Das EU-Gesetz zur Cybersolidarität kommt: Das bedeutet es
Inhaltsverzeichnis:
In der EU mangelt es nicht an Gesetzen zur Cybersicherheit. Im vergangenen Jahr wurden Gesetze eingeführt, die Folgendes abdecken: intelligente Geräte, KI-Sicherheit, Finanzdienstleistungen, „wichtig“ und „unverzichtbar“ Entitäten und Sicherheitszertifizierungen. Bislang gab es jedoch keine kontinentale Strategie zur Vorbereitung, Erkennung und Reaktion auf groß angelegte Cybervorfälle in der gesamten EU. EU-Cyber-Solidaritätsgesetz, das im Jahr 2025 deutlich an Dynamik gewinnen dürfte.
Es verspricht viel, verlangt den meisten britischen Organisationen jedoch zum Glück wenig ab.
Warum wir es brauchen
Obwohl die Europäische Kommission den Cyber Solidarity Act im April 2023 vorgeschlagen hat, wurde der Grundstein für seine Schaffung bereits vor einem Jahr gelegt, als Drei Konsortien grenzüberschreitender Security Operations Centres (SOCs) wurden ausgewählt. Es ist kein Zufall, dass Russland Anfang des Jahres in die Ukraine einmarschierte. Die Bedrohung durch staatlich unterstützte digitale Einfälle und gut finanzierte Cybercrime-Gruppen, die ungestraft aus unerreichbaren Gerichtsbarkeiten operieren, dürfte die Pläne für die Tat tatsächlich gefestigt haben.
Wie in NIS 2, DORA, dem Cybersecurity Act, dem Cyber Resilience Act, dem AI Act und anderen Gesetzen anerkannt wird, stellen Cyberangriffe eine wachsende gesellschaftliche und wirtschaftliche Bedrohung für die EU dar. Sie könnten die Stabilität des Finanzsystems und lebensrettender Gesundheitsdienste bedrohen, wie die durch Ransomware verursachten IT-Ausfälle in Krankenhäusern in der gesamten Region zeigen. Sie drohen auch, Fehlinformationen zu verbreiten und Wahlen zu untergraben, ganz zu schweigen von der nationalen Sicherheit. Und Datenschutzverletzungen schüren eine Betrugsepidemie. Zahlungsbetrug allein war 2 Milliarden Euro wert im ersten Halbjahr 2023, während die EU die Cyberkriminalität im Allgemeinen auf Die Kosten belaufen sich auf 5.5 Billionen Euro pro Jahr. Letzteres entspricht über einem Viertel des gesamten BIP der EU.
Laut Microsoft laufen diese Trends zusammen. In seiner jüngsten Digitaler Verteidigungsbericht 2024warnte der Tech-Gigant, dass die Grenzen zwischen nationalstaatlichen und Cybercrime-Aktivitäten zunehmend verschwimmen. Dies bedeutet, dass mehr staatliche Akteure, wie Nordkorea und der Iran, durch finanzielle Gewinne motiviert sind. Und staatlich geförderte Gruppen, die Taktiken, Techniken und Verfahren der Cybercrime (TTPs) einsetzen. Am beunruhigendsten ist vielleicht, dass staatlich unterstützte Hacker ihre Operationen an Cybercrime-Gruppen auslagern, vermutlich um ihre Taten glaubhaft abstreiten zu können. Microsoft hat bereits beobachtet, dass Kreml-Hacker die Hilfe von Storm-0593 in Anspruch nehmen, um ukrainische Organisationen anzugreifen.
Da die Bedrohungslandschaft durch die zunehmenden geopolitischen Spannungen immer undurchsichtiger und undurchsichtiger wird, ist es nur richtig, dass die EU den Aufbau eines regionenweiten Krisenreaktions- und Cyber-Resilienzapparats anstrebt.
Was wird das Gesetz vorschreiben?
Das Gesetz besteht aus drei Hauptelementen. Es soll Folgendes einführen:
Ein europäischer Cybersicherheitsschild: Dieses auch als Europäisches Cybersicherheits-Warnsystem bekannte System wird aus einer Reihe nationaler und transnationaler Sicherheitsoperationszentren (Security Operations Centres, SOCs) im gesamten Block bestehen, die darauf ausgelegt sind, die Leistungsfähigkeit von KI und Analytik zu nutzen, um Bedrohungswarnungen zu erkennen und weiterzugeben.
Ein Cyber-Notfallmechanismus: Ziel ist eine bessere Vorbereitung auf Vorfälle und eine bessere Reaktion, vor allem durch eine EU-Reserve für Cybersicherheit. Diese wird aus ausgewählten „vertrauenswürdigen Anbietern“ aus dem privaten Sektor bestehen, die auf Anfrage der EU oder der Mitgliedstaaten eingesetzt werden können, um bei größeren Sicherheitsvorfällen zu helfen.
