Cybersecurity
- Network and Information Security Directive (NIS II-RL)
- Critical Entities‘ Resilience Directive (CER)
- Digital Operational Resilience Act (DORA)
- Cyber Resilience Act (CRA)
- Cyber Solidarity Act
- Cyber Security Act (CSA)
Hintergründe und Überblick
Cybersicherheit (engl. Cybersecurity) bezeichnet Praktiken zum Schutz von digitalen Systemen, Netzwerken und Daten vor Angriffen, unbefugtem Zugriff und Schäden.[1] Die Europäische Union (EU) hat sich im Rahmen ihrer Cybersicherheitsstrategie zum Ziel gesetzt, Normen zu setzen, um das Niveau der Cybersicherheit in der EU zu erhöhen. Die Cybersicherheitsstrategie der EU ist ein zentraler Bestandteil ihrer Bemühungen, die digitale Transformation sicher und widerstandsfähig zu gestalten. Sie zielt darauf ab, die Widerstandsfähigkeit gegenüber Cyberbedrohungen zu erhöhen, technologische Souveränität zu gewährleisten und die Zusammenarbeit sowohl innerhalb der EU als auch mit internationalen Partnern zu stärken. Diese Strategie ist eng mit einer Reihe von Rechtsakten verbunden, die spezifische Aspekte der Cybersicherheit regeln und umsetzen. Die Strategie betont die Bedeutung eines koordinierten Vorgehens aller Mitgliedstaaten sowie eines hohen Maßes an technologischer Unabhängigkeit. Gleichzeitig wird die internationale Zusammenarbeit gefördert, um globale Standards für einen sicheren Cyberspace zu entwickeln.
Die EU-Cybersicherheitsstrategie verfolgt drei Hauptziele: Resilienz, technologische Souveränität und Führung, operative Fähigkeiten zur Prävention und Reaktion auf Cyberangriffe sowie die Förderung eines globalen und offenen Cyberspace.
Sie adressiert die wachsende Bedrohung durch Cyberangriffe, die zunehmend komplexer werden und sowohl kritische Infrastrukturen als auch Unternehmen und Bürger betreffen. Um diesen Herausforderungen gerecht zu werden, setzt die EU auf eine Kombination aus regulatorischen Maßnahmen, Investitionen in Technologien und politischer Zusammenarbeit. Wesentliche Rechtsakte im Kontext der Cybersicherheitsstrategie:
NIS II-Richtlinie (Network and Information Security Directive)
Die NIS II-Richtlinie bildet das Rückgrat der EU-Cybersicherheitsstrategie und zielt darauf ab, ein hohes gemeinsames Sicherheitsniveau für Netz- und Informationssysteme in der EU zu gewährleisten. Sie ersetzt die ursprüngliche NIS-Richtlinie aus dem Jahr 2016 und erweitert den Anwendungsbereich auf 18 kritische Sektoren, darunter Energie, Gesundheit, Verkehr und digitale Infrastruktur. Die Richtlinie fordert von den Mitgliedstaaten die Entwicklung nationaler Cybersicherheitsstrategien sowie eine verstärkte Zusammenarbeit bei der Reaktion auf grenzüberschreitende Vorfälle. Unternehmen in den betroffenen Sektoren müssen strenge Risikomanagementmaßnahmen einführen und Sicherheitsvorfälle melden.
CER-Richtlinie (Critical Entities’ Resilience Directive)
Diese Richtlinie ergänzt die NIS II-Richtlinie, indem sie sich speziell auf die physische und digitale Widerstandsfähigkeit kritischer Infrastrukturen konzentriert. Sie verpflichtet die Mitgliedstaaten dazu, kritische Einrichtungen zu identifizieren und deren Schutz vor Cyber- und physischen Bedrohungen sicherzustellen.
DORA (Digital Operational Resilience Act)
DORA richtet sich an den Finanzsektor und legt detaillierte Anforderungen an das IT-Risikomanagement fest. Ziel ist es, sicherzustellen, dass Finanzinstitute wie Banken oder Versicherungen auch bei schwerwiegenden Cybervorfällen funktionsfähig bleiben. Der Fokus liegt auf Belastungstests, Berichtspflichten und der Überwachung von Drittanbietern.
Cyber Resilience Act (CRA)
Der CRA zielt darauf ab, verbindliche Cybersicherheitsanforderungen für Produkte mit digitalen Elementen einzuführen. Hersteller sind verpflichtet, Sicherheitsaspekte während des gesamten Produktlebenszyklus zu berücksichtigen. Dies soll dazu beitragen, Schwachstellen in digitalen Produkten frühzeitig zu minimieren.
Cyber Solidarity Act (Novelle)
Dieser Rechtsakt stärkt die Zusammenarbeit zwischen den EU-Mitgliedstaaten bei der Bewältigung großer Cyberangriffe. Er sieht unter anderem einen Notfallmechanismus sowie ein Frühwarnsystem für Cybersicherheitsvorfälle vor.
Cyber Security Act (CSA)
Der CSA etablierte ein EU-weites Zertifizierungssystem für IKT-Produkte und stärkte das Mandat der Europäischen Agentur für Cybersicherheit (ENISA). Ziel ist es, einheitliche Standards für Cybersicherheit in der gesamten EU zu schaffen.
- ↑ Es gibt verschiedene alternative Begriffe, die oft im Zusammenhang mit Cybersicherheit verwendet werden zB: IT-Sicherheit: Fokussiert sich auf den Schutz von Informationstechnologiesystemen. Informationssicherheit: Umfasst den Schutz aller Arten von Informationen, sowohl digital als auch physisch. Netzwerksicherheit: Konzentriert sich speziell auf den Schutz von Computernetzwerken. Datensicherheit: Zielt auf den Schutz von Daten vor Verlust, Manipulation und unbefugtem Zugriff ab.
