Während in der Schweiz eine Vernehmlassung des Bundesrates zur Einführung einer
Meldepflicht für Cyberangriffe auf kritische Infrastrukturen grundsätzlich auf breite Zustimmung stiess, gibt es in der EU eine solche Pflicht bereits. Nun werden allerding Stimmen laut, die sagen, dass dieses Meldesystem für Cybervorfälle zu bürokratisch ist und "nicht funktioniert".
Wie 'Euractiv' berichtet, forderte Juhan Lepassaar, der Exekutivdirektor der Agentur der Europäischen Union für Cybersicherheit (ENISA), an einem runden Tisch zum Thema Cybersicherheit, dass ein widerstandsfähigeres System, ein besseres rechtliches Umfeld sowie ein besserer Informationsaustausch mit den Mitgliedstaaten geschaffen werden müsse.
"Wir brauchen etwas, das agil ist, das funktioniert und bei dem Informationen auf sichere Weise ausgetauscht werden können", sagt Lepassaar. "Mehr Widerstandsfähigkeit in kritischen Sektoren ist definitiv etwas, mit dem wir uns befassen müssen." Weitere Cybersicherheitsexperten äusserten gemäss 'Euractiv' ähnliche Bedenken hinsichtlich der Wirksamkeit des Systems.
Besserer Informationsaustausch nötig
Laut ENISA ist die Meldung von Sicherheitsverletzungen im Cyberraum von entscheidender Bedeutung, nicht nur für die Öffentlichkeit, sondern auch damit die Behörden aktuelle Trends und sicherheitsrelevante Schwachstellen erkennen und darauf reagieren können. Eine entsprechende Pflicht wurde in der EU für kritische Infrastrukturen bereits 2018 mit der EU-Richtlinie über die Sicherheit von Netz- und Informationssystemen (NIS) eingeführt.
Für den Exekutivdirektor der ENISA funktioniert das aktuelle rechtliche Umfeld allerdings nicht. So wurden gemäss ihm im Jahr 2021 im Rahmen der geltenden Richtlinie keine grenzüberschreitenden Vorfälle gemeldet, obwohl mit einem Trojaner eine Reihe von Banken angegriffen wurden und es einen Angriff auf eine europäische E-Ticketing-Plattform gab.
"Das Problem ist, dass wir von den Informationen abhängig sind, die wir von den Mitgliedstaaten erhalten", fügte Lepassaar hinzu und stellte fest, dass der mangelnde Informationsaustausch die Fähigkeit der Agentur gefährdet. In seiner jetzigen Form sei das Meldesystem für Cybervorfälle zu schwerfällig "und bürokratisch", so Lepassaar.
Einbezug des Privatsektors
Was die Bereitschaft der Mitgliedstaaten zum Informationsaustausch betrifft, so betonte Luukas Ilves, Chief Information Officer von Estland, dass sich die Situation bereits erheblich verbessert habe und er den zunehmenden Einsatz des automatisierten Informationsaustauschs befürworte.
Dennoch, so Ilves, bleibe noch viel zu tun. Neben der Zusammenarbeit zwischen den EU-Institutionen, den Mitgliedstaaten und den verschiedenen öffentlichen Stellen sei "die Meldung von Vorfällen durch den privaten Sektor ebenso wichtig".
Ähnlich äusserte sich auch Anouck Teiller von der französischen Agentur für die Sicherheit von Informationssystemen (ANSSI). Er betonte gegenüber '
Euractiv', dass der Privatsektor sowohl bei der Prävention als auch bei der Reaktion auf Cyber-Bedrohungen eine grössere Rolle spielen sollte.
Bleibt zu hoffen, dass sich der Schweizer Bundesrat die Entwicklungen in der EU ganz genau anschaut und entsprechende Erkenntnisse direkt in die neuen Rechtsgrundlagen einfliessen lässt.