Die Europäische Kommission hat im vergangenen Jahr 2017 ein lang angekündigtes Maßnahmenpaket zur Cybersicherheit veröffentlicht. Es beinhaltete unter anderem einen Verordnungsvorschlag zur Überprüfung der Agentur der Europäischen Union für Netz- und Informationssicherheit ENISA („Cybersecurity Act“) sowie Pläne für ein EU-weites Zertifizierungssystem, um die Sicherheitseigenschaften von Produkten, Systemen und Diensten, die bereits in der Entwurfsphase integriert sind, zu verbessern („security by design“).
Der Verordnungsvorschlag schlägt unter anderem vor, aufbauend auf der ENISA eine EU-Agentur für Cybersicherheit zu gründen, und diese mit einem ständigen Mandat zur Unterstützung der Mitgliedstaaten bei der Begegnung von Cyberangriffen auszustatten. Die neue Agentur soll durch jährliche europaweite Cybersicherheitsübungen und einen verbesserten Informationsaustausch sowie durch die Errichtung von speziellen Analysezentren die Resilienz der EU bei Cyberattacken stärken. Zudem soll die Agentur die Mitgliedsstaaten bei der Umsetzung der NIS-Richtlinie unterstützen. Ferner enthält der Verordnungsvorschlag Pläne für die Einrichtung und Umsetzung eines EU-weiten Zertifizierungssystems, um die Sicherheitseigenschaften von Produkten, Systemen und Diensten, die bereits in der Entwurfsphase integriert sind, zu verbessern („security by design“).
Die Kernforderungen der vorliegenden Stellungnahme lauten:
Klare Abgrenzung der Kompetenzen zwischen ENISA und nationalen Behörden: Umsetzung der NIS-Richtlinie ist Angelegenheit der Mitgliedsstaaten
Offene und transparente Entwicklung des geplanten europäischen Zertifizierungs- und Kennzeichnungsrahmens: Beteiligung der Mitgliedsstaaten sowie der europäischen Normungsorganisationen CEN, CEN ELEC und ETSI
Sicherstellung der Kompatibilität zu bestehenden Systemen bei der Vereinheitlichung unterschiedlicher Zertifizierungsschemata
Verbesserte Konsistenz und deutlichere Abgrenzung zwischen Legislativvorschlägen zur Cybersicherheit (z.B. NIS-Richtlinie, Cybersecurity Act), Authentifizierung (z.B. eIDAS Verordnung) und Datenschutz (z.B. Datenschutzgrundverordnung, ePrivacy Verordnung)