Die Europäische Kommission hat umfassende Änderungen ihres Cybersicherheitsgesetzes vorgeschlagen, um die Aufsicht über in der EU tätige Anbieter von Hochrisikotechnologie zu stärken. Dieser Schritt erfolgt vor dem Hintergrund zunehmender Cyberangriffe und seit langem bestehender Bedenken hinsichtlich der Abhängigkeit von Anbietern aus Ländern, die als nationale Sicherheitsrisiken gelten – allen voran chinesische Unternehmen wie Huawei und ZTE.
Zunehmende Cyber-Bedrohungen treiben Maßnahmen voran
Cyberangriffe in der gesamten EU nehmen an Häufigkeit und Komplexität zu. Aktuelle Daten deuten darauf hin, dass allein in der vergangenen Woche rund 150 Vorfälle gemeldet wurden, darunter Ransomware, Spionage und Angriffe auf kritische Infrastrukturen. Dieser Anstieg der Aktivitäten unterstreicht die Dringlichkeit eines besser koordinierten Ansatzes für die Sicherheit der Lieferkette.
Seit Jahren äußert Brüssel seine Frustration über den freiwilligen Charakter der 5G-Sicherheits-Toolbox 2020, die die Mitgliedstaaten dazu ermutigt, aber nicht verpflichtet, Anbieter mit hohem Risiko einzuschränken. Technologiekommissarin Henna Virkkunen hat wiederholt betont, dass freiwillige Maßnahmen nicht ausreichen, da Hochrisikoanbieter weiterhin in Europas 5G-Netze eingebettet sind.
Neue Befugnisse für die Kommission und ENISA
Im Rahmen des überarbeiteten Rahmens würde die Kommission die Befugnis erhalten, Risikobewertungen auf EU-Ebene durchzuführen, was möglicherweise zu Beschränkungen oder Verboten für Geräte führen würde, die in sensiblen Infrastrukturen verwendet werden. Bei den Bewertungen werden das Herkunftsland eines Lieferanten und seine Auswirkungen auf die nationale Sicherheit berücksichtigt, obwohl der Prozess grundsätzlich länderneutral sein soll – was bedeutet, dass US-Firmen unter bestimmten Bedingungen auch einer Prüfung unterzogen werden könnten.
Auch die EU-Agentur für Cybersicherheit (ENISA) wird ihre Rolle deutlich erweitern. ENISA wird Frühwarnungen zu neu auftretenden Bedrohungen herausgeben, in Zusammenarbeit mit Europol und nationalen Behörden Reaktionen auf schwerwiegende Vorfälle (z. B. Ransomware-Angriffe) koordinieren und ein zentralisiertes EU-System zur Meldung von Vorfällen überwachen.
Übergangs- und Compliance-Kosten
Die Kommission erkennt an, dass der Ausstieg aus Hochrisikolieferanten mit wirtschaftlichen Kosten verbunden sein wird. Den Telekommunikationsbetreibern wird mehrere Jahre Zeit gegeben, sich von diesen Anbietern zu lösen, während die Kommission verspricht, die Zertifizierungsverfahren zu rationalisieren und den Compliance-Aufwand für Unternehmen zu verringern, die in mehreren Mitgliedstaaten tätig sind. Ziel dieser Vereinfachungsagenda ist es, Sicherheitsbedenken mit der wirtschaftlichen Realität in Einklang zu bringen.
Politische Hürden und Verzögerungen bei der Umsetzung
Der Vorschlag steht nun in Verhandlungen mit dem Europäischen Parlament und den EU-Regierungen, wobei mit Widerstand aus den Hauptstädten zu rechnen ist, die zögern, die Kontrolle über nationale Sicherheitsentscheidungen an Brüssel abzugeben. Angesichts dieses Widerstands und der Komplexität der Umsetzung ist es unwahrscheinlich, dass das überarbeitete Cybersicherheitsgesetz in einigen Jahren vollständig in Kraft treten wird.
Diese Verzögerung wirft Fragen hinsichtlich der Fähigkeit der EU auf, bestehenden ausländischen Eingriffen in kritische Infrastrukturen wirksam entgegenzuwirken. Während das neue Rahmenwerk einen bedeutenden Schritt zur Stärkung der Aufsicht über die Cybersicherheit darstellt, wird seine langfristige Wirksamkeit von schnellen und einheitlichen Maßnahmen der Mitgliedstaaten abhängen.
