Casper befasst sich mit dem EU-Cybersicherheitsgesetz

EU-Cybersicherheitsgesetz: Harmonisierung, Interoperabilität und Resilienz gewünscht

Casper Klynge Casper Klynge   |

EU-Cybersicherheitsgesetz: Harmonisierung, Interoperabilität und Resilienz sollten im Mittelpunkt stehen.

Brüssel stellt demnächst die Vorlage des überarbeiteten EU-Cybersicherheitsgesetz vor. Damit bietet sich die Chance für stärkere Grundlagen und ein ehrgeizigeres Gesetz, das sich auf Interoperabilität konzentriert und die Cyberresilienz in der gesamten EU verbessert.

Zusammenfassung (TL; DR):

  • Die Cybersicherheitsbranche hat seit der Verabschiedung des EU-Cybersicherheitsgesetz im Jahr 2019 enorme Veränderungen durchlaufen.
  • Derzeit gibt es verschiedene Cybersicherheitsvorschriften, die in unterschiedlichem Tempo und Reifegrad implementiert werden, was dazu führt das einige der Vorlagen in den EU-Mitgliedstaaten auf mindestens 27 verschiedene Arten umgesetzt werden.
  • Als erster Schritt um die Fragmentierung des EU-Cybersicherheitsgesetz hinter sich zu lassen muss der ENISA eine erhebliche Aufstockung der Ressourcen und Finanzmittel gewährt werden, die der übertragenen Aufgabe angemessen ist.

Die Cybersicherheitsbranche hat seit der Verabschiedung des Gesetzes im Jahr 2019 enorme Veränderungen durchlaufen. Der weit verbreitete Einsatz von generativer KI und der damit einhergehende Anstieg von Projekten mit agentenbasierter KI haben dazu geführt, dass böswillige Akteure einfallsreichere Wege für ihre Angriffe finden und herkömmliche Abwehrmaßnahmen aushebeln.

Neben der Diversifizierung der Angriffsvektoren bedeuten das rasante Tempo des Wandels in der Technologiebranche und die zunehmende Digitalisierung über alle Sektoren hinweg, dass die Aktualisierung von Cybersicherheitsvorschriften immer komplexer wird. Aus diesem Grund sollte sich jede Überarbeitung des EU-Cybersicherheitsgesetzes darauf konzentrieren, die Union mit den Mitteln auszustatten, um Cybersicherheitsvorschriften und Zertifizierungsrahmen in allen 27 EU-Mitgliedstaaten effektiv umzusetzen. Diese Anstrengungen sollten mit den internationalen Rahmenwerken in Einklang stehen, die Zusammenarbeit zwischen dem öffentlichen und dem privaten Sektor verbessern und die Marktakzeptanz fördern.

EU-Cybersicherheitsgesetz – nur ein notwendiges Regelwerk?

Das ursprüngliche EU-Cybersicherheitsgesetz stellte ein notwendiges Regelwerk dar und hat zweifellos die Cybersicherheit der EU verbessert. Dennoch kann heute durch eine noch engere Zusammenarbeit wesentlich mehr für die Widerstandsfähigkeit getan werden. Derzeit gibt es verschiedene Cybersicherheitsvorschriften, die in unterschiedlichem Tempo und Reifegrad implementiert werden, was dazu führt das einige der Vorlagen in den EU-Mitgliedstaaten auf mindestens 27 verschiedene Arten umgesetzt werden.

Lokale Änderungen in Verbindung mit einem Mangel an harmonisierten Definitionen und Meldepflichten haben einen gegenteiligen Effekt auf die vom EU-Cyber-Acquis beabsichtigte Wirkung hinsichtlich der Resilienz der Cybersicherheit erzielt. Die Europäische Union führt derzeit den Digitalen Omnibus ein, und will damit die verschiedenen Meldepflichten für Vorfälle angleichen, die in den zahlreichen bestehenden Rechtsvorschriften festgelegt sind. Um dieses Ziel vollständig umzusetzen, muss sichergestellt werden, dass das überarbeitete Mandat der ENISA mit ihren neuen Verpflichtungen gemäß NIS2 und dem Cyber Resilience Act in Einklang steht.

Als erster Schritt um die Fragmentierung des EU-Cybersicherheitsgesetz hinter sich zu lassen muss der ENISA eine erhebliche Aufstockung der Ressourcen und Finanzmittel gewährt werden, die der übertragenen Aufgabe angemessen ist. Mit ausreichenden Ressourcen kann die ENISA in die Lage versetzt werden, enger mit den nationalen Cybersicherheitsbehörden zusammenzuarbeiten und wirksame, robuste, grenzüberschreitende Rahmenwerke entwickeln sowie einheitliche Standards und Leitlinien mit der Dringlichkeit liefern, die die Bedrohungslage erfordert. Über die Koordinierung hinaus müsste die Rolle der ENISA bei der Überwachung der Bedrohungslage und der Bereitstellung zentraler Informationen im Rahmen der Überarbeitung erheblich gestärkt werden. Nur so kann sichergestellt werden, dass Organisationen neuen Risiken einen Schritt voraus sind.

Straffung der Entwicklung neuer IKT-Zertifizierungssysteme

Schließlich sollte sich die Überarbeitung des EU-Cybersicherheitsgesetz auf die Straffung der Entwicklung neuer IKT-Zertifizierungssysteme konzentrieren. Diese Zertifizierung hat sich in den letzten Jahren als komplexer Prozess erwiesen, da bisher nur ein EU-System verabschiedet wurde. Die Unterstützung eines Rahmens, der die Einbeziehung von Experten in die Entwicklung der technischen Kriterien fördert, ist ein entscheidender Faktor für eine schnellere und skalierbarere Einführung und Umsetzung solcher Systeme.

Letztendlich sollte jede Überarbeitung des EU-Cybersicherheitsgesetzes darauf abzielen, die Probleme der Fragmentierung und Isolation durch stärkere Harmonisierung und Zusammenarbeit anzugehen. Die Bedrohungsakteure werden nicht tatenlos zusehen, und die ENISA muss das Potenzial zur Vereinheitlichung erhalten, damit grenzüberschreitende Bedrohungsinformationen vorangetrieben werden können und eine Grundlage für gemeinsame Praktiken geschaffen wird, die in der gesamten Region übernommen werden können.

Weitere Inhalte zum Thema

Logo Newsletter IT-Sicherheit

Nichts mehr verpassen!

Mit Klick auf „Newsletter anmelden“ erhalten Sie unseren Newsletter. Die Anmeldung wird erst aktiv, nachdem Sie den Bestätigungslink in der E-Mail angeklickt haben. Datenschutzerklärung

Autor

Zurück zur Blog-Übersicht