EU mit neuem Cybersecurity-Paket – Unternehmen sollten mitziehen

Europa steht unter digitalem Dauerbeschuss. Täglich treffen Cyber- und hybride Angriffe kritische Infrastruktur, Verwaltungen, Krankenhäuser, Administrationen und Unternehmen. Die Angreifer sind hochprofessionelle staatliche Akteure sowie oftmals kriminelle Vereinigungen. Aufgrund der massiven digitalen Angriffe hat die EU-Kommission ein umfassendes neues Cybersecurity-Paket vorgestellt, um die Cybersicherheit in Europa spürbar zu stärken.

Im Kern geht es um eine Revision des Cybersecurity Acts, der bereits 2019 veröffentlicht wurde, also seit sechs Jahren unverändert gilt – in Zeiten galoppierender Entwicklungen in der digitalen Welt eine sehr lange Zeitspanne.

Europa will intensiver auf geopolitische Risiken reagieren

Die EU will ihre Abhängigkeit von unsicheren oder politisch sensiblen Drittstaaten reduzieren. Der überarbeitete Cybersecurity Act soll einen harmonisierten, risikobasierten Rahmen für sichere ICT-Lieferketten (Information and Communications Technology Supply Chain Security) schaffen. Dazu wurden 18 Sektoren der kritischen Infrastruktur definiert, zu denen im Kern die Energieversorgung, die Gesundheitssysteme der Staaten sowie der europäische Transport- und Logistik-Sektor gehören. Die EU schafft mit dieser neuen Auflage des Papiers die Grundlage für ein verpflichtendes Derisking europäischer Mobilfunknetze gegenüber Hochrisiko-Anbietern. Damit wird die bisherige Linie der 5G-Security-Toolbox aus dem Jahr 2021 konsequent weitergeführt.

Mehr Tempo, Transparenz und Bezahlbarkeit

Ein Kernproblem der Cybersicherheitsarchitektur aus dem Jahr 2019 war dessen Komplexität. Nach Ansicht der EU-Kommission dauerten Zertifizierungen zu lange, waren zu teuer und zu wenig harmonisiert.

Das neue European Cybersecurity Certification Framework (ECCF) soll dies nachhaltig ändern und in wesentlichen Punkten verbessern:

• Zertifizierungsschemata müssen künftig innerhalb von zwölf Monaten entwickelt werden.
• Verfahren werden einheitlicher und transparenter.
• Unternehmen können ihre gesamte Cyberresilienz zertifizieren lassen – nicht nur Produkte.
• Zertifikate sollen als praktisches, freiwilliges Compliance-Werkzeug dienen und langfristig Kosten in den Unternehmen senken.

Für europäische Unternehmen entsteht durch Zertifizierungen ein echter Wettbewerbsvorteil, denn Zertifizierungen bescheinigen beispielsweise, dass ein Unternehmen sämtliche EU-Vorschriften einhält, wie die Bestimmungen der NIS-2-Richtlinie oder des Cyber Resilience Acts.

Gezielte Entlastungen für über 28.000 Unternehmen

Die Kommission will auch die Überlastung vieler Unternehmen durch parallele Melde- und Compliance-Pflichten reduzieren und hier einfachere Prozesse einführen.

Die geplanten Änderungen an der NIS-2-Richtlinie sollen:

• die Rechtslage klarer machen,
• Meldewege vereinfachen,
• die Aufsicht über grenzüberschreitende Unternehmen verbessern und
• die Kosten für über 28.000 kleine Mid-Cap-Unternehmen (Unternehmen mit 250 bis 3.000 Mitarbeitern) senken.

Darüber hinaus will die EU die Erfassung von Ransomware-Daten vereinheitlichen, um ein besseres Lagebild zu schaffen. Derzeit handelt es sich um einen Vorschlag der EU, ein voraussichtliches Datum für das Inkrafttreten ist der Januar 2027.

ENISA bleibt zentrale Cyber-Instanz Europas

Seit 2019 hat sich die ENISA (European Union Agency for Cybersecurity, gegründet 2004) zur Zentrale der europäischen Cybersicherheit entwickelt. Die Agentur soll künftig nicht mehr nur beraten, sondern aktiv in die operative Sicherheit Europas eingreifen. Sie wird Frühwarnungen zu Bedrohungen herausgeben, Unternehmen bei der Bewältigung von Ransomware-Angriffen unterstützen und dabei eng mit Europol sowie den nationalen CSIRTs (Computer Security Incident Response Teams) zusammenarbeiten. Gleichzeitig entwickelt sie ein EU-weites System für das Vulnerability Management, das Schwachstellen schneller sichtbar macht und koordiniert adressiert. Mit dem neuen Single Entry Point für Incident Reporting übernimmt die ENISA zudem eine Schlüsselfunktion im europäischen Meldewesen. Und weil Fachkräfte der Engpassfaktor Nummer eins bleiben, baut die Agentur die Cybersecurity Skills Academy weiter aus, um europaweit Kompetenzen zu stärken.