Die neue Cybersicherheitsverordnung zur Festlegung von Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in den Organen, Einrichtungen und sonstigen Stellen der Union ist am 7. Januar 2024 in Kraft getreten.
In der Verordnung werden Maßnahmen für die Einrichtung eines internen Rahmens für Risikomanagement, Governance und Kontrolle im Bereich der Cybersicherheit für jede Einrichtung der Union festgelegt und es wird ein neuer interinstitutioneller Cybersicherheitsbeirat eingerichtet, um dessen Umsetzung durch die Einrichtungen der Union zu überwachen und zu unterstützen. Außerdem wird das Mandat des Reaktionsteams für IT-Sicherheitsvorfälle für die Organe, Einrichtungen und sonstigen Stellen der EU (CERT-EU) erweitert, sodass es künftig als zentrale Stelle für den Austausch von Informationen über Cyberbedrohungen und die Koordinierung der Reaktion auf Sicherheitsvorfälle sowie als zentrales Beratungsgremium und als Diensteanbieter fungieren wird. Entsprechend seinem Mandat wird das CERT-EU in „Cybersicherheitsdienst für die Organe, Einrichtungen und sonstigen Stellen der Union“ umbenannt, behält jedoch die Kurzbezeichnung „CERT-EU“.
Nächste Schritte
Innerhalb des in der Verordnung festgelegten Zeitplans werden die Einrichtungen der Union interne Governance-Prozesse für die Cybersicherheit festlegen und schrittweise die in der Verordnung vorgesehenen spezifischen Maßnahmen für das Management von Cybersicherheitsrisiken einführen. Der Cybersicherheitsbeirat wird eingerichtet und sollte so bald wie möglich einsatzbereit sein, um die strategische Steuerung des CERT-EU im Rahmen seines erweiterten Mandats sicherzustellen, den Einrichtungen der Union Orientierungshilfe und Unterstützung zu bieten und die Umsetzung der Verordnung zu überwachen.
Hintergrund
In seiner Entschließung vom März 2021 hob der Rat der Europäischen Union hervor, wie wichtig ein robuster und kohärenter Sicherheitsrahmen ist, um alle Mitarbeiter/innen, Daten, Kommunikationsnetze und Informationssysteme der EU sowie Entscheidungsprozesse zu schützen. In diesem Zusammenhang kündigte die Kommission im März 2022 den Vorschlag für die Cybersicherheitsverordnung an, und im Juni 2023 erzielten das Europäische Parlament und der Rat eine politische Einigung.
Diese Verordnung steht im Einklang mit den politischen Zielen der Kommission, die in der EU-Strategie für eine Sicherheitsunion und in der EU-Cybersicherheitsstrategie festgelegt sind, und gewährleistet die Kohärenz mit folgenden anderen Gesetzgebungsinitiativen in diesem Bereich:
- der Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union (NIS 2), die hinsichtlich der Grundsätze und Ziele mit dieser Verordnung abgestimmt ist, wobei die Besonderheiten der Einrichtungen der Union berücksichtigt werden;
- dem Rechtsakt zur Cybersicherheit;
- der Empfehlung der Kommission für eine koordinierte Reaktion auf große Cybersicherheitsvorfälle und -krisen.
Die Cybersicherheitsverordnung wurde zusammen mit einem Vorschlag für eine Verordnung über Informationssicherheit vorgelegt, in der Mindestvorschriften und -standards für die Informationssicherheit für alle Organe, Einrichtungen und sonstigen Stellen der EU festgelegt werden. Dieser Vorschlag zielt auf einen sicheren Informationsaustausch zwischen den Organen, Einrichtungen und sonstigen Stellen der EU sowie mit den Mitgliedstaaten auf der Grundlage standardisierter Verfahren und Maßnahmen zum Schutz des Informationsflusses ab. Die Verhandlungen zwischen den beiden gesetzgebenden Organen über diesen Vorschlag haben noch nicht begonnen.
Quote(s)
Da Cyberbedrohungen immer häufiger vorkommen und Cyber-Angriffe immer ausgefeilter werden, benötigen wir ein hohes Cybersicherheitsniveau in allen Einrichtungen der Union, um eine offene, effiziente, sichere und widerstandsfähige öffentliche Verwaltung in der EU zu gewährleisten. Mit der Verordnung wird die Cybersicherheit der Einrichtungen der Union gestärkt und werden der EU-Verwaltung die gleichen Standards auferlegt, die für die Mitgliedstaaten gelten, wie etwa die Richtlinie über ein hohes gemeinsames Cybersicherheitsniveau in der Union, auch bekannt als NIS 2. Die rasche Annahme der Verordnung zeigt die Entschlossenheit der EU bei der Umsetzung dieser Ziele. Nun fordere ich die beiden gesetzgebenden Organe auf, rasch Verhandlungen über die parallele Verordnung über Informationssicherheit aufzunehmen.
Johannes Hahn, Kommissar für Haushalt und Verwaltung
Einzelheiten
- Datum der Veröffentlichung
- 8. Januar 2024
- Autor
- Vertretung in Luxembourg