Mehr Sicherheit bei IT-Produkten und Dienstleistungen für Bürger, Unternehmen und Verwaltung.
Das ist das Ziel der EU, das sie durch den sogenannten Cybersecurity-Act, die Aufhebung der Verordnung (EU) Nr. 526/2013 und den Entwurf der neuen Verordnung über die EU-IT-Sicherheitsagentur ENISA, der im Herbst letzten Jahres vorgestellt wurde, erreichen möchte. ENISA, die Europäische Agentur für Netz- und Informationssicherheit, die ihren Sitz in Griechenland hat, unterstützt die EU und ihre Mitgliedsländer bei präventiven und repressiven Handlungen im Bereich der Informationssicherheit. Mit der Verordnung will die EU einen einheitlichen Rahmen für Sicherheitszertifizierungen schaffen. Der Cybersecurity-Act sieht ein Zertifizierungsverfahren für Produkte und Dienstleistungen aus der Informations- und Kommunikationstechnik (IKT) vor, um transparente Bewertungen der Produkte und Dienstleistungen zu ermöglichen.
Ursprünglich sollte ENISA durch die neue Verordnung vor allem mehr Geld und weitreichendere Befugnisse bekommen. Dies wurde jedoch gerade durch die im Bereich der IT-Sicherheit erfahrenen Länder Deutschland und Frankreich stark kritisiert. So betonen BSI-Präsident Arne Schönbohm und der Direktor von ANSSI (Agence nationale de la sécurité des systèmes d’information), dass die Mitgliedstaaten die Hauptrolle spielen müssten und die vergleichsweise kleine Behörde auch weiterhin nur zu Unterstützung dienen darf.
Lösung dieses Problems soll eine sogenannte “European Cybersecurity Certification Group” darstellen. Eine Gruppe aus Repräsentanten nationalstaatlicher Behörden, die nun mit ENISA zusammenwirken soll.
Doch auch aus anderen Kreisen kommen Bedenken an dem Entwurf zur neuen Verordnung. In über 400 Änderungsanträgen und zahlreichen Stellungsnahmen wird harsche Kritik an der geplanten Reform geübt.
Der Ausschuss für bürgerliche Freiheiten, Justiz und Inneres des Europäischen Parlaments fordert unter dem Berichterstatter Jan Philipp Albrecht im Rahmen einer Stellungnahme zum Entwurf der Verordnung, dass IT-Sicherheit nicht nur staatliche und unternehmerische Aufgabe sein soll, sondern insbesondere den in der EU lebenden Bürgern zugutekommen solle. Beispielsweise wird in der Stellungnahme gefordert, IT-Sicherheit und Datenschutz enger zu verknüpfen. Bereits durch die seit 25.05.18 geltende DSGVO sei die Trennlinie zwischen Datenschutz und IT-Sicherheit aufgeweicht worden. ENISA soll, nach der Vorstellung des Ausschusses, weiter an einer Verschmelzung der beiden Teilbereiche arbeiten, in dem sie gemeinsam mit dem European Data Protection Board neue Richtlinien entwickelt, welche die Nutzung personenbezogener Daten zum Zweck der IT-Sicherheit regulieren sollen.
Auch der Ausschuss für den Binnenmarkt und Verbraucherschutz (IMCO) hat in einer Stellungnahme Kritik an dem Verordnungsentwurf geäußert. Er betont dabei unter anderem, dass der im Grunde zwar gute Ansatz, eine Zertifizierung von IKT-Produkten und -Dienstleistungen vorzunehmen, nicht ausreicht, um sicherzustellen, dass diese die IT-Sicherheitsvorgaben tatsächlich erfüllen. Erforderlich sei deshalb eine umfassende Aufklärung der Verbraucher über die bestehenden Restrisiken. Nur durch Transparenz, Beteiligung und angemessene Verfahrensvorgaben könne ein wirksamer Cybersicherheitsrahmen gewährleistet werden.
Zuletzt hat auch der Binnenmarkt- und Industrieausschuss seine Stellungnahme zum Entwurf abgegeben, bevor dieser anschließend nach Stellungnahme des Parlaments in den Trilog-Verhandlungen zwischen Rat, Kommission und Parlament diskutiert werden kann. Dies könnte möglicherweise bereits dieses Jahr nach der Sommerpause geschehen, sodass der Cybersecurity-Act schon Ende dieses Jahres in Kraft treten könnte. Grundsätzlich besteht Einigung. Einer schnellen Entscheidung steht somit eigentlich nicht mehr viel im Wege.
Quellen:
Agentur für Netz- und Informationssicherheit, https://europa.eu/european-union/about-eu/agencies/enisa_de
Stiebel, EU-Cybersecurity Act noch 2018?, https://www.behoerden-spiegel.de/2018/08/07/eu-cybersecurity-act-noch-2018/
Kipker, IT-Sicherheit als Bürgerrecht – der LIBE-Ausschuss des EP gibt seine Stellungnahme zum Entwurf des EU Cybersecurity Act ab, https://community.beck.de/2018/01/27/it-sicherheit-als-buergerrecht-der-libe-ausschuss-des-ep-gibt-seine-stellungnahme-zum-entwurf-des-eu
Kipker, Bewertung der Stellungnahme des IMCO-Ausschusses zum Entwurf einer EU-Cybersecurity-Verordnung ,
https://community.beck.de/2018/07/08/bewertung-der-stellungnahme-des-imco-ausschusses-des-ep-zum-entwurf-einer-eu-cybersecurity-verordnung
Albrecht, Cybersecurity Act: So geht es weiter, https://www.janalbrecht.eu/2018/03/cybersecurity-act-so-geht-es-weiter/