Warum Resilienz neu betrachtet werden muss Cyber-Resilienz in der EU

Anbieter zum Thema

Die Forderung nach Cyber-Resilienz ist nicht neu, aber sie erscheint wichtiger denn je. Die Abhängigkeit von digitalen Diensten steigt, die Bedrohungslage verschärft sich, nicht nur im Internet. Regierungen sind ebenso gefordert wie die Wirtschaft, die Widerstandsfähigkeit gegen Störungen jeder Art zu verbessern. Damit steigt die Bedeutung der Cybersicherheit noch weiter an.

Die laufende Diskussion und die umfassende Betrachtung zur Cyber-Resilienz in Europa ist wichtig und notwendig, aber die Zeit drängt.
Die laufende Diskussion und die umfassende Betrachtung zur Cyber-Resilienz in Europa ist wichtig und notwendig, aber die Zeit drängt.
(Bild: S.Gvozd - stock.adobe.com )

Vor dem Hintergrund des russischen Angriffskriegs auf die Ukraine will die Bundesinnenministerin Nancy Faeser Deutschlands Cyberfähigkeiten ausbauen: „Wir sehen angesichts des russischen Angriffskriegs gegen die Ukraine, wie sehr die äußere und die innere Sicherheit miteinander zusammenhängen. Das gilt gerade für die Cybersicherheit“. Die Bundesinnenministerin macht deutlich: „Die Zeitenwende, die wir erleben, erfordert deutliche Investitionen in unsere Cyber- und Informationssicherheit. Das hat besondere Priorität für uns. Wir modernisieren die nationale Cybersicherheitsarchitektur und bauen das Bundesamt für Informationssicherheit zur Zentralstelle aus. Die Cyberbefugnisse der Sicherheitsbehörden werden wir weiterentwickeln“.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ruft Unternehmen, Organisationen und Behörden dazu auf, ihre IT-Sicherheitsmaßnahmen zu erhöhen. Das BSI hat seinen Eigenschutz und seine Krisenreaktion gestärkt und hat dazu das Nationale IT-Krisenreaktionszentrum aktiviert. Darüber hinaus hat das BSI auch seine Zielgruppen, darunter die Bundesverwaltung, Betreiber Kritischer Infrastrukturen und weitere Organisationen und Unternehmen sensibilisiert und zu einer erhöhten Wachsamkeit und Reaktionsbereitschaft aufgerufen.

Alle diese Maßnahmen bedeuten letztlich, dass es nun darum geht, die Cyber-Resilienz herzustellen. Das BSI definiert Resilienz als die Fähigkeit eines Systems, mit Veränderungen umgehen zu können. Resilienz bedeutet demnach Widerstandsfähigkeit gegen Störungen jeder Art, Anpassungsfähigkeit an neue Bedingungen und eine flexible Reaktion auf Veränderungen mit dem Ziel, das System aufrecht zu erhalten.

Das Ziel lautet deshalb, nicht nur die Cybersicherheit Deutschlands und der EU insgesamt zu stärken, sondern in Zukunft eine Cyber-Resilienz zu erreichen und aufrechtzuerhalten. Die Cyber-Resilienz würde dann „automatisch“ dazu führen, dass zum Beispiel die Cybersicherheit gestärkt wird. Doch wie kann man Cyber-Resilienz erreichen?

Der Weg zur Cyber-Resilienz in der EU

„Um unsere Resilienz zu erhöhen, müssen wir gemeinsame europäische Cybersicherheitsstandards für Produkte (insbesondere vernetzte Objekte) und Dienstleistungen etablieren, die auf unserem Markt platziert werden“, erklärte Thierry Breton, EU-Kommissar für den Binnenmarkt, bereits im September 2021. „Dies wird der Zweck des angekündigten European Cyber Resilience Act sein. Ich bin der Meinung, dass dieses Gesetz auch eine verteidigungspolitische Dimension haben sollte, um Synergien zu maximieren, indem beispielsweise verteidigungsbezogene Anforderungen berücksichtigt werden können“.

Der Appell des EU-Kommissars Breton gilt heute noch mehr denn je: „Angesichts von Cyber-Bedrohungen kann die Europäische Union keine Kompromisse eingehen und muss gemeinsam mit ihren Mitgliedstaaten alles tun, um unsere Widerstandsfähigkeit zu erhöhen. Um unsere Industrie, unsere öffentlichen Dienste, unsere Infrastrukturen, unsere Sicherheit und Verteidigung zu erhalten“.

Im März 2022 hat die EU-Kommission eine öffentliche Konsultation eingeleitet, um die Ansichten und Erfahrungen aller relevanten Parteien zum bevorstehenden europäischen Rechtsakt zur Cyber-Resilienz einzuholen. Die öffentliche Konsultation soll bis zum 25. Mai 2022 laufen. Die Ergebnisse der öffentlichen Konsultation werden in den Gesetzgebungsvorschlag der EU-Kommission einfließen, der in der zweiten Hälfte dieses Jahres erwartet wird.

