Der europäische Cyber-Resilience-Act kommt

"We cannot talk about defence without talking about cyber. If everything is connected, everything can be hacked" - Ursula von der Leyen, Präsidentin der Europäischen Kommision in ihrer Ansprache zu Lage der Union 2021.
Mit diesen mahnenden Worten wandte sich Ursula von der Leyen 2021 an die Europäische Kommission, um Unterstützung für den kommenden Cyber-Resilience-Act zu sammeln. Dieser zielt darauf ab, einen einheitlichen Sicherheitsstandard für digitale Produkte und Dienstleistungen auf dem Europäischen Markt einzurichten. Hierdurch komplementiert die Verordnung die bestehende NIS-Directive und den bestehenden Cyber-Security-Act und zielt darauf ab die Standards für Cyber-Sicherheit in der EU weiter auszubauen. Dies soll durch einheitliche Anforderungen an die Sicherheitssysteme der Produkte und Dienstleistungen erzielt werden. Die Einzelheiten der Ausgestaltung sind hierbei noch offen.

Die Öffentlichkeit und die beteiligten Stakeholder wurden letzte Woche, am 17.03.2022, von der Europäischen Kommission über die Pläne bezüglich der Verordnung informiert und zur Stellungnahme und einer Folgenabschätzung aufgefordert. Der Cyber-Resilience-Act ist bis zum 25.5 in der Konsultation bei der Kommission und soll im Laufe des dritten Quartals 2022 verabschiedet werden.

Begründet wird der Bedarf für diese Verordnung mit dem Hinweis auf die Fragmentierung der Cybersicherheitsanforderungen im Binnenmarkt und auf die aktuellen Voraussagen der Europäischen Agentur für Cyber-Sicherheit. So prognostizierte die Agentur, dass die Angriffe auf europäische Versorgungsketten sich in den kommenden Jahren vervierfachen werden. Angriffe gegen Cloud-Infrastrukturen sollen sich sogar verfünffachen. Besonders betroffen werden dabei der Transportsektor, sowie öffentliche Einrichtungen und die Industrie sein. Aufgrund der zunehmenden Interkonnektivität aller Lebensbereiche nimmt auch das Gefahrpotential exponentiell zu. Dies bedeutet im Einzelnen, dass gesamte Systeme aufgrund ihrer Verbundenheit besonders anfällig für Angriffe sind, weil Hacker sich Zugang über das schwächste Glied verschaffen können: Die Vorteile der Vernetzung kehren sich im Hinblick auf Cyber-Sicherheit also ins Gegenteil um.

Die konkrete Ausgestaltung ist noch nicht beschlossen. So bleibt abzuwarten, ob freiwillige Maßnahmen, wie beispielsweise freiwillige Zertifizierungssysteme, „Ad-hoc“-Regulierungsmaßnahmen oder ein kombinierter Ansatz eingeführt werden. Vor allem ist aber der Umfang der Verordnung aktuell noch nicht klar – sowohl in quantitativer als auch in qualitativer Hinsicht. Es bleibt noch zu entscheiden, welche Verpflichtungen den Wirtschaftsakteuren auferlegt werden und wie die „harmonisierte Standards“ genau aussehen sollen. Eine besondere Schwierigkeit liegt hier in der Vielfalt an Anwendungen und Dienstleistungen, die verfügbar sind. Diese zu überprüfen und vor allem eine Vergleichbarkeit in den Sicherheitsanforderungen festzulegen stellt die Union vor eine nicht unerhebliche Herausforderung. Nicht unwahrscheinlich ist an dieser Stelle, dass die Verordnung im Endeffekt recht weich und schwammig formuliert ist, um die Vielfalt der Anwendungsfälle abzudecken.

Diese Unsicherheit wird verdeutlicht durch die unterschiedlichen Vorstellungen, wie mehr Sicherheit erreicht werden soll. Während von der Leyen vor allem von Sicherheitsstandards für Produkte und Dienstleistungen spricht, will Thierry Bretton darüberhinausgehen. Er verlangt zusätzlich die Verteidigungsaspekte ins Auge zu nehmen, also neben reinen Sicherheitsmaßnahmen auch offensivere Mittel einzusetzen. Auch hier bleibt jedoch noch unklar, wie dies ausgestaltet werden soll. Diese Aufgabe wird zumindest wohl nicht in den privaten Sektor fallen, sondern von den Verteidigungsministerien der Mitgliedstaaten umgesetzt werden. Gerade im Hinblick auf den Krieg in der Ukraine nimmt die Fragestellung eine neue Relevanz an. Cyberangriffe sind fester Bestandteil der russischen Offensive und verdeutlichen, welche zentrale Rolle die Cyberdimension in den heutigen Konflikten darstellt. Dabei würde die EU nicht nur altruistisch handeln. Denn die Cyberattacken in der Ukraine zeigen auch, dass diese möglicherweise auf europäische Netzwerke übertragen werden können.

Letztendlich bleibt abzuwarten, wie weitreichend die Sicherheitsstandards im Einzelnen sein sollen. Sicher ist, dass die Verlagerung der Cyber-Sicherheit auf den privaten Sektor eine potenzielle Belastung mitbringen kann. Dennoch sieht die Europäische Kommission Potential für eine positive Auswirkung auf die Wirtschaft, indem (i) das Vertrauen der Öffentlichkeit in die digitale Wirtschaft verstärkt wird, (ii) Umsatzeinbüße wegen Cyberangriffe begrenzt werden, (iii) einheitliche Sicherheitsstandards im Binnenmarkt zu gleichen Wettbewerbsbedingungen für alle Anbieter führen und (iv) die hohen Cybersicherheitsanforderungen zu einer erhöhten Wettbewerbsfähigkeit mit Drittländern führen. Auch ist mit Blick auf den Krieg in der Ukraine ein umfassender Schutz Europas vor Cyberangriffen unumgänglich.