Pressehintergrund zum Schutz kritischer Infrastruktur
28. Oktober 2022
Pressehintergrund zum Schutz kritischer Infrastruktur
MdEP Rasmus Andresen – Grüne/EFA
Fri 28/10/2022
Hintergrund:
In Zeiten des russischen Angriffskrieges auf die Ukraine, verstärkten Cyberangriffen auf Unternehmen und öffentliche Einrichtungen, sowie berechtigten Sorgen über die Anfälligkeit und Abhängigkeit in Bezug auf unsere kritischen Infrastrukturen im Zusammenhang mit autoritären Regimen, gewinnt die Debatte über die Cybersicherheit von kritischen Infrastrukturen neue Bedeutung. Die EU hat über die letzten Monate und Jahre bereits hart daran gearbeitet einen soliden europäischen Rechtsrahmen für mehr (Cyber)Sicherheit in Europa zu schaffen. Wir müssen unsere kritische Infrastruktur wie die Energieversorgung, Häfen oder Flughäfen besser schützen. Online wie Offline.
Es ist eine gezielte Strategie von anderen Staaten, wie China, Einfluss und Zugriff auf unsere Infrastruktur zu bekommen. Allein das chinesische Unternehmen COSCO hält 70 Unternehmensbeteiligungen in der Europäischen Union mit einem Anteil von über 10%.
Das ist sicherheitspolitisch bedenklich und wird zu Recht von Sicherheitsbehörden und der EU Kommission scharf kritisiert. Kanzler Scholz begeht einen Fehler, wenn er aus vermeintlich ökonomischen Interessen die Sicherheitsfrage runterspielt.
Sein Agieren schadet unserer europäischen Sicherheit.
Aber auch bei Privatunternehmen entstehen durch Cyber Angriffe und Schwachstellen in unserer Cyber-Resilienz mehrere Milliarden an Schaden. Dies betrifft immer mehr nicht nur große Konzerne, sondern auch Sozialunternehmen, sowie kleine und mittlere Unternehmen. Der Folgenabschätzung der EU Kommission zu Folge, auf der die Richtlinie für Netz- und Informationssicherheit fußt, gab es fast 450 Cybersicherheitsvorfälle im Jahr 2019, die kritische Infrastrukturen in Europa wie Gesundheit, Finanzen und Energie betrafen. Bei einem einzigen Cyberangriff wie beispielsweise dem WannaCry-Vorfalls von 2017 werden die wirtschaftlichen Folgekosten auf Hunderte von Millionen Euro oder sogar mehr geschätzt. In seinem Global Risks Report nennt das Weltwirtschaftsforum Cyberangriffe als eines der 10 größten Risiken, gemessen an Wahrscheinlichkeit und Auswirkung in den nächsten 10 Jahren. Auch wenn der Anteil der Unternehmen, die mittlerweile als gut vorbereitet auf Cyberangriffe gelten, deutlich gestiegen ist, sind laut der Folgenanabschätzung der EU Kommission 64 % der Unternehmen immer noch ‚Neulinge‘ auf dem Gebiet der Cybersicherheit.
Politische Kommentierung:
Hier folgen einige Kommentare von Rasmus Andresen, Schattenberichterstatter für die Richtlinie zur Netz- und Informationssicherheit und Sprecher der deutschen Grünen im Europaparlament:
„Unsere kritische Infrastruktur ist in Europa stark grenzübergreifend vernetzt und Cyberangriffe machen ebenfalls nicht an nationalen Grenzen halt. Wir müssen unsere Cybersicherheitsarchitektur ebenfalls europäisch denken, denn im Falle eines Angriffs, sind wir alle so angreifbar, wie das schwächste Glied.
Wir müssen aufpassen, dass wir durch kurzsichtige Abhängigkeiten, wie die Übernahme des Hamburger Hafens durch das chinesische Unternehmen COSCO, nicht selbst Schwachstellen in unserer kritischen Infrastruktur schaffen. Unsere europäischen Partner*innen sind berechtigter Weise zutiefst alarmiert, denn die Abhängigkeit und resultierende Anfälligkeit macht uns alle angreifbar.
Gerade vor dem Hintergrund einer Neujustierung der EU China Politik ist es wichtig, dass die EU hier an einem Strang zieht. Scholz‘ Vorpreschen auch im Kontext seiner anstehenden China Reise ist problematisch und antieuropäisch. Er untergräbt das Ziel der Europäischen Union souverän zu werden.
Wir brauchen einen besseren Schutz von europäischer Infrastruktur. Unsere Sicherheit und das Ziel europäisch souveräner zu werden darf nicht durch die Beteiligung von zwielichtigen ausländischen Unternehmen untergraben werden.
Kanzler Scholz spielt wie andere nationale Regierungen mit dem Feuer.
Die Naivität gegenüber Russland darf sich bei China nicht wiederholen.
Mehr europäische Koordination und ein Mindestlevel an Cybersicherheit in der gesamten EU ist dringend notwendig, um unsere kritische Infrastruktur flächendeckend zu schützen. Wir brauchen aber auch mehr europäische Kooperation und eine gemeinsame Strategie, um unsere kritische Infrastruktur nachhaltig gegen Angriffe und Einflussnahmen aus autoritären Regimen abzusichern.
