Der EU Cyber Solidarity Act wurde am 15. Januar 2025 offiziell veröffentlicht und tritt am 4. Februar 2025 in Kraft. Er ist ein neuer wichtiger Schritt zur Stärkung der Cybersicherheit in Europa. Diese Gesetzgebunghat zum Ziel, den EU-Ländern, einschließlich Belgien, zu helfen, schwerwiegende Cybersicherheitsvorfälle, die sowohl Unternehmen als auch Bürger betreffen können, besser zu erkennen, sich vorzubereiten und darauf zu reagieren, und die Solidarität zwischen den Mitgliedstaaten in Krisenzeiten zu fördern. Es geht darum, Europa in der heutigen digitalen Welt widerstandsfähiger zu machen. Im Gegensatz zur NIS2-Richtlinie oder dem Cyber Resilience Act führt der Cyber Solidarity Act keine Verpflichtungen für Anbieter ein. Es handelt sich um eine rein freiwillige Gesetzgebung, die Werkzeuge und insbesondere Finanzmittel bereitstellt. Die Mitgliedstaaten können diese nutzen, wenn sie dies wünschen, um ihre Fähigkeiten zur Erkennung, zum Informationsaustausch oder zur Krisenbewältigung zu unterstützen, insbesondere für NIS2-Einrichtungen.

Belgien, und insbesondere das Zentrum für Cybersicherheit Belgien, spielten eine entscheidende Rolle bei der Entwicklung und Verabschiedung des Cyber Solidarity Act während seiner Präsidentschaft im Rat der EU in der ersten Hälfte des Jahres 2024. Das Zentrum für Cybersicherheit Belgien wird auch weiterhin eine zentrale Rolle bei der Umsetzung der Bestimmungen des Gesetzes spielen. Klicken Sie hier für weitere Informationen zur belgischen Präsidentschaft.

Was ist der Cyber Solidarity Act?

Der Cyber Solidarity Act basiert auf drei Hauptsäulen:

1. Ein europäisches Cybersicherheitsalarmsystem zur Verbesserung der Erkennung und Warnung
2. Ein Cybernotfallmechanismus zur Verbesserung der Reaktion – einschließlich der Einrichtung einer Cybersicherheitsreserve
3. Ein Mechanismus zur Überprüfung von Vorfällen, der es ENISA ermöglicht, aus groß angelegten Vorfällen zu analysieren und zu lernen

1. Das Europäische Cybersicherheitsalarmsystem (ECAS)

Zweck und Einrichtung

Der Solidarity Act richtet das ECAS ein, ein Netzwerk, das nationale Cyber-Hubs über grenzüberschreitende Cyber-Hubs in der EU verbindet. Es wird dazu beitragen, die Fähigkeit der EU zur Erkennung, Analyse und Reaktion auf Cyberbedrohungen mithilfe fortschrittlicher Technologien und Zusammenarbeit zu verbessern. Während die Teilnahme der Mitgliedstaaten freiwillig ist, wird das System das Bewusstsein schärfen und helfen, Vorfälle in der Union zu verhindern.

Kernfunktionen

Das Europäische Cybersicherheitsalarmsystem wurde entwickelt, um den Schutz vor und die Reaktion auf Cyberbedrohungen zu verbessern, indem die Zusammenarbeit mit wichtigen Akteuren wie CSIRTs, dem CSIRTs-Netzwerk, EU-CyCLONe und anderen relevanten Behörden gestärkt wird. Das ECAS sammelt und analysiert Daten zu Cyberbedrohungen und Vorfällen von grenzüberschreitenden Cyber-Hubs und teilt umsetzbare Erkenntnisse und Informationen mit diesen Akteuren, um das Lagebewusstsein und die Erkennungsfähigkeiten in der gesamten EU zu verbessern.

Das System gibt auch Warnungen aus und bietet konkrete Empfehlungen, während es die Entwicklung modernster Cybersicherheitslösungen für die Cybersicherheitsgemeinschaft der Union unterstützt.

