EU verschärft Regeln für digitale Lieferketten und Cybersicherheit

Brüssel reagiert auf zunehmende Cyberangriffe mit einem weitreichenden Maßnahmenpaket: Die Europäische Kommission hat neue Regelungen vorgelegt, die insbesondere die Sicherheit digitaler Lieferketten verbessern und Unternehmen den Umgang mit Cybersicherheitsanforderungen erleichtern sollen. Im Fokus stehen dabei Mobilfunknetze und kritische Infrastrukturen.

Neue Anforderungen an Telekommunikationsnetze

Das vorgelegte Regelwerk sieht konkrete Vorgaben für Betreiber elektronischer Kommunikationsnetze vor. Komponenten von Anbietern, die als Hochrisikolieferanten eingestuft werden, müssen aus zentralen Anlagen mobiler, kabelgebundener und satellitengestützter Netze entfernt werden. Für Mobilfunkbetreiber gilt eine Umsetzungsfrist von drei Jahren. Die Fristen für Festnetz- und Satellitenkommunikation legt die Kommission durch separate Rechtsakte fest.

Risikominderung in kritischen Sektoren

Die Kommission etabliert einen einheitlichen Ansatz zur Bewertung von Risiken in IKT-Lieferketten. Der Rahmen basiert auf einer verhältnismäßigen, risikoorientierten Methodik und ermöglicht eine koordinierte Identifizierung von Gefährdungen in 18 kritischen Bereichen der europäischen Wirtschaft. Dabei fließen auch ökonomische Faktoren und Versorgungsaspekte in die Bewertung ein.

Aktuelle Vorfälle haben deutlich gemacht, dass Schwachstellen in digitalen Lieferketten erhebliche Auswirkungen auf zentrale Dienste und Infrastrukturen haben können. Die geopolitische Entwicklung erfordert eine Betrachtung, die über technische Produktsicherheit hinausgeht und Abhängigkeiten sowie externe Einflussnahme berücksichtigt.

Für europäische Mobilfunknetze wird eine verpflichtende Risikominderung gegenüber Drittstaatenanbietern mit erhöhtem Risikoprofil eingeführt. Diese Maßnahme erweitert die bereits im Rahmen der 5G-Sicherheitswerkzeuge begonnenen Aktivitäten.

Optimiertes Zertifizierungssystem

Der reformierte europäische Rahmen für Cybersicherheitszertifizierung soll Produkte und Dienste effizienter überprüfbar machen. Zertifizierungssysteme werden künftig standardmäßig innerhalb von zwölf Monaten entwickelt. Eine flexiblere Governance-Struktur mit öffentlichen Konsultationen bindet Interessengruppen stärker ein.

Die von der ENISA betreuten Zertifizierungssysteme werden zu einem praktischen, optionalen Werkzeug für Wirtschaftsakteure. Sie ermöglichen den Nachweis der Regelkonformität und senken damit Aufwand und Kosten. Neben IKT-Produkten, Diensten, Prozessen und verwalteten Sicherheitsservices können Organisationen auch ihre gesamte Cybersicherheitsposition zertifizieren lassen. Dies schafft einen Wettbewerbsvorteil für europäische Unternehmen und gewährleistet ein hohes Sicherheitsniveau in komplexen Lieferketten.

Vereinfachte Compliance-Anforderungen

Das Paket enthält Anpassungen zur Vereinfachung der Einhaltung europäischer Cybersicherheitsvorschriften. Diese ergänzen die im Digital Omnibus vorgeschlagene zentrale Meldestelle für Sicherheitsvorfälle. Gezielte Modifikationen der NIS2-Richtlinie erhöhen die Rechtssicherheit und erleichtern 28.700 Unternehmen die Regelkonformität, darunter 6.200 Kleinst- und Kleinbetriebe.

Eine neue Kategorie für kleinere mittelständische Unternehmen reduziert die Compliance-Kosten für 22.500 Betriebe. Die Änderungen klären Zuständigkeitsfragen, vereinfachen die Datenerfassung bei Ransomware-Attacken und erleichtern die Aufsicht über grenzüberschreitend tätige Unternehmen durch die gestärkte Koordinierungsfunktion der ENISA.

Erweiterte Rolle der ENISA

Seit Verabschiedung des ersten Cybersicherheitsgesetzes 2019 hat sich die ENISA zu einem zentralen Element des europäischen Cybersicherheitsökosystems entwickelt. Die Reform ermöglicht der Agentur eine verstärkte Unterstützung von EU und Mitgliedstaaten bei der Analyse gemeinsamer Bedrohungen sowie bei Vorbereitung und Reaktion auf Cybervorfälle.

Die Agentur wird in der EU tätige Unternehmen und Interessengruppen durch Frühwarnungen zu Cyberbedrohungen und Vorfällen unterstützen. In Kooperation mit Europol und Computer Security Incident Response Teams hilft sie Organisationen bei der Bewältigung von Ransomware-Angriffen. Zudem entwickelt die ENISA einen unionsweiten Ansatz für verbesserte Schwachstellenmanagement-Dienste und betreibt die im Digital Omnibus vorgeschlagene zentrale Meldestelle.

Die ENISA trägt weiterhin zum Aufbau qualifizierten Cybersicherheitspersonals in Europa bei. Dazu pilotiert sie die Cybersecurity Skills Academy und richtet EU-weite Zertifizierungssysteme für Cybersicherheitskompetenzen ein.

Zeitplan und Umsetzung

Das Cybersicherheitsgesetz tritt direkt nach Verabschiedung durch Europäisches Parlament und Rat in Kraft. Die begleitenden Änderungen der NIS2-Richtlinie durchlaufen ebenfalls das Gesetzgebungsverfahren. Nach Verabschiedung haben die Mitgliedstaaten zwölf Monate Zeit für die Umsetzung in nationales Recht und die Übermittlung der entsprechenden Texte an die Kommission.

Jetzt weiterlesen

---

Bild/Quelle: https://depositphotos.com/de/home.html