Der Europäische Rechnungshof (EuRH) warnte, dass das Cyber-Solidaritätsgesetz die Abhängigkeit der Mitgliedstaaten von EU-Geldern erhöhen und die EU-Cybersicherheitslandschaft komplexer machen könnte.
Das von der Europäischen Kommission im April vorgeschlagene Gesetz zur Cybersolidarität soll die EU-weite Solidarität und die Kapazitäten im Bereich der Cybersicherheit stärken und die Reaktion auf Cyberangriffe verbessern.
Im Juni baten das Europäische Parlament und der Rat den Rechnungshof um eine offizielle Stellungnahme im Rahmen eines verbindlichen Verfahrens.
Während der Europäische Rechnungshof am Donnerstag (5. Oktober) die Ziele des Vorschlags zur Stärkung der allgemeinen Widerstandsfähigkeit der EU gegenüber Cyberangriffen begrüßt, „müssen einige Probleme angegangen werden, insbesondere im Hinblick auf die Finanzierung und Umsetzung“, sagte Hannu Takkula, Mitglied des Europäischen Rechnungshofs, gegenüber Euractiv.
„Wir weisen besonders darauf hin, dass die Funktionsfähigkeit des Europäischen Cyberschilds und seine Aufrechterhaltung von EU-Geldern abhängen und sein Einsatz durch mangelnden Informationsaustausch beeinträchtigt wird. Außerdem machen die im Vorschlag vorgestellten Maßnahmen die gesamte EU-Cybersicherheitsstrategie noch komplexer“, heißt es in der Stellungnahme.
Lina Gálvez Muñoz, Berichterstatterin und Vizepräsidentin des Ausschusses für Industrie, Forschung und Energie des Europäischen Parlaments, sagte Euractiv, sie begrüße die Stellungnahme des Gerichtshofs.
„Wir arbeiten daran, mittel- und langfristig eine nachhaltige Finanzierung für diese Initiative sicherzustellen, den Informationsaustausch zwischen den verschiedenen beteiligten Akteuren zu verbessern und zu fördern sowie eine effiziente Cybersicherheitsstruktur in der EU zu schaffen und doppelte Arbeit zu vermeiden, um die Widerstandsfähigkeit und die offene strategische Autonomie der Union zu gewährleisten“, so die Berichterstatterin weiter.
Finanzierung, Folgenabschätzung und Effizienz
Die Rechnungsprüfer bemängelten das Fehlen einer Folgenabschätzung, von Informationen zur Finanzierung, Leistungsüberwachung und Bewertung der Politik.
In der Stellungnahme heißt es, dass „dieser Verordnungsvorschlag keiner Folgenabschätzung unterzogen wurde“, da die Kommission das Gesetz als dringlichen Vorschlag vorlegte, wodurch die Informationen über politische Optionen und Kosten begrenzt waren.
Es fehlen auch Kostenkalkulationen für die Umsetzung des Gesetzes, wie etwa für den Cyber-Schutzschild, den Cyber-Notfallmechanismus und den Mechanismus zur Überprüfung von Cyber-Sicherheitsvorfällen, so der EuRH. Auch die Dauer der Kofinanzierung durch die EU für nationale und internationale Sicherheitsoperationszentren (SOC) wird in der Verordnung nicht angegeben.
„Da dem Vorschlag keine Folgenabschätzung beigefügt ist, schlagen wir vor, dass die Kommission diese Kostenkalkulationen zur Verfügung stellt, um für mehr Transparenz zu sorgen“, so der EuRH.
Ein weiterer besorgniserregender Aspekt ist der neu eingeführte Indikator für die Reaktionsfähigkeit bei Cybervorfällen, da es an Informationen zur Messung der Effizienz des Europäischen Cyber-Schilds und des Cyber-Notfallmechanismus mangelt.
Der Europäische Rechnungshof hält auch den Termin für den Überprüfungsbericht zum Cyber-Solidaritätsgesetz, der vier Jahre nach dessen Inkrafttreten vorgelegt werden soll, angesichts der sich schnell verändernden Cyber-Bedrohungslandschaft für „zu spät“.
