Cyber Solidarity Act: Unterschied zwischen den Versionen
Keine Bearbeitungszusammenfassung |
|||
(2 dazwischenliegende Versionen von 2 Benutzern werden nicht angezeigt) | |||
Zeile 1: | Zeile 1: | ||
{{Infobox Rechtsakt (EU)|Typ=Verordnung|Jahr=2025|Nummer=38|Vertrag=EU|EWR=ja|Titel=Verordnung (EU) 2025/38 des Europäischen Parlaments und des Rates vom 19. Dezember 2024 über Maßnahmen zur Stärkung der Solidarität und der Kapazitäten in der Union für die Erkennung von, Vorsorge für und Bewältigung von Cyberbedrohungen und Sicherheitsvorfällen und zur Änderung der Verordnung (EU) 2021/694|Kurztitel=Cyber Solidarity Act|Bezeichnung=|Rechtsmaterie=Binnenmarkt, Cybersicherheit|Grundlage=AEUV, insbesondere {{Art.|173|AEUV|dejure|}} Abs 3 und {{Art.|322|AEUV|dejure|}} Abs 1 lit a|Fundstelle=ABl L 2025/38, 1|Anzuwenden=4. Februar 2025|Gültig= | {{Infobox Rechtsakt (EU)|Typ=Verordnung|Jahr=2025|Nummer=38|Vertrag=EU|EWR=ja|Titel=Verordnung (EU) 2025/38 des Europäischen Parlaments und des Rates vom 19. Dezember 2024 über Maßnahmen zur Stärkung der Solidarität und der Kapazitäten in der Union für die Erkennung von, Vorsorge für und Bewältigung von Cyberbedrohungen und Sicherheitsvorfällen und zur Änderung der Verordnung (EU) 2021/694|Kurztitel=Cyber Solidarity Act|Bezeichnung=|Rechtsmaterie=Binnenmarkt, Cybersicherheit|Grundlage=AEUV, insbesondere {{Art.|173|AEUV|dejure|}} Abs 3 und {{Art.|322|AEUV|dejure|}} Abs 1 lit a|Fundstelle=ABl L 2025/38, 1|Anzuwenden=4. Februar 2025|Gültig=anwendbar}} | ||
== Einführung == | == Einführung == | ||
Die Verordnung (EU) 2025/38 (Cyber Solidarity Act)<ref>https://eur-lex.europa.eu/eli/reg/2025/38/oj</ref> ist eine Vorstoß der EU um bedeutende und groß angelegte Bedrohungen und Angriffe im Bereich der Cybersicherheit zu erkennen, sich darauf vorzubereiten und darauf zu reagieren. Der Rechtsakt umfasst ein europäisches Warnsystem für Cybersicherheit, das aus EU-weit miteinander verbundenen Sicherheitsoperationszentren besteht, sowie einen umfassenden Mechanismus für Cybersicherheitsnotfälle, um die Widerstandsfähigkeit der EU im Cyberbereich zu verbessern.<ref>European Commission: The EU Cyber Solidarity Act https://digital-strategy.ec.europa.eu/en/policies/cyber-solidarity 08.08.2024</ref> | Die Verordnung (EU) 2025/38 (Cyber Solidarity Act)<ref>https://eur-lex.europa.eu/eli/reg/2025/38/oj</ref> ist eine Vorstoß der EU um bedeutende und groß angelegte Bedrohungen und Angriffe im Bereich der Cybersicherheit zu erkennen, sich darauf vorzubereiten und darauf zu reagieren. Der Rechtsakt umfasst ein europäisches Warnsystem für Cybersicherheit, das aus EU-weit miteinander verbundenen Sicherheitsoperationszentren besteht, sowie einen umfassenden Mechanismus für Cybersicherheitsnotfälle, um die Widerstandsfähigkeit der EU im Cyberbereich zu verbessern.<ref>European Commission: The EU Cyber Solidarity Act https://digital-strategy.ec.europa.eu/en/policies/cyber-solidarity 08.08.2024</ref> | ||
Zeile 21: | Zeile 21: | ||
# Ermöglichung einer schnelleren und effizienteren Reaktion auf größere Cybervorfälle durch Behörden und relevante Einrichtungen | # Ermöglichung einer schnelleren und effizienteren Reaktion auf größere Cybervorfälle durch Behörden und relevante Einrichtungen | ||
Verpflichtungen zur Bereitstellung von Daten durch Entitäten oder zur Regelungen des Verhältnisses zu den Bestimmungen der DSGVO sind nicht erkennbar. | Verpflichtungen zur Bereitstellung von Daten durch Entitäten oder zur Regelungen des Verhältnisses zu den Bestimmungen der DSGVO sind nicht erkennbar. Der Enschluss mehrerer Institution Daten über Cyberbedrohungen zu teilen ist freiwillig und vertrauensbasiert. Wenn Mitgliedstaaten vom System profitieren möächten, haben sie die in diesem Zusammenhang in Frage kommenden Institutionen so attraktiv wie möglich zu gestalten. | ||
