22. März 2022 Newsletter
Mehr Informationen +
Welche Initiativen gibt es eigentlich auf europäischer Ebene, um der wachsenden Cyber-Bedrohungslage zu begegnen und was sind die Ziele dieser Initiativen?
In erster Linie geht es hier natürlich um den Schutz der kritischen Infrastruktur und der Aufrechterhaltung der Wettbewerbsfähigkeit des europäischen Marktes. Es gibt hier mehrere Vorhaben, welche die Resilienz gegenüber Cyberangriffen erhöhen sollen. Wenn auch viele dieser Maßnahmen für als kritisch eingestufte Sektoren vorgesehen sind, können einige Überlegungen auch von anderen Unternehmen in Erwägung gezogen werden.
Aktuell gibt es auf Europäischer Ebene folgende Einrichtungen und Initiativen zu dieser Thematik – wir versuchen, die unserer Ansicht nach relevantesten etwas genauer unter die Lupe zu nehmen:
EU-Agentur für Cybersicherheit (ENISA)
Die EU-Agentur für Cybersicherheit folgt seit 2019 ihrer Vorgängerin (Agentur der Europäischen Union für Netz- und Informationssicherheit) nach, hat jedoch nun eine deutlich gestärkte Rolle.
Die Aufgabenbereiche sind vielfältig, sie unterstützt bei der Vorbereitung auf und Vermeidung von Cyberangriffen auf europäischer Ebene und publiziert eine Vielzahl von Artikeln und Guidelines.
Die Agentur ist ein sehr informativer Anlaufpunkt für Informationen auf europäischer Ebene und durch die Kooperation mit den nationalen CSIRTs (Computer Security Incident Response Team) ein Knotenpunkt an dem viele Informationen zusammen laufen.
Für mehr Informationen empfehlen wir die Website der ENISA:
https://www.enisa.europa.eu/
Gemeinsame Cyber-Einheit
Viele Nationen in der EU haben bereits entsprechende Einrichtungen, die sich mit Cyber-Kriminalität und Cyber-Sicherheit beschäftigen und diese Aufgaben auf nationaler Ebene wahrnehmen. Die Einrichtungen sind zwar organisatorisch unabhängig, aber die Bedrohungen, denen sie gegenüber stehen, sind häufig dieselben. Cyber-Angriffe beschränken sich in den wenigsten Fällen auf eine Nation, es sei den sie sind politisch motiviert.
Die Gemeinsame Cyber-Einheit soll eine Plattform schaffen, welche die Koordination, Erfahrungs- und Informationsaustausch und gemeinsame Warninstrumente ermöglichen soll.
Konkret vorgeschlagen wurde die Einheit 2021, soll aber im Rahmen eines sehr motivierten Zeitplans Mitte 2022 bereits seine Arbeit aufnehmen und ab Mitte 2023 voll funktionsfähig sein – in letzter Zeit ist es allerdings verdächtig ruhig zu diesem Thema geworden.
Dass eine solche Einheit, die auf Cyber-Sicherheitsvorfälle und Cyber-Krisen koordiniert auf europäischer Ebene agieren kann, notwendig ist, dürfte außer Frage stehen.
Cyber Resilience Act
Diese Initiative soll die Hersteller von IT-Produkten und -Services in die Pflicht nehmen auf die Cyber-Sicherheit Ihrer Produkte zu achten. In einer vernetzten Welt von heute sollte es eine Selbstverständlichkeit sein, dass auch die Hersteller von Soft- und Hardware bei der Entwicklung Ihrer Produkte auf Sicherheit achten – leider führen Zeit- und Kostendruck oft dazu, dass dieser Punkt in der Entwicklung nicht erste Priorität erhält.
Ziele dieser Initiative sind:
- gleichbleibend hohes Cybersicherheitsniveau für digitale Produkte und Nebendienstleistungen in Europa
- Nutzerinnen und Nutzer sollen in die Lage versetzt werden, die Sicherheitseigenschaften solcher Produkte auf ihre Bedürfnisse abzustimmen
- gleiche Wettbewerbsbedingungen für Anbieter digitaler Produkte und Nebendienstleistungen
Abbildung: Ziele des Cyber Resilience Acts
Zu dieser Initiative läuft noch bis zum 25. Mai 2022 eine Aufforderung zur Stellungnahme der Europäischen Kommission – Ziel der Konsultation ist es, die Ansichten verschiedener Interessenträger einzuholen.
Hier ist noch nicht abzusehen, welche Maßnahmen daraus folgen werden. Ein „Gütesiegel“ für Software und digitale Produkte wird schwer umsetzbar sein – allzu strenge Haftungsbestimmungen könnten eine Innovationsbremse sein.
Wir sind jedenfalls gespannt auf die Entwicklungen im Rahmen dieser Gesetzesinitiative.