Bewertung des Cyber-Schilds
Teil des Gesetzes ist der Europäische Cyber-Schutzschild, eine Maßnahme zur Verbesserung der Erkennung von Cyber-Angriffen durch die Einrichtung von nationalen und internationalen SCOs.
Wir befürchten, dass es zu Überschneidungen mit bestehenden Strukturen wie den Computersicherheit-Ereignis- und Reaktionsteams (CSIRT) kommen könnte. „Wir stellen fest, dass einige der Aufgaben und Ziele der nationalen und internationalen SOCs, der CSIRTs und des CSIRT-Netzwerks ähnlich sind“, heißt es in der Stellungnahme. Die Bereiche Erkennung von Bedrohungen und Reaktion, Analyse von Cyber-Angriffen und Situationseinschätzung würden sich überschneiden.
Die Prüfer forderten „klare Governance-Strukturen“ für die SOCs, um eine effektive Koordinierung zu gewährleisten, und kritisieren das Fehlen von Meldepflichten auf EU-Ebene für öffentliche und private Organisationen.
„Ein solcher Mangel an Informationsaustausch könnte die Wirksamkeit und den Nutzen des Europäischen Cyber-Schildes untergraben“, so der EuRH.
Um die Kosten zu senken und die Kompatibilität der Systeme zu gewährleisten, betonten die Prüfer die Notwendigkeit einer raschen Einigung auf Interoperabilitätsbedingungen und ein hohes Sicherheitsniveau für die Dateninfrastruktur.
Überarbeitung des Cyber-Notfallmechanismus
Die zweite Komponente der Verordnung ist der Cyber-Notfallmechanismus, eine Krisenreaktionsmaßnahme zur angemessenen Reaktion auf Sicherheitslücken in kritischen Infrastrukturen und zur Wiederherstellung nach groß angelegten Cyber-Angriffen.
Die EU-Cybersicherheitsreserve kann einen Antrag auf Unterstützung stellen, den die Kommission mit zusätzlicher Hilfe der Agentur der Europäischen Union für Cybersicherheit (ENISA) prüfen wird.
In der Theorie erfolgt das Ergebnis der Überprüfung zwar „sofort“, der EuRH weist jedoch darauf hin, dass in dem Gesetz eine „im Voraus festgelegte Frist“ und entsprechende Schritte zur Einhaltung dieser Frist fehlen.
Darüber hinaus weicht die Finanzierung von Maßnahmen im Rahmen des Cyber-Notfallmechanismus von dem für den EU-Haushalt geltenden Grundsatz der Jährlichkeit ab. Dieser besagt, dass „nicht ausgeschöpfte Zahlungsermächtigungen werden nicht automatisch auf das folgende Haushaltsjahr übertragen“.
Die Prüfer sind der Ansicht, dass diese Regelung nur „als Reaktion auf unvorhersehbare Ereignisse“ anwendbar ist und dass eine Begrenzung die automatische Übertragung auf das folgende Jahr einschränken sollte.
Bewertung des Mechanismus zur Überprüfung von Vorfällen
Die dritte Säule des Gesetzes ist der Mechanismus zur Überprüfung von Vorfällen im Bereich der Cybersicherheit, der den Rahmen für die Analyse groß angelegter Cybervorfälle festlegt.
Auf Antrag der Kommission können Cybersicherheitsbehörden, einschließlich der ENISA, aufgefordert werden, Cybervorfälle und Schwachstellen zu überprüfen. Die Verordnung sieht jedoch weder eine bestimmte Frist für die Berichterstattung, noch Anreize zur Befolgung der Empfehlungen vor.
„Wir empfehlen, dass in der vorgeschlagenen Verordnung eine Frist für die Übermittlung des ENISA-Berichts nach einem Vorfall festgelegt wird“, heißt es in dem Bericht der Prüfer.
Was die nächsten Schritte anbelangt, so wird der Vorschlag für das Cyber-Solidaritätsgesetz im EU-Parlament und im Ministerrat diskutiert, gegebenenfalls angepasst und verabschiedet werden. Der EuRH geht davon aus, dass dieser Prozess „bis zum Ende des Jahres“ abgeschlossen sein wird.
[Bearbeitet von Alice Taylor/Nathalie Weatherald]