Das Gesetz zur Cyber-Resilienz soll dann den bestehenden EU-Rechtsrahmen ergänzen, der die Richtlinie über die Sicherheit von Netz- und Informationssystemen (NIS-Richtlinie) und das Gesetz zur Cybersicherheit sowie die künftige Richtlinie über Maßnahmen für ein hohes gemeinsames Niveau der Cybersicherheit in der gesamten Union umfasst (NIS 2).

Konkrete Vorschläge und Forderungen für die Cyber-Resilienz

Verbände und Branchenvertreter haben sich bereits zu den in ihren Augen notwendigen Maßnahmen in der aktuellen Lage geäußert. Angesichts der veränderten geopolitischen Situation infolge des Ukraine-Konfliktes fordert zum Beispiel der Bundesverband IT-Sicherheit (TeleTrusT) von Politik, Regulierern und Betreibern weitreichende IT-Sicherheitsmaßnahmen und Investitionen zur Verbesserung der nationalen Sicherheit und der Versorgungssicherheit.

Steffen Heyde, Leiter der TeleTrusT-AG "Smart Grids / Industrial Security" erklärte dazu: „Die neue geopolitische Lage, ausgelöst durch den Ukraine-Konflikt, ist Zäsur und Zeitenwende auch für die IT-Sicherheit in Deutschland. IT-Sicherheit ist ein entscheidender Pfeiler der nationalen Sicherheit und letztendlich Garant der Aufrechterhaltung von Versorgungssicherheit und des Funktionierens unserer Volkswirtschaft auch in Krisenzeiten.“

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

TeleTrusT fordert daher eine engagierte nationale Kraftanstrengung von Politik, Regulierern und Betreibern zur Verbesserung der Cybersicherheit und der nationalen Sicherheit, insbesondere:

  • Beschleunigung der Energiewende und schnelle Digitalisierung mit einem sehr hohen Security Level
  • Nachschärfung des IT-Sicherheitsgesetzes auf ein höheres Sicherheits- und Vertrauensniveau
  • Strengere Prüfung der Umsetzung des höheren Sicherheitslevels durch Auditoren bei Versorgungsunternehmen (KRITIS)
  • Pragmatische, unbürokratische Unterstützung und Förderung der KMUs bei der Bewältigung der IT-Sicherheitslage
  • Wirksame Absicherung der Industrieproduktion und digitaler Industrie-Netzwerke, einschließlich Logistik und Supply Chain
  • Beachtung der Vertrauenswürdigkeit von IT-Sicherheitslösungen bei Kaufentscheidungen
  • Verbesserung des Qualifizierungsniveaus des Personals in Bezug auf IT-/OT-Sicherheit

Der Digitalverband Bitkom sieht neben den Bestrebungen auf EU-Ebene auch die notwendige Kooperation mit weiteren Verbündeten. „Die Kriege der Zukunft werden hybrid geführt: im digitalen Raum gleichermaßen wie in der Luft, zu Wasser oder an Land. Auf diese neue Form der Kriegsführung müssen sich Wirtschaft, Staat und Gesellschaft einstellen“, so Bitkom-Präsident Achim Berg. Es sei essenziell, die hiesige Wirtschaft und die kritischen Infrastrukturen vor digitalen Angriffen zu schützen, so Berg. „Cybersicherheit muss für den Nato-Raum und seine Partner gesamtheitlich gedacht werden. Wir brauchen eine Cyber-NATO.“

ETNO, der Verband der führenden europäischen Telekommunikationsbetreiber, fordert „eine stärkere europäische Koordinierung in einer heiklen Zeit“. Da Anbieter von IKT-Produkten und -Diensten, die zu einem integralen Bestandteil von Kommunikationsnetzen werden, am besten in der Lage seien, ihre eigenen Schwachstellen zu verwalten, sei ihre Rolle bei der Bekämpfung von Cyber-Bedrohungen von größter Bedeutung. ETNO fordert daher den Rat der EU auf, die Notwendigkeit einer besseren Zuordnung der Verantwortung für das Risikomanagement in digitalen Infrastrukturen entlang der IKT-Lieferkette zu prüfen.

Die NIS 2-Richtlinie sei das beste Instrument, um die noch bestehende Lücke in der Lieferkettensicherheit zu schließen, wenn ihr Anwendungsbereich IKT-Lieferanten kritischer Netzwerkkomponenten einschließen würde. Es sei noch nicht zu spät, da die Richtlinie noch verhandelt wird. Dies würde die allgemeine Widerstandsfähigkeit kritischer Netzwerke und wesentlicher Dienste, demokratischer Institutionen und Prozesse sowie der wirtschaftlichen Sicherheit in Europa insgesamt stärken.

Die laufende Diskussion und die umfassende Betrachtung zur Cyber-Resilienz ist wichtig und notwendig. Gleichzeitig drängt die Zeit durch die sich immer weiter verschärfende Bedrohungslage. Deshalb bleibt zu hoffen, dass zum Beispiel der European Cyber Resilience Act ohne Verzögerung verabschiedet wird und die Maßnahmen schnell umgesetzt werden.

(ID:48393436)