Die Mitgliedsstaaten müssen bei der Cybersicherheit endlich mehr zusammenarbeiten und ihre Bremshaltung aufgeben. Nur Gemeinsam können wir die Cybersicherheit der Europäer*innen und unserer kritischen Infrastruktur sicherstellen.“
„Schützen wir unsere kritische Infrastruktur offline…
Inhaltlicher Vermerk zur COSCO Übernahme von Teilen des Hamburger Hafens und zum Foreign Direct Investment Screening der EU:
Angesichts des hohen Integrationsgrads des EU Binnenmarktes, der eng miteinander verflochtenen Lieferketten und der gemeinsamen Infrastrukturen zwischen den Mitgliedstaaten können einige ausländische Investition ein Risiko für die Sicherheit oder die öffentliche Ordnung über den Mitgliedstaat, in dem die Investition getätigt wird, hinaus darstellen. Dies ist insbesondere dann der Fall, wenn die ausländische Investoren staatliche Unternehmen sind, oder unter staatlicher Kontrolle stehen. Der Rahmen für das Screening ausländischer Direktinvestitionen (FDI Screening) ist dafür gedacht sicherzustellen, dass die EU weiterhin für Investitionen offenbleibt und gleichzeitig in der Lage ist, ihre wesentlichen Interessen zu schützen. Die Verordnung enthält eine indikative Liste von Faktoren, die die Mitgliedstaaten und die Kommission berücksichtigen können, wenn sie beurteilen, ob eine ausländische Direktinvestition die Sicherheit oder die öffentliche Ordnung beeinträchtigen könnte. Faktoren, die beim Screening geprüft werden, umfassen die möglichen Auswirkungen der Investition auf kritische Infrastrukturen, kritische Technologien, die Versorgung mit kritischen Gütern, den Zugang zu sensiblen Informationen sowie die Freiheit und den Pluralismus der Medien.
Es handelt sich bei dem FDI Screening Prozess jedoch vornehmlich um einen Informationsaustauschprozess und die endgültige Entscheidung, ob eine ausländische Investition genehmigt wird, liegt nach wie vor bei dem Mitgliedstaat, in dem die Investition getätigt wird. Andere Mitgliedstaaten oder die Kommission können zwar Bedenken äußern, aber sie können die betreffende Investition nicht blockieren oder die betreffende Investition rückgängig machen.
Medienberichten zufolge lag eine negative Empfehlung der EU Kommission zur COSCO Übernahme im Hamburger Hafen aufgrund von identifizierten Risiken für die Sicherheit von kritischer Infrastruktur vor. Diese war, wie oben beschrieben, jedoch nicht für Deutschland bindend und konnte nicht verhindern, dass Olaf Scholz die Genehmigung der Übernahme doch in der Bundesregierung durchsetzen konnte.
…und online!“
Inhaltlicher Hintergrund zur Richtlinie zur Netz- und Informationssicherheit (NIS2):
Am Freitag 13.05. wurde in den politischen Trilogverhandlungen zur Richtlinie zur Netz- und Informationssicherheit (NIS2) eine finale Einigung zwischen dem Rat der europäischen Union und dem Europaparlament erzielt.
Die politische Einigung wurde am 13. Juli 2022 vom zuständigen Industrieausschuss angenommen. Es wird erwartet, dass das Parlament in seiner Plenarsitzung am 9. November 2022 final darüber abstimmen wird.
Nach der formellen Annahme durch beide Institutionen haben die Mitgliedstaaten nach Inkrafttreten der Richtlinie 21 Monate Zeit, um sie in nationales Recht umzusetzen.
Die NIS2 Richtlinie ist Teil eines Maßnahmenpakets zur Stärkung der (Cyber)Resilienz von kritischen Infrastrukturen, gemeinsam mit der Richtlinie über die Resilienz kritischer Einrichtungen, welche auch die physische Resilienz mit abdeckt.
Nachfolgend eine Übersicht über die wichtigsten inhaltlichen Punkte der NIS2 Richtlinie:
NIS 2 zielt darauf ab, ein hohes gemeinsames Niveau der Cybersicherheit innerhalb der Union zu erreichen und das Sicherheitsniveau für öffentliche Verwaltungen sowie kritische und essenzielle Einrichtungen zu erhöhen. In dieser Hinsicht umfasst der vereinbarte Geltungsbereich die zentrale Ebene der öffentlichen Verwaltung und optional die regionale Ebene auf der Grundlage einer Risikobewertung sowie die lokale Ebene, wenn die Mitgliedstaaten dies wünschen. Ausgenommen sind die Justiz, Parlamente und Zentralbanken sowie Einrichtungen der öffentlichen Verwaltung, die ihre Tätigkeiten in den Bereichen Verteidigung, nationale Sicherheit, öffentliche Sicherheit oder Strafverfolgung ausüben.
