Ivan Marc Shutterstock.comDas neue EU-Gesetzpaket besteht aus dem sogenannten ‘Cybersolidaritätsgesetz” (Cyber Solidarity Act) und einer gezielten Änderung des Cybersicherheitsgesetzes (Cyber Security Act, CSA). ‘Ziel ist es, die Fähigkeit der EU zu verbessern, Cyberbedrohungen zu erkennen, sich darauf vorzubereiten und darauf zu reagieren, während gleichzeitig die Einheitlichkeit der verwalteten Sicherheitsdienste gefördert wird”, heißt es in einer Erklärung des Rat der Europäischen Union .Die Rechtsvorschrift tritt 20 Tage nach ihrer Veröffentlichung im Amtsblatt der EU in Kraft. ‘Die Gesetze haben das Potenzial, die grenzüberschreitende Erkennung von Bedrohungen und die Reaktionsfähigkeit zu verbessern, indem sie die Zusammenarbeit erzwingen, den Austausch von Bedrohungsinformationen verbessern und die allgemeine Widerstandsfähigkeit der Cybersicherheit in der EU stärken”, erklärt Madelein van der Hout, Senior Analyst bei Forrester, und ergänzt: “Der tatsächliche Erfolg wird von einer effektiven Umsetzung und dem anhaltenden Engagement der Mitgliedsstaaten abhängen.” Mit dem Cybersolidaritätsgesetz wird ein neues Warnsystem für Cybersicherheit eingeführt, das ein Netzwerk nationaler und grenzüberschreitender Cyber-Hubs in der gesamten EU schaffen soll. Diese Hubs werden Cyberbedrohungen mithilfe fortschrittlicher Technologien wie KI und Datenanalyse überwachen und darauf reagieren. Ziel dieser koordinierten Infrastruktur ist es, Warnungen und praktikable Erkenntnisse über Grenzen hinweg auszutauschen sowie zu gewährleisten, dass einheitlich auf Cybervorfälle reagiert werden kann.’Diese Cyber-Hubs werden modernste Technologie nutzen, um Cyberbedrohungen rechtzeitig zu erkennen und grenzüberschreitend Warnungen auszutauschen”, kündigt die EU-Erklärung an. Experten merkten an, dass das Gesetz zwar ein positiver Schritt sei, die EU jedoch nicht bei der regionalen Zusammenarbeit stehen bleiben sollte.’Herausforderungen im Bereich der Cybersicherheit sind von Natur aus grenzüberschreitend und erfordern eine Zusammenarbeit, um sie effektiv anzugehen”, betont Faisal Kawoosa, Gründer und leitender Analyst bei Techarc. Das Solidaritätsgesetz sei ein positiver Schritt, um den Informationsaustausch und das kollektiven Lernens in der gesamten EU zu fördern.Seine Wirkung könnte jedoch begrenzt sein, wenn die Zusammenarbeit nicht über die Region hinaus ausgedehnt wird, ergänzt der Technikspezialist. ‘Bedrohungen gehen oft von außerhalb der EU aus. Die Zusammenarbeit im Rahmen des Gesetzes als ein einziger Block könnte solche Bemühungen innerhalb der EU straffen und beschleunigen, aber für eine globale Wirksamkeit könnten umfassendere Partnerschaften erforderlich sein.”Um Schwachstellen in kritischen Sektoren wie dem Gesundheits-, Energie- und Transportwesen zu beheben, sieht das Gesetz auch einen Notfallmechanismus vor. Dazu gehören Vorsorgemaßnahmen wie Stresstests von Einrichtungen auf potenzielle Schwachstellen und die Entwicklung gemeinsamer Risikoszenarien.
Optimierung der Reaktion auf Vorfälle
Ein wichtiger Bestandteil des Gesetzes ist es, eine Cybersicherheitsreserve zu schaffen, die sich aus Reaktionsteams des Privatsektors zusammensetzt. Diese Teams sollen in Bereitschaft stehen, um Mitgliedstaaten und EU-Institutionen bei schwerwiegenden Cybervorfällen zu unterstützen. Geplant ist, diese Reserve durch technische Maßnahmen zu unterstützen und die Zusammenarbeit zwischen den Mitgliedstaaten zu fördern.Darüber hinaus soll ein Mechanismus eingesetzt werden, um Vorfälle zu überprüfen und die Wirksamkeit dieser Notfallmaßnahmen zu bewerten. So wollen die Regulatoren die Cybersicherheitsstrategien der EU kontinuierlich verbessern. ‘Diese Feedbackschleife wird dazu beitragen, die Reaktionsbemühungen zu verfeinern und Lücken in der Bereitschaft zu identifizieren”, heißt es in der EU-Erklärung.
