ENISA: Meldepflicht für Cybervorfälle "funktioniert nicht"

28. April 2022 um 10:36
  • eu
  • Kritische Infrastruktur
  • enisa
  • security
image
Juhan Lepassaar, Exekutivdirektor der Agentur der Europäischen Union für Cybersicherheit. Foto: ENISA

Die Agentur der EU für Cybersicherheit bemängelt, dass das System zur Meldung von Cyberangriffen zu bürokratisch ist und der Informationsaustausch nicht funktioniert.

Während in der Schweiz eine Ver­nehm­lassung des Bundesrates zur Einführung einer Meldepflicht für Cyberangriffe auf kritische Infra­strukturen grundsätzlich auf breite Zustimmung stiess, gibt es in der EU eine solche Pflicht bereits. Nun werden allerding Stimmen laut, die sagen, dass dieses Meldesystem für Cybervorfälle zu bürokratisch ist und "nicht funktioniert".
Wie 'Euractiv' berichtet, forderte Juhan Lepassaar, der Exekutivdirektor der Agentur der Europäischen Union für Cybersicherheit (ENISA), an einem runden Tisch zum Thema Cybersicherheit, dass ein widerstandsfähigeres System, ein besseres rechtliches Umfeld sowie ein besserer Informations­aus­tausch mit den Mitgliedstaaten geschaffen werden müsse.
"Wir brauchen etwas, das agil ist, das funktioniert und bei dem Informationen auf sichere Weise ausgetauscht werden können", sagt Lepassaar. "Mehr Widerstandsfähigkeit in kritischen Sektoren ist definitiv etwas, mit dem wir uns befassen müssen." Weitere Cybersicherheitsexperten äusserten gemäss 'Euractiv' ähnliche Bedenken hinsichtlich der Wirksamkeit des Systems.

Besserer Informationsaustausch nötig

Laut ENISA ist die Meldung von Sicherheitsverletzungen im Cyberraum von entscheidender Bedeutung, nicht nur für die Öffentlichkeit, sondern auch damit die Behörden aktuelle Trends und sicherheitsrelevante Schwachstellen erkennen und darauf reagieren können. Eine entsprechende Pflicht wurde in der EU für kritische Infrastrukturen bereits 2018 mit der EU-Richtlinie über die Sicherheit von Netz- und Informationssystemen (NIS) eingeführt.
Für den Exekutivdirektor der ENISA funktioniert das aktuelle rechtliche Umfeld allerdings nicht. So wurden gemäss ihm im Jahr 2021 im Rahmen der geltenden Richtlinie keine grenzüberschreitenden Vorfälle gemeldet, obwohl mit einem Trojaner eine Reihe von Banken angegriffen wurden und es einen Angriff auf eine europäische E-Ticketing-Plattform gab.
"Das Problem ist, dass wir von den Informationen abhängig sind, die wir von den Mitgliedstaaten erhalten", fügte Lepassaar hinzu und stellte fest, dass der mangelnde Informationsaustausch die Fähigkeit der Agentur gefährdet. In seiner jetzigen Form sei das Meldesystem für Cybervorfälle zu schwerfällig "und bürokratisch", so Lepassaar.

Einbezug des Privatsektors

Was die Bereitschaft der Mitgliedstaaten zum Informationsaustausch betrifft, so betonte Luukas Ilves, Chief Information Officer von Estland, dass sich die Situation bereits erheblich verbessert habe und er den zunehmenden Einsatz des automatisierten Informationsaustauschs befürworte.
Dennoch, so Ilves, bleibe noch viel zu tun. Neben der Zusammenarbeit zwischen den EU-Institutionen, den Mitgliedstaaten und den verschiedenen öffentlichen Stellen sei "die Meldung von Vorfällen durch den privaten Sektor ebenso wichtig".
Ähnlich äusserte sich auch Anouck Teiller von der französischen Agentur für die Sicherheit von Informationssystemen (ANSSI). Er betonte gegenüber 'Euractiv', dass der Privatsektor sowohl bei der Prävention als auch bei der Reaktion auf Cyber-Bedrohungen eine grössere Rolle spielen sollte.
Bleibt zu hoffen, dass sich der Schweizer Bundesrat die Entwicklungen in der EU ganz genau anschaut und entsprechende Erkenntnisse direkt in die neuen Rechtsgrundlagen einfliessen lässt.

Loading

Mehr zum Thema

imageAbo

Schweiz modernisiert digitale Polizeidienste

PTI Schweiz schreibt die nächste Generation der nationalen Online-Polizeiplattform Suisse ePolice aus. Die Lösung soll Online-Dienste der Polizeikorps ausbauen und stärker automatisieren.

publiziert am 22.6.2026
image

Finanzplatz Schweiz von KI-Modell Mythos bedroht

Die Schweizerische Bankiervereinigung und das Schweizer Zentrum zur Bekämpfung von Finanzkriminalität sehen in der Mythos-KI eine Bedrohung für den hiesigen Finanzplatz.

publiziert am 19.6.2026
imageAbo

EFK sieht Lücken in der Cyberabwehr des Bundes

Bei der Zusammenarbeit zwischen FS BIS und dem Bacs bestehen noch Lücken – insbesondere bei Vorgaben, Prozessen und der Meldung von Cybervorfällen.

publiziert am 18.6.2026
image

Hackerkampagne kompromittiert 74'000 Fortinet-Firewalls

Der "Fortibleed" getaufte Angriff legt Zugangsdaten von Organisationen weltweit offen. Sicherheitsforscher nennen das Ausmass "erschreckend".

publiziert am 18.6.2026