Die Richtlinie enthält zudem eine umfassende Liste von Unternehmen, basierend auf dem Tätigkeitsbereich und der Größe, sowie Kriterien zur Bestimmung, ob ein Unternehmen in die Kategorie „essenziell“, oder „wichtig“, oder nicht in den Anwendungsbereich fällt. Diese Unternehmen werden dazu verpflichtet, verstärkt Cybersicherheitsmaßnahmen im eigenen Unternehmen anzuwenden und somit zur gesamten Resilienz der gesamten kritischen Infrastruktur beizutragen.
Die Richtlinie ersetzt einen Teil des Europäischen Kodex für elektronische Kommunikation, da sie nun die Sicherheit für Anbieter öffentlicher elektronischer Kommunikationsnetze oder öffentlich zugänglicher elektronischer Kommunikationsdienste regelt und neue Verpflichtungen für Top-Level-Domainnamenregistrierungen und Anbieter von Domainnamensystemen (DNS) einführt. Ausnahmen gelten für Root-Server und privat genutzte DNS.
Da es sich bei der Richtlinie um einen Gesetzestext zur Mindestharmonisierung handelt, steht es den Mitgliedstaaten frei, weitere Einrichtungen in ihre implementierte Rechtsakte aufzunehmen, und werden ausdrücklich dazu ermutigt, dies in den Bereichen öffentliche Verwaltung, Bildung und Forschung zu tun.
Verpflichtungen der Mitgliedstaaten, nationale Cybersicherheitsstrategien anzunehmen und zuständige nationale Behörden zu benennen:
- Verbesserte Zusammenarbeit zwischen relevanten Akteur*innen auf nationaler Ebene
- Bessere Analyse der bestehenden Situation, des Bedarfs und Folgemaßnahmen, einschließlich Maßnahmen zur Verbesserung des allgemeinen Bewusstseins für Cybersicherheit bei den Bürger*innen
- Ein konkreter Verweis auf Open Source in Artikel. 5, der die Rolle von Open Source in der Sicherheit unterstreicht (Verweis auf ein Maßnahmenpaket zur Aufnahme und Spezifikation von Anforderungen im Zusammenhang mit der Cybersicherheit für IKT-Produkte und -Dienstleistungen in der öffentlichen Auftragsvergabe, einschließlich der Cybersicherheitszertifizierung sowie Verschlüsselungsanforderungen und der Verwendung von Open-Source-Cybersicherheitsprodukten)
- Ein Aufruf zu besseren Maßnahmen, einschließlich des Managements von Schwachstellen, inklusive der Förderung und Erleichterung der freiwilligen, koordinierten Offenlegung von Schwachstellen, Bildung und Ausbildung im Bereich Cybersicherheit, Training, Sensibilisierung sowie Forschungs- und Entwicklungsinitiativen
- Maßnahmen zur Stärkung der Cyber-Resilienz und der Cyber-Hygiene von KMU, insbesondere derjenigen, die vom Anwendungsbereich der Richtlinie ausgenommen sind
- Ausgeprägte und umfassende Artikel zur Offenlegung von Schwachstellen und Teams zur Reaktion auf Computersicherheitsvorfälle (CSIRTs)
Bei der Zusammenarbeit zwischen nationaler und EU-Ebene ist es den Mitgliedstaaten gegen den Widerstand des Europaparlaments gelungen, der Europäischen Kommission eine reduzierte Rolle zuzuschreiben, aber die zwischenstaatliche Zusammenarbeit im Rahmen von EU – CyCLONe und im Netz der nationalen CSIRTs ermöglicht eine bessere Bewältigung grenzüberschreitende Vorfälle. Dennoch wurde das von der Kommission vorgeschlagene obligatorische Peer-Review-System, um Anreize für eine erhöhtes Engagement zu schaffen, abgelehnt und in einen freiwilligen Prozess umgewandelt, der auf Selbstbewertung basiert.
Obwohl die Mitgliedstaaten die Menge an Informationen, die sie über kritische und essenzielle Einheiten kommunizieren, erfolgreich begrenzt haben, wird auf EU-Ebene ein Bericht über den Stand der Cybersicherheit in der Union erstellt, dessen Inhalt die Grundsätze widerspiegelt, die für die nationalen Strategien festgelegt wurden.
Zum Cybersicherheits-Risikomanagement und Meldepflichten für Unternehmen:
essenzielle und wichtige Stellen müssen geeignete und verhältnismäßige technische, betriebliche und organisatorische Maßnahmen ergreifen, um die Risiken für die Sicherheit von Netzwerk- und Informationssystemen zu bewältigen, unter besonderer Einbeziehung von Lieferketten und Verfahren in Bezug auf die Verwendung von Kryptografie und gegebenenfalls Verschlüsselung und die Verwendung von Multi-Faktor-Authentifizierungs- oder kontinuierlichen Authentifizierungslösungen, gesicherter Sprach-, Video- und Textkommunikation und gegebenenfalls gesicherter Notfallkommunikationssysteme innerhalb der Unternehmensstruktur.
Es wurde eine dreistufige Meldepflicht für Unternehmen eingeführt, darunter eine 24-Stunden-Frist für die Erstmeldung, eine 72-Stunden-Frist für detailliertere Informationen und einen Abschlussbericht.