Richtlinie über Maßnahmen für ein
hohes gemeinsames Cybersicherheitsniveau in der Union
(kurz: „überarbeitete NIS-Richtlinie“ oder „NIS 2“)
Wie der Name schon sagt, soll diese Richtlinie die NIS-Richtlinie 2016/1148 ersetzen und die darin enthaltenen Vorschriften decken eine Vielzahl von Bereichen ab und haben das Ziel, Risiken online und offline, von der Cyberattacke bis zur Naturkatastrophen, zu reduzieren.
Dies soll mit folgenden Maßnahmen erreicht werden:
- höhere Sicherheitsanforderungen an Unternehmen, die der kritischen Infrastruktur angehören
- Sicherheit der Lieferketten
- Vereinfachung der Berichterstattungspflichten
- Aufsichtsmaßnahmen und Durchsetzungsanforderungen durch die nationalen Behörden
Abbildung: Ziele der NIS 2 Richtlinie
Während man bisher bei kritischer Infrastruktur hauptsächlich von den klassischen Sektoren Verkehr, Banken, Gesundheit und Energie gesprochen hat, zielt NIS darauf ab, diese als kritisch definierten Bereiche auszuweiten. Das wird dazu führen, dass weitaus mehr Unternehmen nun von der Richtlinie erfasst sein werden, was als positiv zu werten ist.
Die Berücksichtigung von Lieferketten und Abhängigkeiten in diesem Zusammenhang stellt sich in der heutigen vernetzten Welt als Notwendigkeit dar. Kaum ein Unternehmen kann es sich leisten, von unsicheren Partnern in der Lieferkette abhängig zu sein – insofern ist die Einhaltung gewisser Mindeststandards in der IT-Sicherheit jedenfalls eine Notwendigkeit, die manchmal unbequem sein mag, allerdings der langfristen Gesundheit der Wirtschaftsbeziehungen zuträglich ist und aufgrund der vielen unterschiedlichen Cyberbedrohungen nicht ignoriert werden kann.
Manche Unternehmen machen es bereit vor und erwarten in Ihren Geschäftsbeziehungen mit Lieferanten bereits entsprechende umgesetzte Sicherheitsvorkehrungen.
FAZIT
Wir sind im Rahmen unserer Recherchen noch auf zahlreiche andere Informationsquellen und Initiativen im europäischen Kontext gestoßen – wie leider so oft im Zusammenhang mit öffentlichen Institutionen ist es ein Dschungel bestehend aus Informationen, welche durchaus werthaltig sind, allerdings kaum in strukturierter und verwertbarer Form vorliegen.
Grundsätzlich sind wir Initiativen, welche die Cyber-Resilienz von Unternehmen stärken sollen, positiv gegenüber eingestellt – nicht zuletzt, da diese Initiativen auch zu einer Stabilisierung des Versicherungsmarktes beitragen können, wenn Sie erfolgreich und wirksam umgesetzt werden.
Denn trotz aller Initiativen müssen wir uns darüber im klaren sein, dass Cyber-Bedrohungen und -Krisen zukünftig nicht mehr aus dem Alltag verschwinden werden. Es muss allerdings das Ziel sein, dass man zumindest den meisten dieser Angriffe relativ gelassen entgegen sehen kann.
TEILEN SIE DEN ARTIKEL
Unsere Produkte
D&O
Für Unternehmen, Stiftungen, Vereine, einzelne Personen & D&O mit Strafrechtschutz
CYBER
Für Dienstleister & Gewerbe, Versicherungs-Vermitttler, Produktions-Unternehmen etc.
SPEZIAL STRAF-RECHTSSCHUTZ
Strafrechtsschutz, Manager-Rechtsschutz, Steuerberater & Wirtschaftsprüfer
CRIME
Finanzinstitutionen,
Kommerzielle Kunden
VERMÖGENSSCHADEN-HAFTPFLICHT
Finanzinstitute, Private Equity, Werbung & Medien etc.
Lesen Sie hier weiter
News
CVSS: Ein Leitfaden zur Bewertung von Sicherheitslücken
Das Internet ist voll von Sicherheitslücken, die von Hackern ausgenutzt werden können, um sensible Daten zu stehlen oder Systeme zu manipulieren. Doch wie bewertet man diese?
WEITERLESEN
News
Desinformation: Eine anhaltende Bedrohung für Demokratie und Freiheit
Angesichts der bevorstehenden Wahlen in Österreich ist das Thema Desinformation besonders aktuell.
WEITERLESEN
News
Auswirkungen von Cyberangriffen – Die unsichtbaren Kosten
Cyberangriffe sind zu einer bedauerlich vertrauten Realität für Unternehmen jeder Größe und Branche geworden. Während die unmittelbaren finanziellen Verluste durch solche Angriffe oft die Schlagzeilen dominieren, reichen die tatsächlichen Folgen weit über die direkt messbaren Kosten hinaus.
WEITERLESEN← ZURÜCK ZUR ÜBERSICHT
INFINCO FINANCIAL
LINES BROKERS
