Am 24. Februar 2025 begann der Rat der Europäischen Union auf Vorschlag der Europäischen Kommission mit den Beratungen über einen neuen Cybersicherheitsplan. Nach mehreren Verhandlungsrunden in seinen Vorbereitungsgremien hat der Rat den neuen Text heute auf der Tagung des Rates „Verkehr, Telekommunikation und Energie“ in Luxemburg förmlich angenommen.
Hintergrund
In den letzten Jahren hat die Europäische Union ihren Ansatz für ein umfassendes Cyberrisikomanagement durch verschiedene Instrumente und Initiativen kontinuierlich gestärkt. Die Richtlinie über Netz- und Informationssicherheit von 2016 (NIS1 – EU-Richtlinie 2016/1148) führte zur Schaffung des CSIRT-Netzwerks, das nationale Cybersicherheits- und Notfallteams in allen Mitgliedstaaten miteinander verbindet. Als Reaktion auf schwerwiegende Vorfälle wie WannaCry hat die Europäische Kommission 2017 eine Empfehlung (2017/1584) zur koordinierten Reaktion auf groß angelegte Cybersicherheitsvorfälle herausgegeben, die als „Cyber-Blueprint“ bekannt wurde. Diese Empfehlung wurde jedoch nie offiziell von den Mitgliedstaaten angenommen und ist aufgrund der sich rasch entwickelnden Cyberkrisenlage inzwischen überholt.
Im Jahr 2019 erhielt die EU-Agentur für Cybersicherheit (ENISA) ein verstärktes und dauerhaftes Mandat, um die Lageerkennung und operative Koordinierung in der gesamten EU besser unterstützen zu können. Im folgenden Jahr wurde auf Ersuchen der Mitgliedstaaten das EU-Netzwerk für die Koordinierung von Cyberkrisen (EU-CyCLONe) als operative Koordinierungsebene eingerichtet, die von der ENISA unterstützt wird. Im Jahr 2022 wurde mit der NIS2-Richtlinie (EU-Richtlinie 2022/2555) die Rolle von EU-CyCLONe formell festgelegt und die Mitgliedstaaten verpflichtet, spezielle nationale Behörden für das Cyberkrisenmanagement einzurichten. Im Jahr 2025 wird mit dem Cyber-Solidaritätsgesetz die Lageerfassung und die Koordinierung der Reaktionen in der gesamten EU weiter unterstützt.
Gleichzeitig haben groß angelegte Übungen wie die halbjährliche Cyber Europe und die EU-CyCLEs-Übung (unter französischem Vorsitz) wertvolle Erkenntnisse geliefert.
Darüber hinaus haben geopolitische Entwicklungen wie der russische Angriffskrieg gegen die Ukraine dazu geführt, dass die EU zunehmend auf digitale Infrastrukturen angewiesen ist, und eine steigende Zahl von Cybervorfällen hat die Cyberbedrohungslage erheblich verschärft. Darüber hinaus wurde in Berichten wie dem ENISA-Bericht zum Stand der Cybersicherheit und dem Niinistö-Bericht eine Verbesserung der europäischen Bereitschaft für groß angelegte Cyberkrisen gefordert.
Schließlich wurden unter belgischem Vorsitz die Schlussfolgerungen des Rates mit dem Titel „Zur Zukunft der Cybersicherheit: Gemeinsam umsetzen und schützen“ (10133/24) angenommen, in denen eine rasche Überarbeitung des Cyber-Blueprints von 2017 in Form einer Empfehlung des Rates gefordert wird.
Was beinhaltet der neue Entwurf?
Der neu angenommene Entwurf für einen Cybersicherheitsplan aktualisiert den Rahmen der EU für das Cyberkrisenmanagement. Er legt klar die Rollen der relevanten EU-Akteure in allen Phasen einer Cyberkrise fest, von der Vorbereitung und Erkennung bis hin zur Reaktion und Wiederherstellung.
Der Entwurf steht im Einklang mit bestehenden EU-Mechanismen wie dem Integrierten Politischen Krisenreaktionssystem (IPCR) und dem EU-Instrumentarium für Cyberdiplomatie und trägt den jüngsten politischen Entwicklungen Rechnung, darunter der Entwurf für einen Plan für kritische Infrastrukturen und der Netzkodex für Cybersicherheit im Elektrizitätssektor.
Wichtigste Punkte:
- Verbesserung der Koordinierung zwischen zivilen und militärischen Akteuren, einschließlich der Zusammenarbeit mit der NATO.
- Berücksichtigung der Ziele der bevorstehenden EU-Strategie zur Abwehr von Cyberangriffen.
- Förderung sicherer EU-weiter Kommunikationssysteme.
Der Entwurf umfasst 13 Kapitel: Ziel, Geltungsbereich und Leitprinzipien; Definitionen; nationale Strukturen und Zuständigkeiten für das Cyberkrisenmanagement; wichtige Netzwerke und Akteure im Cyberkrisenökosystem der EU; Vorbereitung auf groß angelegte Vorfälle und Krisen; Erkennung von Vorfällen mit Eskalationspotenzial; Koordinierung der Reaktion auf EU-Ebene; Strategien für die öffentliche Kommunikation; diplomatische Reaktion und internationale Zusammenarbeit; Koordinierung mit militärischen Akteuren; Wiederherstellung und gewonnene Erkenntnisse; sichere Kommunikation; Schlussbestimmungen.
Das Dokument orientiert sich an den Grundsätzen der Verhältnismäßigkeit, Subsidiarität, Komplementarität und Vertraulichkeit.
Warum dies für das ZCB wichtig ist
Das Zentrum für Cybersicherheit Belgien (ZCB) spielte unter der Leitung seiner Abteilung für internationale Beziehungen und in enger Zusammenarbeit mit der Ständigen Vertretung bei der EU eine führende Rolle bei der Ausarbeitung der belgischen Position während der Verhandlungen.
Als nationale Cybersicherheitsbehörde Belgiens – und als nationale Behörde für Cyberkrisenmanagement, die gemäß dem Königlichen Erlass zur Umsetzung der NIS2-Richtlinie benannt wurde – ist das ZCB für die Aktualisierung und Pflege des belgischen Rahmens für das Cyberkrisenmanagement verantwortlich. Die wirksame Berücksichtigung der Prioritäten Belgiens im endgültigen EU-Text war von entscheidender Bedeutung, um diesen neuen EU-Rahmen mit den laufenden nationalen Bemühungen in Einklang zu bringen.