Nationale Cyber-Hubs

Jeder Mitgliedstaat der EU, der am ECAS teilnehmen möchte, ernennt einen Nationalen Cyber-Hub, eine einzelne Entität, die unter der Autorität des Mitgliedstaates handelt. In Belgien ist dies das Zentrum für Cybersicherheit Belgien. Nationale Cyber-Hubs können als Referenzpunkt und Zugang zu anderen öffentlichen und privaten Organisationen auf nationaler Ebene für das Sammeln und Analysieren von Informationen zu Cyberbedrohungen und Sicherheitsvorfällen dienen. Sie sind in der Lage, Daten und Informationen zu Cyberbedrohungen und Sicherheitsvorfällen zu erkennen, zu sammeln und zu analysieren, wie z. B. Cyber-Bedrohungsinformationen, unter Verwendung modernster Technologien, mit dem Ziel, Sicherheitsvorfälle zu verhindern. Diese Hubs können sich auch mit anderen Ländern über grenzüberschreitende Cyber-Hubs zusammenschließen, um die Koordination und Reaktion auf Cyberbedrohungen zu verbessern.

Grenzüberschreitende Cyber-Hubs

Grenzüberschreitende Cyber-Hubs sind Plattformen, bei denen mindestens drei EU-Länder zusammenarbeiten, um Cyberbedrohungen zu überwachen und zu erkennen. Diese Hubs verbinden nationale Cybersicherheitszentren, teilen Daten und nutzen fortschrittliche Werkzeuge, um Sicherheitsvorfälle zu verhindern und die Reaktionsfähigkeiten zu verbessern. Sie zielen darauf ab, die Cybersicherheit zu stärken, indem sie Informationen und Ressourcen auf vertrauenswürdige Weise austauschen, wobei eine Gruppe, das Hosting-Konsortium, die Operationen überwacht und es anderen Ländern ermöglicht, sich bei Vereinbarung anzuschließen.

ENISA 

ENISA (die EU-Agentur für Cybersicherheit) kann die Interoperabilität der grenzüberschreitenden Cyber-Hubs sicherstellen, indem sie Richtlinien für Informationsaustauschprotokolle und -formate herausgibt.

Finanzierung

Das Digital Europe Programme (DEP) stellt die Finanzierung für die Nationalen Cyber-Hubs und die Grenzüberschreitenden Cyber-Hubs bereit und wird vom Europäischen Kompetenzzentrum für Cybersicherheit (ECCC) verwaltet. Diese Finanzierung zielt auf den Kapazitätsaufbau ab und deckt Kosten im Zusammenhang mit der Einrichtung von Prozessen, Werkzeugen und Diensten sowie den Erwerb von Ausrüstung, Werkzeugen, Prozessen und Datenfeeds ab. Diese Finanzierung deckt auch Kosten im Zusammenhang mit der Datenanalyse, der Vernetzung mit grenzüberschreitenden Cyber-Hubs, usw. ab. Um dieses Ziel zu erreichen, wird ein Aufruf zur Interessenbekundung gestartet, um Entitäten in den Mitgliedstaaten auszuwählen, die die notwendigen Einrichtungen bereitstellen, um nationale Cyber-Hubs zu hosten und zu betreiben. Wenn dieser Aufruf erfolgreich ist, wird eine gemeinsame Beschaffungsmaßnahme mit dem Mitgliedstaat eingerichtet, und ein Zuschuss wird bereitgestellt, um die Kosten und die Beschaffung der Hauptinfrastruktur, Werkzeuge und Dienstleistungen zu decken.

Pilotprojekt und bestehende grenzüberschreitende Cybersicherheits-Hubs

Der Cyber Solidarity Act institutionalisiert ein 2021 von der Europäischen Kommission gestartetes Pilotprojekt sowie die beiden grenzüberschreitenden Cyber-Hubs, die daraus hervorgegangen sind. Dieses Pilotprojekt hatte zum Ziel, grenzüberschreitend verbundene Sicherheitsoperationszentren (Security Operation Centers, SOCs) in den EU-Mitgliedstaaten einzurichten. Diese Hubs wurden entwickelt, um die Cybersicherheit in Europa durch schnelle Bedrohungserkennung, den Einsatz von KI und effizienten Informationsaustausch zu verbessern. Um diese Initiative zu unterstützen, stellte die Kommission Mittel über den Digital Europe Plan (DEP) bereit und beauftragte Konsortien von Mitgliedstaaten mit der Umsetzung unter der Aufsicht des neu eingerichteten Europäischen Kompetenzzentrums für Cybersicherheit (ECCC).

