Der Vorschlag der Kommission für ein Cyber-Solidaritätsgesetz schlummert im EU-Ministerrat, wo sich die geringe Begeisterung an den langsamen Fortschritten auf technischer Ebene zeigt – obwohl es keine größeren politischen Hürden gibt.
Der Cyber Solidarity Act (CSA) ist ein Gesetzesvorschlag, der darauf abzielt, eine „Cyber-Reserve“ aus zertifizierten vertrauenswürdigen Anbietern einzurichten, die europäischen Ländern bei der Reaktion und Vorbereitung auf groß angelegte Cyber-Angriffe zur Seite steht.
Allerdings wurde das Dossier von den EU-Ländern nicht so begeistert aufgenommen, wie es bei der spanischen Präsidentschaft der Fall war Bericht veröffentlicht Anfang dieser Woche dargelegt.
„Auf der Grundlage der unter spanischer Präsidentschaft erzielten Fortschritte plant die künftige belgische Präsidentschaft, die Arbeit mit dem Parlament an diesem wichtigen Dossier fortzusetzen“, heißt es in dem Bericht.
Am Mittwoch diskutierten EU-Botschafter im Ausschuss der Ständigen Vertreter (COREPER), dem wichtigsten Vorbereitungsgremium des Rates, über das Cyber-Solidaritätsgesetz.
Deutschland, Italien, Frankreich, die Tschechische Republik, Kroatien, Irland, Luxemburg, Dänemark, die Slowakei, Ungarn und Griechenland begrüßten unter anderem die Fortschritte beim Verordnungsentwurf, betonten aber auch, dass zuvor weitere Gespräche auf technischer Ebene erforderlich seien es konnte ein Konsens über ein Mandat erzielt werden.
Hindernisse
Zu den Diskussionsthemen gehörten die Zugänglichkeit der Cyber Reserve für Drittländer, die Rolle des Computer Security Incident Response Teams (CSIRTs), Risiken von Duplikaten nationaler und grenzüberschreitender Security Operations Center (SOCs) und CSIRTs sowie die Frage der Haftung.
Sechs Wochen zuvor hatte der Europäische Rechnungshof (ECA) gewarnt, dass die CSA die europäische Cybersicherheitslandschaft komplexer machen könnte.
Die spanische Ratspräsidentschaft hat vor drei Wochen einen zweiten Vorschlag zum CSA vorgelegt, nachdem in einem Workshop mit der Kommission festgestellt wurde, dass praktische Aspekte der Cyber-Reserve geklärt werden müssen.
„Vorschläge zu vertrauenswürdigen Anbietern und zur Unterstützung von Drittländern wurden so weit wie möglich integriert“, heißt es in dem Bericht zu den Änderungen am zweiten kompromittierten Text.
Anschließend erörterte die Arbeitsgruppe „Cyberfragen“, ein technisches Gremium des Rates, die zweite Fassung. Zu den Bedenken zählten hier die Rolle der ENISA, der EU-Agentur für Cybersicherheit, die Funktionsweise und Verwaltung der Cyber-Reserve sowie Unterstützungsmaßnahmen für Drittländer.
Während der AStV-Sitzung am Mittwoch betonte der spanische Ratsvorsitz außerdem, dass weitere Arbeiten zur Klärung von Elementen erforderlich seien, insbesondere zur Klärung der Rolle der neuen Betriebszentren und der Cyber-Reserve in der bereits komplexen EU-Cybersicherheitsarchitektur.
Ein weiterer angesprochener Aspekt war der Schwerpunkt der Kommission darauf, die Cyber-Reserve Drittländern wie der Ukraine und Moldawien zugänglich zu machen, um deren Cyber-Kapazitäten zu stärken.
Mit Unterstützung Italiens schlug Frankreich die Ausweitung auf die europäische politische Gemeinschaft vor – ein Lieblingsprojekt des französischen Präsidenten Emmanuel Macron, um nach dem russischen Angriffskrieg gegen die Ukraine mit weiteren EU-Ländern wie dem Vereinigten Königreich und der Türkei zusammenzuarbeiten.
Darüber hinaus betonten Deutschland, Irland und Luxemburg die Notwendigkeit, eine Duplizierung bestehender Verwaltungsstrukturen und -initiativen durch das Cyber-Solidaritätsgesetz zu vermeiden, und drängten auf einen komplementären Ansatz mit klaren Zuständigkeiten für die EU-Länder.
Insbesondere wurde die Idee vorgebracht, die regionalen Sicherheitseinsatzzentren durch das Computer Security Incident Response Team zu ersetzen, das im Rahmen der überarbeiteten Netzwerk- und Informationssicherheitsrichtlinie (NIS2) eingerichtet wurde.
Italien lehnte diesen Ansatz jedoch ab und betonte, dass die beiden Gremien einander ergänzen und nicht im Widerspruch stehen sollten.
Für Polen, die Slowakei und Ungarn sollte die Qualität der Bestimmungen Vorrang vor einer Beschleunigung des Annahmeprozesses haben, während Dänemark sich für einen ausgewogenen Ansatz aussprach. Ungarn stellte fest, dass weitere technische Arbeiten zum Haftungsumfang erforderlich seien.
[Edited by Luca Bertuzzi/Nathalie Weatherald]