Der Cyber-Notfallmechanismus soll außerdem die Idee der gegenseitigen Unterstützung zwischen den von Vorfällen betroffenen Mitgliedstaaten unterstützen. Außerdem sollen kritische Infrastruktursektoren wie das Gesundheitswesen und der Finanzsektor ausgewählt und regelmäßig auf Schwachstellen getestet werden. Die zu testenden Sektoren werden auf der Grundlage einer gemeinsamen Risikobewertung auf EU-Ebene ausgewählt.
Ein Mechanismus zur Überprüfung von Cybersicherheitsvorfällen: Ziel ist die Bewertung und Überprüfung schwerwiegender Vorfälle auf Anfrage der Europäischen Kommission oder nationaler Behörden. Die Sicherheitsagentur ENISA wird die Überprüfung durchführen und ein Dokument mit gewonnenen Erkenntnissen und Empfehlungen zur Verbesserung der Sicherheitslage des Blocks vorlegen.
Jeff Le, Vizepräsident für globale Regierungsangelegenheiten und öffentliche Ordnung bei der Drittanbieter-Risikoplattform SecurityScorecard, erklärt gegenüber ISMS.online, dass die Initiative möglicherweise mehr als die ihr derzeit zugewiesenen 1.1 Milliarden Euro (920 Millionen Pfund) benötige.
„In den USA ist das System der gegenseitigen Hilfe ausgereifter und verdient im Fall eines katastrophalen Zwischenfalls, der die Mitgliedstaaten lähmt, auch in der EU erhebliche Beachtung“, fügt er hinzu.
„ENISA sollte eine Rolle übernehmen, die über Programme hinausgeht, und versuchen, seinen Anteil an der Meinungsführerschaft zu erhöhen. Insbesondere sind engere Partnerschaften mit NIST und anderen globalen Standardisierungsgremien erforderlich, um sich auf Metriken, Standards und Sicherheitsrahmen für die Belastbarkeit der Lieferkette zu konzentrieren, da die Harmonisierung in den Fokus rückt.“
Le fügt hinzu, dass die EU-Vorfallberichterstattung auch von einer engeren Abstimmung mit globalen Meldesystemen für Vorfälle kritischer Infrastrukturen wie dem US-amerikanischen CIRCIA-Prozess profitieren könnte.
„Die Berichterstattung sollte besser abgestimmt sein und es sollte ein klarer Fokus auf die wesentlichen Informationen für politische Entscheidungsträger und CISOs gelegt werden“, argumentiert er. „Angesichts der jüngsten Probleme mit Volt und Salt Typhoon in kritischer Infrastruktur sollte auch der Bewertung der Telekommunikation mehr Aufmerksamkeit gewidmet werden. Während andere Sektoren erwähnt werden, wird dieser gefährdete Bereich nicht erwähnt.“
So bereiten Sie sich darauf vor
Von den meisten britischen Firmen wird das Gesetz kaum etwas verlangen.
„Nach dem Brexit wird das Vereinigte Königreich nicht mehr Teil der durch den Cyber Solidarity Act eingeführten Kooperationsmechanismen sein“, sagen Sarah Pearce und David Dumont, Partner bei Hunton Andrews Kurth, gegenüber ISMS.online.
„Das Gesetz gilt nicht für alle Organisationen, sondern nur für diejenigen, die in hochkritischen Sektoren tätig sind. Zumindest sollten sich die Organisationen über die Entwicklungen auf dem Laufenden halten und prüfen, ob sie in den Geltungsbereich der Gesetzgebung fallen oder nicht. Diejenigen, die in den Geltungsbereich fallen, können ‚koordinierten Bereitschaftstests‘ unterzogen werden, sodass der CISO und andere relevante interne Teams solche Tests in ihre Governance-Programme aufnehmen müssen.“
ISMS.online geht allerdings davon aus, dass diesen Anforderungen nur KRITIS-Organisationen unterliegen könnten, die in der EU tätig sind.
Edward Machin, Rechtsberater bei Ropes & Gray, warnt zudem, dass die betreffenden Organisationen, wenn diese Tests kritische Schwachstellen gegenüber Cyberbedrohungen aufdecken, „umfassenderen Durchsetzungs- und Reputationsrisiken“ im Zusammenhang mit der Nichteinhaltung anderer EU-Cybergesetze ausgesetzt sein könnten.
„CISOs in kritischen Industriesektoren, die sich auf die anderen Cybergesetze der EU vorbereitet haben, sollten feststellen, dass diese Vorbereitungen ihnen zugutekommen, wenn es darum geht, auf potenzielle Testanfragen im Rahmen des Cyber Solidarity Act zu reagieren“, sagt er gegenüber ISMS.online.
„Angesichts der Tatsache, dass andere Cybergesetze der EU größere Auswirkungen auf die tägliche Arbeit von CISOs haben und haben werden, würde ich vorschlagen, sich vorerst auf diese Gesetze zu konzentrieren und das Gesetz im Auge zu behalten.“
Das Europäische Parlament und der Rat erzielten im März 2024 eine vorläufige Einigung über die Gesetzgebung, und der vorläufige Text wurde noch im selben Monat veröffentlicht. Es ist jedoch unklar, wann die Gesetzgeber ihn offiziell verabschieden können. Im Jahr 2025 wird es noch viel mehr geben.
