Europäische Kommission legt Cybersecurity Package vor.

Am 20. Januar hat die Europäische Kommission ein neues Cybersecurity Package vorgestellt, mit dem die Widerstandfähigkeit und die Fähigkeiten der Europäischen Union (EU) im Bereich der Cybersicherheit weiter gestärkt werden sollen. Das Paket umfasst einen Verordnungsvorschlag für einen Cybersecurity Act 2 (CSA 2) zur Überarbeitung des bestehenden EU-Rechtsakts zur Cybersicherheit (Verordnung (EU) 2019/881). Außerdem enthält das Paket einen Richtlinienvorschlag zur Anpassung der NIS-2-Richtlinie (Richtlinie (EU) 2022/2555).

Stärkung der IKT-Lieferketten

Der neue CSA soll einen Beitrag dazu leisten, Risiken in den EU-Lieferketten im Bereich der Informations- und Kommunikationstechnik (IKT) zu verringern, die insbesondere aus der Abhängigkeit von Lieferanten aus Drittländern mit Cybersicherheitsbedenken resultieren. Damit soll ein vertrauenswürdiger Rahmen festgelegt werden, der auf einem harmonisierten, verhältnismäßigen und risikobasierten Ansatz beruht. Dieser soll es der EU und den Mitgliedstaaten ermöglichen, Risiken in 18 kritischen Sektoren zu mindern. Diese 18 Sektoren werden im Verordnungsvorschlag nicht neu definiert; vielmehr wird auf die NIS-2-Richtlinie verwiesen. Dort sind in den Annexen I und II kritische Sektoren definiert, darunter auch das Gesundheitswesen und die öffentliche Verwaltung.

Stärkung des ENISA-Mandats

Gemäß dem CSA-Vorschlag soll die Agentur der EU für Cybersicherheit (ENISA) öffentliche Verwaltungen und Unternehmen, die in der EU tätig sind, frühzeitig vor Cyberbedrohungen und -vorfällen warnen. Darüber hinaus soll die ENISA ein Unionskonzept entwickeln, um den relevanten Akteuren bessere Dienste für das Schwachstellenmanagement zur Verfügung zu stellen, und gezielte Unterstützungsangebote erarbeiten – etwa technische Leitlinien zum Risikomanagement, Instrumente zur Bewertung des Stands der Cybersicherheit sowie praxisorientierte Handlungsleitfäden für den Umgang mit Sicherheitsvorfällen, abgestimmt auf die in der NIS-2-Richtlinie genannten kritischen Sektoren. Außerdem werden durch den CSA-Vorschlag die nötigen Änderungen vorgeschlagen, damit die ENISA die in der Digital-Omnibus-Verordnung angekündigte zentrale Anlaufstelle zur Meldung von Sicherheitsvorfällen betreiben kann.

Vereinfachung der Cybersicherheitszertifizierung

Durch den CSA-Entwurf soll sichergestellt werden, dass Produkte und Dienste, die die Verbraucherinnen und Verbraucher in der EU erreichen, effizienter auf ihre Sicherheit geprüft werden. Dies würde durch einen erneuerten europäischen Rahmen für die Cybersicherheitszertifizierung (ECCF) erfolgen. Der ECCF soll für mehr Klarheit und einfachere Verfahren sorgen, sodass Zertifizierungssysteme standardmäßig innerhalb von 12 Monaten entwickelt werden können. Außerdem soll eine flexiblere und transparentere Governance eingeführt werden, um die adressierten Akteure durch Information und Konsultationen der Öffentlichkeit besser einzubeziehen.

Vereinfachungen bei Cybersicherheitsvorschriften

Das Paket sieht zudem Vereinfachungen bei den Cybersicherheitsvorschriften vor, um die Einhaltung bestehender EU-Vorgaben und der damit verbundenen Risikomanagementanforderungen zu erleichtern. Die Maßnahmen ergänzen die im Rahmen des Digital-Omnibus vorgeschlagene zentrale Anlaufstelle für die Meldung von Sicherheitsvorfällen bei der ENISA und zielen darauf ab, Melde- und Aufsichtsprozesse kohärenter auszugestalten. Gezielte Änderungen der NIS-2-Richtlinie sollen insbesondere zur Erhöhung der Rechtsklarheit beitragen, indem Zuständigkeitsregelungen präzisiert, Meldeanforderungen gestrafft und die Aufsicht über grenzüberschreitend tätige Einrichtungen vereinfacht werden.

Bedeutung für die Sozialversicherung

Auch die Sozialversicherungsträger sind als datenintensive öffentliche Einrichtungen zunehmend Ziel von Cyberangriffen und als Teil der kritischen Infrastruktur besonders schutzbedürftig. Gleichzeitig sehen sie sich sowohl auf europäischer als auch auf nationaler Ebene mit komplexen und teils überlappenden Meldepflichten bei Sicherheitsvorfällen konfrontiert. Die im Cybersecurity Package vorgeschlagenen Anpassungen schaffen die rechtlichen Voraussetzungen für eine vereinfachte und kohärentere Meldestruktur, etwa durch die Einrichtung einer einheitlichen Meldestelle bei der ENISA. Dies kann dazu beitragen, den administrativen Aufwand für die Sozialversicherungsträger zu reduzieren, Doppelmeldungen zu vermeiden und einen klaren, einheitlichen Meldeprozess sicherzustellen, ohne das Schutzniveau abzusenken.