Praktische Hürden überwinden
Während das einheitliche Security Operations Center (SOC) und ein besserer Informationsaustausch zentrale Elemente des Cyber Solidarity Act sind, lässt sich ein solches System nicht ohne Weiteres umsetzen.’Es gibt zwei zentrale Herausforderungen”, betont Techarc-Analyst Kawoosa. “Die Effektivität des Hybridsystems hängt von einem umfassenden Informationsaustausch zwischen den Mitgliedsstaaten ab, wobei die Einhaltung unterschiedlicher nationaler Datenschutz- und Sicherheitsgesetze gewährleistet werden muss. Trotz übergeordneter Regelungen bestehen zwischen den Ländern nach wie vor feine Unterschiede.”Der Marktforscher fügt hinzu: ‘Zweitens erfordert die Einrichtung eines einheitlichen Security Operation Centers klare Definitionen seiner Funktionen, Grenzen und seines Umfangs. Die Koordination mit mehreren Strafverfolgungsbehörden in der Region wird die Komplexität weiter erhöhen.”Die Forrester-Expertin van der Hout ist zwar der Ansicht, dass das Cyber-Solidaritätsgesetz einen Rahmen für die Verbesserung der Cybersicherheit in ganz Europa bietet. Sie sieht dabei jedoch mehrere Hürden. ‘Die erste ist die Komplexität der Koordination: Die logistischen Herausforderungen bei der Koordinierung von Maßnahmen in mehreren Ländern mit unterschiedlichen Rechtsrahmen und Betriebsprotokollen könnten eine effektive Umsetzung behindern.” Als Beispiel verweist van der Hout auf Gesetze zur Datenlokalisierung. ‘Diese schreiben vor, dass Daten im Herkunftsland gespeichert werden müssen, was zu operativen Hürden für grenzüberschreitend tätige Unternehmen führt. Zusätzlich erschwert die sich ständig weiterentwickelnde Natur dieser Vorschriften es Organisationen, ihre Praktiken kontinuierlich anzupassen, um die Vorschriften einzuhalten.”Zudem seien nachhaltige Investitionen erforderlich: ‘Kontinuierliche Finanzierung und Ressourcenzuweisung sind notwendig, um diese Initiativen aufrechtzuerhalten und weiterzuentwickeln und auf eine sich ständig verändernde Bedrohungslandschaft zu reagieren.” Die Forrester-Analystin sieht auch Unterschiede in der Infrastruktur: ‘Die technologische Infrastruktur zur Unterstützung der Cybersicherheit ist von Land zu Land sehr unterschiedlich. In einigen Regionen fehlen möglicherweise die notwendigen Ressourcen oder das Fachwissen für die Umsetzung.”Zudem ist van der Hout der Meinung, dass Sicherheitsrisiken eine weitere große Herausforderung darstellen. ‘Der grenzüberschreitende Datentransport erhöht die Anfälligkeit für Cyberbedrohungen. Daten können durch Gerichtsbarkeiten mit schwächeren Maßnahmen geleitet werden, was Bedenken hinsichtlich Verstößen und Missbrauch aufwirft.”Diese Probleme unterstreichen, wie komplex es ist, grenzüberschreitende Zusammenarbeit im Bereich der Cybersicherheit zu gewährleisten, ohne nationale Vorschriften oder die betriebliche Effizienz zu untergraben.Lesetipp: AI Act Wie Europas KI-Gesetz CISOs fordert
Standardisierung verwalteter Sicherheitsdienste
Zusätzlich zu dem neuen Cyber Solidarity Act soll auch der Cyber Security Act von 2019 ergänzt werden , um der wachsenden Bedeutung verwalteter Sicherheitsdienste Rechnung zu tragen. Diese Bestimmung wird den Weg ebnen, um europäische Zertifizierungssysteme für spezialisierte Cybersicherheitsmaßnahmen zu entwickeln. Dazu zählen die Behandlung von Vorfällen, Penetrationstests, Sicherheitsaudits und technische Beratung,Dieser Schritt schließt eine kritische Lücke in der aktuellen Cybersicherheitslandschaft. Durch standardisierte Zertifizierungsprozesse will die EU das Vertrauen in Sicherheitsanbieter fördern, die Servicequalität verbessern und eine Marktfragmentierung verhindern. Einige Mitgliedstaaten hatten bereits begonnen, nationale Zertifizierungssysteme zu entwickeln. Diese Gesetzgebung bietet nun einen einheitlichen und umfassenden Rahmen.’Diese gezielte Änderung wird die Einführung europäischer Zertifizierungssysteme für diese verwalteten Sicherheitsdienste ermöglichen”, heißt es in der Erklärung des Rates. “Sie wird dazu beitragen, ihre Qualität und Vergleichbarkeit zu verbessern, die Entstehung vertrauenswürdiger Anbieter von Cybersicherheitsdiensten zu fördern und eine Fragmentierung des Binnenmarktes zu vermeiden.”Diese Zertifizierungen sollen Unternehmen dabei helfen, Dienstleister effektiver zu bewerten und das Vertrauen in die Auslagerung kritischer Cybersicherheitsfunktionen zu stärken.’Dadurch wird ein einheitlicher und standardisierter Rahmen in der gesamten Region geschaffen”, bemerkte Techarc-Analyst Kawoosa und hob hervor, wie der Rahmen die Einhaltung von Vorschriften vereinfacht und es Unternehmen erleichtert, sich in den unterschiedlichen Vorschriften der verschiedenen Mitgliedstaaten zurechtzufinden.’Dies ist notwendig, um Vertrauen bei Verbrauchern und Unternehmen aufzubauen”, ergänzt Forrester-Analystin van der Hout. ‘Die Harmonisierung der Cybersicherheitsstandards ist wichtig, um bessere und sicherere Lösungen zu schaffen. Sie zieht auch Investitionen an, da Investoren eher geneigt sind, Unternehmen zu unterstützen, die innerhalb klar definierter Vorschriften arbeiten.”Die Vorschläge wurden am 18. April 2023 von der Europäischen Kommission vorgelegt und umfassend verfeinert. Am 6. März 2024 erzielten die Mitgesetzgeber eine vorläufige Einigung, die einen bedeutenden Meilenstein in der Entwicklung der digitalen Politik darstellt.Beide Rechtsakte sollen in den kommenden Wochen im Amtsblatt der EU veröffentlicht werden. (jm)Lesetipp: Die wichtigsten Security-Gesetze im Überblick
First seen on csoonline.com
Jump to article: https://www.csoonline.com/article/3618057/neue-eu-gesetze-zur-cyberabwehr.html