=== Prüfung kritischer Einrichtungen auf potenzielle Schwachstellen === | === Prüfung kritischer Einrichtungen auf potenzielle Schwachstellen === | ||
Die koordinierten Bereitschaftstests dienen dazu, potenzielle Schwachstellen in kritischen Infrastrukturen zu identifizieren, die diese anfällig für Cyberbedrohungen machen könnten. Die Tests werden koordiniert durchgeführt, um die Cybersicherheitsbereitschaft der ausgewählten Einrichtungen zu überprüfen. Dabei werden gemäß Art. 2 Abs 9. iVm Art 11 CSA Potenzielle Schwachstellen identifiziert, | Die koordinierten Bereitschaftstests dienen dazu, potenzielle Schwachstellen in kritischen Infrastrukturen zu identifizieren, die diese anfällig für Cyberbedrohungen machen könnten. Die Tests werden koordiniert durchgeführt, um die Cybersicherheitsbereitschaft der ausgewählten Einrichtungen zu überprüfen. Dabei werden gemäß Art. 2 Abs 9. iVm Art 11 CSA Potenzielle Schwachstellen identifiziert, die Reaktionsfähigkeit auf Cyberbedrohungen getestet, Verbesserungspotenziale geprüft. Nachdem keine Mitwirkungspflichten der Entitäten normiert sind, dürfte die Mitwirkung an den Prüfungen seitens der geprüften Entitäten freiwillig sein. | ||
== Synergien == | == Synergien == |
Aktuelle Version vom 27. Februar 2025, 08:48 Uhr
![]() Verordnung (EU) 2025/38 | |
---|---|
Titel: | Verordnung (EU) 2025/38 des Europäischen Parlaments und des Rates vom 19. Dezember 2024 über Maßnahmen zur Stärkung der Solidarität und der Kapazitäten in der Union für die Erkennung von, Vorsorge für und Bewältigung von Cyberbedrohungen und Sicherheitsvorfällen und zur Änderung der Verordnung (EU) 2021/694 |
Kurztitel: | Cyber Solidarity Act |
Geltungsbereich: | EWR |
Rechtsmaterie: | Binnenmarkt, Cybersicherheit |
Grundlage: | AEUV, insbesondere Art. 173 Abs 3 und Art. 322 Abs 1 lit a |
Anzuwenden ab: | 4. Februar 2025 |
Fundstelle: | ABl L 2025/38, 1 |
Volltext | Konsolidierte Fassung (nicht amtlich) Grundfassung |
Regelung ist in Kraft getreten und anwendbar. | |
Hinweis zur geltenden Fassung von Rechtsakten der Europäischen Union |
Einführung
Die Verordnung (EU) 2025/38 (Cyber Solidarity Act)[1] ist eine Vorstoß der EU um bedeutende und groß angelegte Bedrohungen und Angriffe im Bereich der Cybersicherheit zu erkennen, sich darauf vorzubereiten und darauf zu reagieren. Der Rechtsakt umfasst ein europäisches Warnsystem für Cybersicherheit, das aus EU-weit miteinander verbundenen Sicherheitsoperationszentren besteht, sowie einen umfassenden Mechanismus für Cybersicherheitsnotfälle, um die Widerstandsfähigkeit der EU im Cyberbereich zu verbessern.[2]
Anwendungsbereich
Der Cyber Solidarity Act verweist auf Art. 6 Abs. 38 NIS II-Richtlinie (Art. 2 Abs 4. CSA) sowie Tätigkeiten der Einrichtung in den Anhang I oder II der NIS2-RL, welche als kritisch bzw. hochkritische Sektoren bezeichnet werden. (Art. 2 Abs 5. CSA)
Ein allgemeiner Verweis auf Art 3 NIS II-RL ist nicht vorhanden, weshalb gerade der größenunabhängige Anwendungsbereich der NIS2 II-RL im Grundbegriff nciht erfasst ist. Im Hinblick auf die Inanspruchnahme von Unterstützung aus der EU-Cybersicherheitsreserve sind Entitäten in Art. 14 Abs. 2 CSA aber doch wieder erwähnt. Systematisch wird damit der rechtspolitisch fragwürdige Eindruck erweckt, dass die Stellen des Art. 3 NIS-II-RL nur in diesem engen Rahmen vom CSA erfasst sind und z.B. nicht am Cybersecurity Shield teilnehmen sollen.