Bis Anfang 2023 führte das Pilotprojekt zur Gründung von zwei Konsortien, die derzeit die einzigen grenzüberschreitenden Cyber-Hubs sind und nun durch den Cyber Solidarity Act institutionalisiert werden. Derzeit wird das ENSOC-Konsortium von Spanien und Italien geleitet und umfasst Luxemburg, die Niederlande, Österreich, Portugal und Rumänien als Mitglieder. Das ATHENA-Konsortium besteht aus Zypern, Bulgarien, Griechenland und Malta.

2. Der Cybernotfallmechanismus

Zweck

Der Cybernotfallmechanismus soll die Widerstandsfähigkeit der EU gegenüber Cyberbedrohungen stärken, indem er finanzielle Unterstützung für die Vorbereitung, Minderung und Reaktion auf bedeutende und groß angelegte Cybersicherheitsvorfälle bietet. Er arbeitet im Geiste der Solidarität und ergänzt die Bemühungen der Mitgliedstaaten, Sicherheitsvorfälle zu bewältigen. Der Mechanismus wird hauptsächlich durch das Europäische Kompetenzzentrum für Cybersicherheit (ECCC) umgesetzt.

Der Mechanismus finanziert mehrere Arten von Maßnahmen: 

• Vorbereitungsmaßnahmen: Diese beinhalten koordinierte Tests von Einrichtungen in kritischen Sektoren, wie Pentests und Bedrohungsbewertungen. Die Unterstützung für diese Maßnahmen erfolgt in Form von Zuschüssen und ist für die Mitgliedstaaten freiwillig.

• Vorfallreaktion und Wiederherstellung: Der Mechanismus umfasst Maßnahmen zur Unterstützung der Reaktion und Wiederherstellung von bedeutenden Cybersicherheitsvorfällen. Vertrauenswürdige Anbieter verwalteter Sicherheitsdiensten, die Teil der EU-Cybersicherheitsreserve sind, bieten diese Dienste an.

• Gegenseitige Hilfe: Dies bezieht sich auf kooperative Maßnahmen zwischen den Mitgliedstaaten, um sich während Cyberkrisen gegenseitig zu unterstützen.  

Die EU-Cybersicherheitsreserve  

Die EU-Cybersicherheitsreserve ist ein wesentlicher Bestandteil dieses Mechanismus. Sie wird aus vorab beschafften Reaktionsdiensten von vertrauenswürdigen privaten Anbietern bestehen, die zur Unterstützung der Reaktionsbemühungen bei groß angelegten Sicherheitsvorfällen eingesetzt werden können. Die Reserve steht allen Mitgliedstaaten, Unionseinrichtungen und mit dem DEP verbundenen Drittstaaten zur Verfügung, was bedeutet, dass auch Länder, die nicht Teil der EU sind, aber mit dem DEP assoziiert sind, wie zum Beispiel die Ukraine, durch diese Reserve unterstützt werden können. Die Europäische Kommission überwacht die Reserve, während ENISA deren Betrieb und Verwaltung übernimmt.

Wie funktioniert er?

ENISA wird die Bedürfnisse aller Mitgliedstaaten feststellen und Vorfallreaktionsdienste von privaten Anbietern beschaffen, die in der „Reserve“ auf Abruf gehalten werden. Wann immer nationale Behörden, Unionseinrichtungen oder Drittstaaten zusätzliche Unterstützung benötigen, um ihren NIS2-Betreibern bei einem signifikanten Sicherheitsvorfall zu helfen, können sie Unterstützung aus der Reserve anfordern. Diese Entitäten werden dann Hilfe leisten. Nach der Unterstützung müssen die Nutzer innerhalb von zwei Monaten einen zusammenfassenden Bericht einreichen, und es werden regelmäßige Berichte erstellt, um die Wirksamkeit der Reserve sicherzustellen. Dienste, die vorab beschafft wurden, aber nie genutzt wurden, können am Ende jedes Jahres in Vorbereitungsmaßnahmen umgewandelt werden, wie zum Beispiel Pentests.

