Zu komplex und teuer: EU-Rechnungshof kritisiert geplanten Cyberschutzschild
Die EU-Haushaltsprüfer fordern Korrekturen am Entwurf für ein Cybersolidaritätsgesetz. Sonst werde die gesamte "Cybersicherheitsgalaxie" noch komplizierter.
In der EU bleibt die Umsetzung des Cyberschutzschildes umstritten.
(Bild: -strizh-/Shutterstock.com)
Der Europäische Rechnungshof (EuRH) warnt vor diversen Risiken rund um den Entwurf der EU-Kommission für ein Cybersolidaritätsgesetz, mit dem diese einen Cyberschutzschild über den Mitgliedsstaaten aufspannen und sie so besser vor Bedrohungen aus dem Internet wappnen will. Mit den vorgesehenen Maßnahmen werde die bereits unübersichtliche "Cybersicherheitsgalaxie" der EU noch komplexer, befürchten die Haushaltsprüfer in einer am Donnerstag veröffentlichten Stellungnahme. Die Funktion des virtuellen Schirms drohe durch einen mangelnden Informationsaustausch zwischen den EU-Ländern beeinträchtigt zu werden. Zudem bestehe die Gefahr, dass Betrieb und Aufrechterhaltung des Schutzschilds allein von der EU-Finanzierung abhängig würden.
Der Kommission schwebt mit dem Vorschlag eine Infrastruktur vor, die aus Sicherheitseinsatzzentren in allen Mitgliedsstaaten besteht. Eingerichtet werden soll auch ein Notfallmechanismus, um die Reaktionsfähigkeit bei Cybervorfällen zu verbessern. Der EuRH weist nun darauf hin, dass mit der überarbeiteten Richtlinie zur Netz- und Informationssicherheit (NIS2) bereits auf nationaler Ebene ein oder mehrere Computer Security Incident Response Teams (CSIRTs) eingerichtet werden sollen. Dazu komme ein übergeordnetes Krisennetzwerk (EU-Cyclone). Erst 2021 habe die EU ferner ein Europäisches Kompetenzzentrum für Cybersicherheit mit Koordinationsinstitutionen in allen Mitgliedsländern eingerichtet. Zudem gebe es seit Kurzem eine gemeinsame Cyber-Einheit mit Fokus auf IT-Sicherheit.
Doppelstrukturen sollen vermieden werden
Vor diesem Hintergrund sieht der Rechnungshof die Gefahr des Aufbaus kostspieliger Doppelstrukturen, etwa durch eine Überlappung zwischen dem CSIRT-Netzwerk und den skizzierten Sicherheitseinsatzzentren. Einige der Aufgaben und Ziele beider Instanzen ähnelten einander sehr. Die Gesetzgebungsgremien sollten zumindest Aufgaben und Verantwortlichkeiten aller Beteiligten klar festlegen, "um eine wirksame Koordinierung sicherzustellen und Synergien zu erzielen".
Die Prüfer erinnern auch an ihre Feststellung von 2022, dass EU-Institutionen, -Einrichtungen und -Agenturen wichtige relevante Cybersicherheitsinformationen trotz bestehender Pflichten schon bisher nicht systematisch miteinander austauschten. Dafür verantwortlich gewesen seien auch Interoperabilitätsprobleme, "die eine sichere Kommunikation behinderten". Diese Kritik habe sich auf eine überschaubare Gruppe von EU-Akteuren bezogen. Mit dem Einbezug weiterer Instanzen dürften diese Herausforderungen wachsen. Vorgesehene finanzielle Anreize zum Datenteilen reichten nicht aus. Die Kommission sollte zudem rasch technische Anforderungen an die Mitgliedstaaten festlegen, um ein hohes Maß an IT-Security und physischer Sicherheit bei der Infrastruktur sicherzustellen.
Keine Frist für Meldungen festgelegt
Ebenfalls schon im vorigen Jahr rügte der EuRH, dass das Computer-Notfallteam für EU-Institutionen (CERT-EU) zum Zeitpunkt der Prüfung nicht rund um die Uhr im Einsatz gewesen sei. Nun sei geplant, dass Anträge auf Unterstützung aus der EU-Cybersicherheitsreserve von der Kommission mit Unterstützung der Cybersicherheitsbehörde Enisa bewertet werden und eine Antwort "unverzüglich" erfolge. Der Entwurf sehe aber keine vorab festgelegte Frist vor und verlange keine organisatorischen Maßnahmen, um eine solche einzuhalten. Lina Gálvez Muñoz, Berichterstatterin im Industrieausschuss des EU-Parlaments, begrüßte die Eingabe gegenüber dem Magazin Euractiv. Die Abgeordneten arbeiten daran, eine mittel- und langfristige Finanzierung für die Initiative sicherzustellen und Doppelarbeit zu vermeiden.
(nie)