Zentrale Inhalte
Europäischer Cybersicherheitsschild
Das European Cyber Shield besteht aus einer pan-europäischen Infrastruktur von Nationalen Sicherheitsoperationszentren (National SOCs) und Grenzüberschreitenden Sicherheitsoperationszentren (Cross-border SOCs). Die SOCs sind miteinander vernetzt und bilden eine EU-weite Infrastruktur zur Cybersicherheit.
Funktionsweise
Das European Cyber Shield operiert folgendermaßen (Art 3 CSA):
- Erkennung von Cyberbedrohungen und -vorfällen durch die vernetzten SOCs
- Analyse der gesammelten Daten mithilfe von KI und Datenanalyse
- Ausgabe von grenzüberschreitenden Warnungen bei identifizierten Bedrohungen
- Ermöglichung einer schnelleren und effizienteren Reaktion auf größere Cybervorfälle durch Behörden und relevante Einrichtungen
Verpflichtungen zur Bereitstellung von Daten durch Entitäten oder zur Regelungen des Verhältnisses zu den Bestimmungen der DSGVO sind nicht erkennbar. Der Enschluss mehrerer Institution Daten über Cyberbedrohungen zu teilen ist freiwillig und vertrauensbasiert. Wenn Mitgliedstaaten vom System profitieren möächten, haben sie die in diesem Zusammenhang in Frage kommenden Institutionen so attraktiv wie möglich zu gestalten.
Prüfung kritischer Einrichtungen auf potenzielle Schwachstellen
Die koordinierten Bereitschaftstests dienen dazu, potenzielle Schwachstellen in kritischen Infrastrukturen zu identifizieren, die diese anfällig für Cyberbedrohungen machen könnten. Die Tests werden koordiniert durchgeführt, um die Cybersicherheitsbereitschaft der ausgewählten Einrichtungen zu überprüfen. Dabei werden gemäß Art. 2 Abs 9. iVm Art 11 CSA Potenzielle Schwachstellen identifiziert, die Reaktionsfähigkeit auf Cyberbedrohungen getestet, Verbesserungspotenziale geprüft. Nachdem keine Mitwirkungspflichten der Entitäten normiert sind, dürfte die Mitwirkung an den Prüfungen seitens der geprüften Entitäten freiwillig sein.
Synergien
Risikomanagement in der Cybersicherheit
CSA
- Stärkt die Fähigkeit der EU, auf große Cyberangriffe zu reagieren, indem es ein Netzwerk von nationalen und grenzüberschreitenden Sicherheitsoperationszentren (SOC) fördert und die Zusammenarbeit bei Cyberkrisen stärkt. Über das vorgesehene Netzwerks von SOCs, sollten Bedrohungsdaten in Echtzeit ausgetauscht werden.
NIS2-RL
- Verlangt von Organisationen aus kritischen Sektoren, robuste Cybersicherheitsmaßnahmen einzuführen, um die Resilienz gegenüber Cyberbedrohungen zu erhöhen.
Synergie Die verstärkte Sicherheitsinfrastruktur (z. B. durch SOCs) unterstützt Unternehmen und öffentliche Einrichtungen dabei, die unter NIS-II RL geforderten Standards besser einzuhalten, insbesondere durch frühzeitige Erkennung von Bedrohungen und Informationsaustausch.
Konsequenzen/Strafen
Der CSA enthält keine Sanktionsmechanismen.
Weiterführende Literatur
Einzelnachweise
- ↑ https://eur-lex.europa.eu/eli/reg/2025/38/oj
- ↑ European Commission: The EU Cyber Solidarity Act https://digital-strategy.ec.europa.eu/en/policies/cyber-solidarity 08.08.2024