Der Ausschuss für Industrie, Forschung und Energie (ITRE) des Europäischen Parlaments hat am Donnerstag (7. Dezember) den Berichtsentwurf des Cyber-Solidaritätsgesetzes angenommen. Das Dossier hängt jedoch weiterhin im Ministerrat fest.
Das Cybersicherheitsgesetz ist ein Gesetzesvorschlag zur Stärkung der EU-Kapazitäten im Bereich der Cyberresilienz, um auf groß angelegte Cyberangriffe zu reagieren. Dazu soll eine „Cyber-Reserve“ aus zertifizierten, vertrauenswürdigen Anbietern eingerichtet werden, die Präventions- und Reaktionsmaßnahmen auf Cyberangriffe durchführen.
Mit der Annahme des Verhandlungsmandats im federführenden Ausschuss hoffen die Parlamentarier, im nächsten Jahr mit den interinstitutionellen Verhandlungen beginnen zu können. Bei einem Ministertreffen am Dienstag äußerten sich jedoch viele EU-Staaten skeptisch über den Vorschlag und forderten, die Überschneidung bestehender Strukturen zu vermeiden.
„Diese Gesetzgebung zielt darauf ab, die Zusammenarbeit zwischen den Mitgliedstaaten zu verstärken, Kapazitäten aufzubauen und Kompetenzen schnell zu entwickeln, um widerstandsfähiger zu sein und unsere Demokratien und das Wohlergehen der Bürger zu bewahren“, sagte Lina Gálvez Muñoz, Berichterstatterin und stellvertretende Vorsitzende des ITRE-Ausschusses, die das Dossier geleitet hat, gegenüber Euractiv.
Die neueste Fassung des Berichtsentwurfs enthält Änderungen, die sich mit Haushaltsfragen, einem besseren Informationsaustausch zwischen dem öffentlichen und dem privaten Sektor über Cyberbedrohungen und mit Querverbindungen zu anderen Initiativen befassen.
Weitere wichtige Aspekte sind der Zugang zu Informationen über Cyberbedrohungen für länderübergreifende Sicherheitsoperationszentren (SOCs), der Ausschluss von Ländern, die nicht Teil des Übereinkommens über das öffentliche Beschaffungswesen sind, und konkretere Maßnahmen für Evaluierungszwecke.
„Es ist gut, dass das Parlament klargestellt hat, dass die Reserve nur aus vertrauenswürdigen Anbietern bestehen sollte, die nicht übermäßig von Regierungen aus Drittländern kontrolliert oder beeinflusst werden, die keine seriösen Partner sind“, sagte die EVP-Abgeordnete Angelika Niebler gegenüber Euractiv.
Die wichtigsten Änderungen
Eine der wichtigsten Änderungen des ursprünglichen Textes bezieht sich auf den Haushalt. Neue Initiativen wie der Cybersicherheitsmechanismus und die Cyber-Reserve waren für den Zeitraum zwischen 2021 und 2027 im mehrjährigen Finanzrahmen (MFR) nicht vorgesehen.
„Ich finde es problematisch, dass die Kommission vorgeschlagen hat, Mittel aus KI-Projekten und der Kompetenzentwicklung umzuverteilen, um diese neuen Maßnahmen zu finanzieren. Starke und vielfältige Arbeitskräfte im Bereich der Cybersicherheit sind die Grundlage für eine widerstandsfähige Cybersicherheitspolitik“, betonte Niebler.
Mit der Kürzung des Budgets für die Cyber-Reserve will das EU-Parlament sicherstellen, dass die neuen Initiativen so wenig wie möglich Auswirkungen auf die Mittelkürzungen für andere Prioritäten des Programms Digitales Europa (DEP) haben.
„Der Umfang der Finanzmittel für die Cybersicherheits-Reserve […] sollte in erster Linie aus den nicht zugewiesenen Mitteln innerhalb der Obergrenzen des MFR stammen oder durch nicht-thematische besondere Instrumente des MFR bereitgestellt werden“, heißt es in dem Berichtsentwurf.
Die EU-Agentur für Cybersicherheit ENISA sollte zusätzliche Mittel erhalten, um die Einrichtung der EU-Cyber-Reserve zu unterstützen, ohne das DEP zu gefährden.
Für die Bearbeitung von Anfragen aus der EU-Cyber-Reserve ist nun eine Frist von 24 Stunden vorgesehen. In dem Berichtsentwurf wird die Cyber-Reserve außerdem beauftragt, die Förderung von Kleinstunternehmen, klein- und mittelständischen Unternehmen, Start-ups und Investitionen in Forschung und Innovation für modernste Technologien sicherzustellen.
Um Überschneidungen mit ähnlichen Cyber-Reserve-Initiativen zu vermeiden, ist die Kommission für den Austausch mit nationalen Regierungen und der NATO zuständig.
Neu eingerichtete SOCs sollten die Zusammenarbeit und den Informationsaustausch zwischen öffentlichen und privaten Einrichtungen stärken. Der Text sieht eine engere Zusammenarbeit zwischen den Sicherheitsoperationszentren und den von der Industrie geleiteten Zentren für Informationsaustausch und Analyse (ISAC) vor, was den Austausch von Informationen über Cyberbedrohungen verbessern soll.
Um nationale SOCs oder Computer Security Incident Response Teams (CSIRTs) bei der Erkennung von Bedrohungen und dem Informationsaustausch zu unterstützen, ermöglichen die Änderungen es ihnen jetzt, Telemetrie-, Protokollierungs- und Sensordaten in Bezug auf nationale kritische Infrastrukturen von den verwalteten Sicherheitsanbietern anzufordern.
Länderübergreifende SOCs sollten in der Lage sein, Cyber-Bedrohungsdaten von Unternehmen in gleichgesinnten Ländern zu erwerben. Ausgenommen sind Drittländer, die nicht Vertragspartner des Übereinkommens über das öffentliche Beschaffungswesen (GPA) sind.
Bemerkenswerterweise verhandeln China und Russland derzeit über den Beitritt zum GPA.
Um den Erfolg dieses Gesetzes zu überwachen, beauftragte das EU-Parlament die Kommission, alle zwei Jahre die Wirksamkeit der Maßnahmen zu bewerten und dem EU-Parlament und dem Rat der EU einen Bericht vorzulegen.
Arbeit im Rat
Auf der Sitzung des Rats für Verkehr, Telekommunikation und Energie (TTE), die am Dienstag (5. Dezember) stattfand, nahmen die für Digitales zuständigen Minister den Fortschrittsbericht des Vorschlags zur Kenntnis und waren sich einig, dass auf technischer Ebene mehr Arbeit erforderlich ist, um ein Mandat für Verhandlungen mit dem EU-Parlament zu erhalten.
Vor zwei Wochen hatte der Rat das Dossier bereits auf Botschafterebene erörtert. Zu den wichtigsten Themen gehörten die Zugänglichkeit der Cyber-Reserve für Drittländer, die Rolle der CSIRTs und das Risiko von Überschneidungen zwischen nationalen und internationalen Sicherheits-SOCs und CSIRTs.
Auf technischer Ebene wurden die Rolle der ENISA, die Funktionsweise und Verwaltung der Cyber-Reserve sowie Überschneidungen mit bestehenden Verwaltungsstrukturen und Initiativen, insbesondere der NIS2-Richtlinie, diskutiert.
„Wir hoffen, so bald wie möglich Verhandlungen mit dem Rat aufnehmen zu können, um diese Gesetzgebung zu verwirklichen, die die offene strategische Autonomie der EU stärken wird“, fügte Gálvez Muñoz vom ITRE hinzu.
Quelle : EURACTIV
