Cyberangriffe treffen längst nicht mehr nur einzelne Unternehmen, sie gefährden kritische Infrastrukturen, ganze Lieferketten, Krankenhäuser und auch die öffentliche Verwaltung. Vor diesem Hintergrund hat die EU-Kommission gestern die Überarbeitung des mehr als sechs Jahre alten EU Cybersecurity Act vorgestellt.
Cybersicherheit muss weniger bürokratisch werden
„Cybersicherheit muss schneller, klarer und weniger bürokratisch werden. Die Kommission macht mit der Revision des Cyber Security Act viele Regeln einfacher und die zuständige EU-Agentur für Cybersicherheit ENISA wird gestärkt“, sagt die Geschäftsleiterin des Bitkom, Susanne Dehmel.
Positiv bewertet Bitkom insbesondere, dass Cybersicherheitszertifikate künftig stärker als anerkannter Nachweis dienen sollen, um Anforderungen aus anderen EU-Rechtsakten zu erfüllen. Damit kann ein Zertifikat beispielsweise eine sogenannte Konformitätsvermutung begründen, etwa mit Blick auf Vorgaben aus NIS-2 oder dem Cyber Resilience Act. Das schafft laut dem Digitalverband Rechtssicherheit und kann Doppelprüfungen reduzieren.
Ebenso richtig ist aus Sicht des Bitkom, dass ENISA künftig Plattformen und Werkzeuge für Meldungen sowie Lagebilder zur Cybersicherheitslage in der EU betreibt und weiter ausbaut. Dass die Kommission dafür auch finanziell nachlegt, ist nach Ansicht des Bitkom folgerichtig und notwendig: Für den nächsten EU-Haushaltszeitraum 2028 bis 2034 erhält ENISA durchschnittlich 49 Millionen Euro pro Jahr zusätzlich.
ZVEI fordert weitere Nachbesserungen beim Cyber Resilience Act
Auch ZVEI-Geschäftsführerin Sarah Bäumchen kommentiert die Revision des Cyber Security Act (CSA) und dringte in einer Pressemeldung gleichzeitig auf eine spürbare Vereinfachung des Cyber Resilience Act (CRA).
„Mit der Revision des CSA zeigt die Kommission, dass sie die europäische Cybersicherheit und digitale Souveränität priorisiert. Die Stärkung des ENISA-Mandats ist wesentlich, weil damit eine wichtige Weichenstellung für einen cyberresilienten Wirtschaftsstandort in Europa einhergehen kann.
Allerdings müsse laut dem Verband der Elektro- und Digitalindustrie nun penibel darauf geachtet werden, dass die Ausgestaltung der europäischen Cybersicherheitsregulierungen kohärent erfolge und nicht das Kind mit dem Bade ausgeschüttet werde, indem diese zu aufgebläht und überkomplex formuliert werden.
„Von uns erwartete Simplifizierungsmaßnahmen, zum Beispiel im Rahmen des sogenannten digitalen Omnibusses, sind bisher ausgeblieben und die Lage bleibt ernst. Insbesondere beim CRA liegt hier einiges im Argen. Dort sind substanzielle Vereinfachungen erforderlich, um gravierende Lieferkettenstörungen und eine Schwächung der europäischen Produktionsumgebung zu vermeiden. Unsere Anpassungsvorschläge dazu haben wir formuliert.“
Harmonisierung der verschiedenen Security-Regularien ist zwingend notwendig
Leider werde der Anspruch, mit vereinfachten Vorgaben und Meldepflichten ein unternehmensfreundlicheres Umfeld zu schaffen, nach Ansicht des Bitkom noch nicht vollständig eingelöst.
„Das Prinzip ‚ein Vorfall, eine Meldung‘ kann nur dann Realität werden, wenn die vielen Meldepflichten aus unterschiedlichen Regelwerken – etwa NIS-2, Cyber Resilience Act, Datenschutz-Grundverordnung – konsequent aufeinander abgestimmt werden. Sonst bleibt es in der Praxis bei parallelen Meldewegen und unnötigem Aufwand“, so Dehmel.
Bei der geplanten verpflichtenden Auslaufphase von Komponenten später zu benennender ausländischer Hersteller in kritischen Sektoren mahnt Bitkom, die bereits bestehenden nationalen Pläne zu berücksichtigen. So haben in Deutschland die Telekommunikationsanbieter mit dem Bund bereits vertragliche Regelungen zum Ausbau entsprechender Komponenten aus Ihren Netzen getroffen, diese Vereinbarungen und Fristen müssen Bestand haben, auch um Digitalisierungsziele nicht zu gefährden.
Weitere Informationen gibt es unter www.bitkom.org und www.zvei.org.