Kriterien für Dienstanbieter

Um für die EU-Cybersicherheitsreserve in Frage zu kommen, müssen Dienstanbieter strenge Kriterien erfüllen, wie etwa die notwendigen Sicherheitsfreigaben für das Personal, technische Ressourcen und Fachwissen, um die erforderlichen Aufgaben zu erfüllen. Sie müssen außerdem relevante Vorschriften einhalten, einschließlich der Vorschriften zum Schutz von vertraulichen Informationen, und über sichere IT-Systeme verfügen.

Am wichtigsten ist, dass die Änderung des EU Cyber Security Act (CSA) die Einrichtung europäischer Zertifizierungssysteme für Anbieter verwalteter Sicherheitsdiensten als Teil der Cybersicherheitsreserve-Initiative ermöglicht. Diese Zertifizierungssysteme werden dazu beitragen, die Qualität und Vergleichbarkeit von Cybersicherheitsdienstleistern zu erhöhen und das Vertrauen in das System zu stärken, indem sie von externen Anbietern in der Reserve verlangen, die Zertifizierungsrahmen einzuhalten.

Abgedeckte Sektoren  

Der Mechanismus konzentriert sich hauptsächlich auf kritische Sektoren wie Energie, Gesundheitswesen, Finanzen, Wasser, digitale Infrastruktur, IKT-Dienstmanagement, öffentliche Verwaltung, Raumfahrt und Transport. Dies sind Sektoren, in denen Cybersicherheitsvorfälle erhebliche gesellschaftliche oder wirtschaftliche Auswirkungen haben könnten. Er kann auch auf andere für das Funktionieren der digitalen Infrastruktur wesentliche Entitäten angewendet werden, wie z. B. digitale Anbieter, Herstellung von Waren, Abfallwirtschaft, Post- und Kurierdienste, Lebensmittel und Forschung.

Finanzierung

Der Cybernotfallmechanismus wird durch Mittel im Rahmen des strategischen Ziels „Cybersicherheit“ des DEP unterstützt und vom ECCC verwaltet. Freiwillige Zuschüsse über das DEP können Mitgliedstaaten zugewiesen werden, um koordinierte Vorbereitungstests wie Pentests oder Bedrohungsbewertungen sowie gegenseitige Hilfeleistungen und andere Vorbereitungsmaßnahmen wie Schwachstellen- oder Risikomanagement, Übungen und Schulungen zu finanzieren. Die EU-Cybersicherheitsreserve wird hauptsächlich durch Beschaffungen finanziert, ergänzt durch Zuschüsse.

3. Europäischen Mechanismus zur Prüfung von Sicherheitsvorfällen

Dieser Mechanismus hat das Ziel, bedeutende und groß angelegte Cybersicherheitsvorfälle zu bewerten, indem er Cyberbedrohungen, Schwachstellen und Milderungsmaßnahmen überprüft. Auf Antrag der Kommission oder nationaler Behörden (des EU-CyCLONe oder des CSIRT-Netzwerks) wird die EU-Cybersicherheitsagentur (ENISA) für die Überprüfung spezifischer bedeutender oder groß angelegter Cybersicherheitsvorfälle verantwortlich sein und einen Bericht vorlegen, der die gewonnenen Erkenntnisse sowie gegebenenfalls Empfehlungen zur Verbesserung der Cybersicherheitsreaktion der Union enthält. Der Bericht wird die Ursachen des Vorfalls, Schwachstellen und die gewonnenen Erkenntnisse analysieren, dabei die rechtliche Einhaltung sicherstellen, Daten anonymisieren, wenn nötig, und Empfehlungen sowie bewährte Verfahren zur Verbesserung der Cybersicherheit der EU bieten.