EU-Institutionen stärken Cybersicherheitsagentur und EU-Zertifizierung Politische Einigung bei Verhandlungen erzielt

placeholder ©psdesign1/stock.adobe.com

Die EU-Institutionen haben eine politische Einigung über den Rechtsakt zur Cybersicherheit erzielt. Das Mandat der EU-Cybersicherheitsagentur (Agentur der EU für Netz- und Informationssicherheit, ENISA) soll gestärkt werden. Zudem soll ein EU-Rahmen für die Cybersicherheitszertifizierung von Produk-ten, Prozessen und Diensten geschaffen werden.

Das Europäische Parlament, der EU-Ministerrat und die EU-Kommission haben am 10. Dezember 2018 eine politische Einigung über den Rechtsakt zur Cybersicherheit erzielt. Der Rechtsakt zielt zum einen darauf, das Mandat der EU-Cybersicherheitsagentur (Agentur der EU für Netz- und Informationssicherheit, ENISA) zu stärken. Zum anderen soll ein EU-Rahmen für die Cybersicherheitszertifizierung von Produkten, Prozessen und Diensten geschaffen werden. Die EU-Kommission beschreibt den Rechtsakt in ihrer Pressemitteilung als die erste Binnenmarktvorschrift zur Bewältigung der Herausforderung, die Sicherheit von vernetzten Produkten, von Geräten des Internets der Dinge und von kritischen Infrastrukturen mithilfe solcher Zertifikate zu erhöhen. Durch den Rahmen sollen Sicherheitsmerkmale bereits in der Frühphase der technischen Konzeption und Entwicklung berücksichtigt werden („Security by Design“).

Die EU-Institutionen haben sich nach ersten Informationen darauf geeinigt, dass die EU-Cybersicherheitsagentur personell und finanziell aufgestockt wird und dass die Zusammenarbeit der Mitgliedstaaten im Bereich Cybersicherheit intensiviert werden soll. Die Cybersicherheits-Zertifizierung soll zunächst freiwillig erfolgen. Bis 2023 soll die EU-Kommission evaluieren, inwieweit freiwillige Schemata verpflichtend werden sollen. Der Rechtsakt zur Cybersicherheit sieht drei verschiedene Sicherheitsstufen vor – niedrig, mittel und hoch –, die Auskunft über die Bedeutung des Risikos für Cyberattacken von Produkten, Prozessen und Diensten geben sollen.

Die Verordnung muss sowohl vom Europäischen Parlament als auch vom Ministerrat noch offiziell verabschiedet werden. Danach wird sie im Amtsblatt der EU veröffentlicht. Als Verordnung tritt der Rechtsakt zur Cybersicherheit unmittelbar in Kraft und ist direkt bindend.

Der VKU hat sich während des Gesetzgebungsverfahrens dafür eingesetzt, dass der Rechtsakt zur Cybersicherheit nicht zu unklaren Zuständigkeiten oder redundanten formalen Erfordernissen für kommunale Unternehmen führt. Dazu muss die bewährte Aufteilung zwischen nationalen und europäischen Zuständigkeiten weiterhin gewährleistet bleiben. Bereits etablierte Sicherheitsstandards müssen berücksichtigt werden.