ENISA: Meldepflicht für Cybervorfälle "funktioniert nicht"

28. April 2022, 10:36
  • eu
  • Kritische Infrastruktur
  • enisa
  • security
image
Juhan Lepassaar, Exekutivdirektor der Agentur der Europäischen Union für Cybersicherheit. Foto: ENISA

Die Agentur der EU für Cybersicherheit bemängelt, dass das System zur Meldung von Cyberangriffen zu bürokratisch ist und der Informationsaustausch nicht funktioniert.

Während in der Schweiz eine Ver­nehm­lassung des Bundesrates zur Einführung einer Meldepflicht für Cyberangriffe auf kritische Infra­strukturen grundsätzlich auf breite Zustimmung stiess, gibt es in der EU eine solche Pflicht bereits. Nun werden allerding Stimmen laut, die sagen, dass dieses Meldesystem für Cybervorfälle zu bürokratisch ist und "nicht funktioniert".
Wie 'Euractiv' berichtet, forderte Juhan Lepassaar, der Exekutivdirektor der Agentur der Europäischen Union für Cybersicherheit (ENISA), an einem runden Tisch zum Thema Cybersicherheit, dass ein widerstandsfähigeres System, ein besseres rechtliches Umfeld sowie ein besserer Informations­aus­tausch mit den Mitgliedstaaten geschaffen werden müsse.
"Wir brauchen etwas, das agil ist, das funktioniert und bei dem Informationen auf sichere Weise ausgetauscht werden können", sagt Lepassaar. "Mehr Widerstandsfähigkeit in kritischen Sektoren ist definitiv etwas, mit dem wir uns befassen müssen." Weitere Cybersicherheitsexperten äusserten gemäss 'Euractiv' ähnliche Bedenken hinsichtlich der Wirksamkeit des Systems.

Besserer Informationsaustausch nötig

Laut ENISA ist die Meldung von Sicherheitsverletzungen im Cyberraum von entscheidender Bedeutung, nicht nur für die Öffentlichkeit, sondern auch damit die Behörden aktuelle Trends und sicherheitsrelevante Schwachstellen erkennen und darauf reagieren können. Eine entsprechende Pflicht wurde in der EU für kritische Infrastrukturen bereits 2018 mit der EU-Richtlinie über die Sicherheit von Netz- und Informationssystemen (NIS) eingeführt.
Für den Exekutivdirektor der ENISA funktioniert das aktuelle rechtliche Umfeld allerdings nicht. So wurden gemäss ihm im Jahr 2021 im Rahmen der geltenden Richtlinie keine grenzüberschreitenden Vorfälle gemeldet, obwohl mit einem Trojaner eine Reihe von Banken angegriffen wurden und es einen Angriff auf eine europäische E-Ticketing-Plattform gab.
"Das Problem ist, dass wir von den Informationen abhängig sind, die wir von den Mitgliedstaaten erhalten", fügte Lepassaar hinzu und stellte fest, dass der mangelnde Informationsaustausch die Fähigkeit der Agentur gefährdet. In seiner jetzigen Form sei das Meldesystem für Cybervorfälle zu schwerfällig "und bürokratisch", so Lepassaar.

Einbezug des Privatsektors

Was die Bereitschaft der Mitgliedstaaten zum Informationsaustausch betrifft, so betonte Luukas Ilves, Chief Information Officer von Estland, dass sich die Situation bereits erheblich verbessert habe und er den zunehmenden Einsatz des automatisierten Informationsaustauschs befürworte.
Dennoch, so Ilves, bleibe noch viel zu tun. Neben der Zusammenarbeit zwischen den EU-Institutionen, den Mitgliedstaaten und den verschiedenen öffentlichen Stellen sei "die Meldung von Vorfällen durch den privaten Sektor ebenso wichtig".
Ähnlich äusserte sich auch Anouck Teiller von der französischen Agentur für die Sicherheit von Informationssystemen (ANSSI). Er betonte gegenüber 'Euractiv', dass der Privatsektor sowohl bei der Prävention als auch bei der Reaktion auf Cyber-Bedrohungen eine grössere Rolle spielen sollte.
Bleibt zu hoffen, dass sich der Schweizer Bundesrat die Entwicklungen in der EU ganz genau anschaut und entsprechende Erkenntnisse direkt in die neuen Rechtsgrundlagen einfliessen lässt.

Loading

Mehr zum Thema

image

EU: Ab 28. Dezember 2024 gilt USB-C-Pflicht

Wer ab dem Stichtag ein Gerät auf den europäischen Markt bringt, muss einen USB-C-Anschluss bieten. Laptop-Hersteller haben noch etwas mehr Zeit.

publiziert am 9.12.2022
image

Online-Betrüger: "Kommen Sie an unseren Branchenevent"

KMU und Private werden mit Phishing- und Betrugsmails bombardiert. Das NCSC hat alle Hände voll zu tun.

publiziert am 9.12.2022
image

Podcast: Lehren aus dem Drama um das Organspenderegister

Nach dem Ende des Registers von Swisstransplant bleibt vor allem Konsternation. Christian Folini und Florian Badertscher im Gespräch über Meldeprozesse für Lücken und heikle Datenbanken.

publiziert am 9.12.2022
image

EU-Gericht: Suchmaschinen müssen Links zu Falschinformationen löschen

Betroffene brauchen Beweise um Links löschen zu lassen, aber kein gerichtliches Urteil, sagt der Europäische Gerichtshof.

publiziert am 8.12.2022