Krankenhäuser, Energienetzwerke und andere kritische Infrastrukturen in der EU sollen besser vor Cyberangriffen geschützt werden. Die EU-Kommission schlägt deshalb im Rahmen einer neuen Cybersecurity-Strategie vor, die geltenden Sicherheitsregeln für Netz- und Informationssysteme (NIS) in der Union zu verschärfen.
Zu den vorgeschlagenen Massnahmen gehören der Einsatz von KI-gestützten Security Operations Centres, die in der gesamten EU eingerichtet werden, um ein "Cyber-Schutzschild" zu schaffen. Dieses soll Anzeichen von Angriffen erkennen und frühzeitig Abwehrmassnahmen einleiten. Weiter soll eine gemeinsame "Cyber-Einheit" geschaffen werden, um einen besseren Schutz vor schädlichen und grenzüberschreitenden Angriffen zu gewährleisten.
Zu den zusätzlichen Massnahmen würden auch die gezielte Unterstützung von kleinen und mittleren Security-Unternehmen im Rahmen der Digital Innovation Hubs gehören sowie verstärkte Bemühungen, Arbeitskräfte im Bereich Cybersicherheit weiterzubilden. Weiter soll in Forschung und Innovation investiert werden.
Geplante Investitionen von 4,5 Milliarden Euro
Die EU habe sich verpflichtet, die neue Cybersicherheitsstrategie in den nächsten sieben Jahren mit "einem noch nie dagewesenen Mass an Investitionen in den digitalen Wandel in der EU zu unterstützen", so die Kommission. Dies würde über den nächsten langfristigen EU-Haushalt, insbesondere das Programm "Digital Europe" und "Horizon Europe" sowie das Konjunkturprogramm für Europa erfolgen.
Ziel sei es, bis zu 4,5 Milliarden Euro an kombinierten Investitionen der EU, der Mitgliedstaaten und der Industrie zu erreichen, insbesondere im Rahmen des Kompetenzzentrums für Cybersicherheit und des Netzwerks der Koordinierungszentren.
Verschärfte Anforderungen an Unternehmen
Um auf die wachsenden Bedrohungen durch Digitalisierung und Vernetzung zu reagieren, soll die vorgeschlagene Richtlinie für ein hohes gemeinsames Niveau der Cybersicherheit in der gesamten Union bei Netzwerk- und Informationssystemen sorgen. Die überarbeitete NIS-Richtlinie oder "NIS 2" werde mittlere und grosse Unternehmen aus mehr Sektoren auf der Grundlage ihrer Wichtigkeit für Wirtschaft und Gesellschaft erfassen.
Die "NIS 2" verschärfe die Sicherheitsanforderungen an Unternehmen und befasse sich mit der Sicherheit von Lieferketten und Lieferantenbeziehungen. Sie straffe die Meldepflichten, führe strengere Aufsichtsmassnahmen für nationale Behörden ein und ziele auf eine Harmonisierung der Sanktionsregelungen in den Mitgliedstaaten ab. Der NIS-2-Vorschlag werde dazu beitragen, den Informationsaustausch und die Zusammenarbeit beim Cyber-Krisenmanagement auf nationaler und EU-Ebene zu verbessern, schreibt die Kommission in der Mitteilung zur neuen Strategie.
Der EU-Aussenbeauftragte Josep Borrell verwies bei der Vorstellung der Vorschläge
auf den jüngsten Angriff auf das IT-System der Europäischen Arzneimittel-Behörde EMA. EU-Innenkommissarin Ylva Johansson sagte: "Unsere Krankenhäuser, Abwassersysteme oder Verkehrsinfrastruktur sind nur so stark wie ihre schwächsten Anbindungen." Allein 2019 gab es nach Angaben der EU-Kommission rund 450 sicherheitsrelevante Zwischenfälle bei kritischen Infrastrukturen.