR umfassender Funktionshaushalt zur Verfügung, also weniger als 10 % des gesamten Europol-Budgets (Europäische Kommission, Memo/13/6 vom 9. Januar 2012, nur in englischer Sprache). 2014 warnte der Direktor des EC3, dass infolge der Haushaltskürzungen merklich weniger Mittel zur Verfügung stünden und es schwierig sei, mit der sich rasch entwickelnden Cybercrime-Szene Schritt zu halten (Interview mit SC Magazine UK vom 1.11.2014). Nach Meinung des EWSA sollte die Mittelausstattung von Europol zur Cybercrime-Bekämpfung angesichts der zunehmenden Bedrohung erheblich aufgestockt werden. Der Europol-Haushalt für 2016 umfasst lediglich 100 Mio. EUR (4).

4.4.

Der EWSA begrüßt die Bestimmungen der NIS-Richtlinie sowie die in der Mitteilung vorgeschlagenen Maßnahmen zur Verbesserung der Zusammenarbeit der Mitgliedstaaten im Bereich der Cybersicherheit. Um die Sicherheit aller Bürger und in Anbetracht der weit vernetzten sensiblen Informationsinfrastrukturen eine starke EU-weite Cyberresilienz zu erreichen, muss im Rahmen der Kooperationsmaßnahmen die wachsende Kluft zwischen den Ländern mit hochentwickelter Cybersicherheits-Expertise und denjenigen mit einem weniger guten Kenntnisstand thematisiert werden.