Die EU-Kommission hat am Montag einen Plan vorgelegt, um die Reaktion der Gemeinschaft auf großangelegte Cyberangriffe zu verbessern. Mit dem Vorschlag für eine Empfehlung an den Ministerrat will die Kommission den bestehenden EU-Rahmen für das Krisenmanagement im Bereich Cybersicherheit auf den neuesten Stand bringen. Außerdem soll eine Übersicht der relevanten EU-Akteure aus zivilen und militärischen Stellen einschließlich der NATO und deren Rollen geliefert werden. Damit soll es möglich sein, Cybervorfälle genauer vorherzusehen und sie möglichst abzuschwächen und einzudämmen. Dafür will die Kommission die nötigen Kapazitäten und Instrumente schaffen.

"Ein großangelegter Cybersicherheitsvorfall kann ein Ausmaß an Störungen verursachen, das die Reaktionsfähigkeit eines Mitgliedstaats übersteigt oder erhebliche Auswirkungen" auf mehrere EU-Länder haben, erläutert die Kommission in dem Entwurf. Denkbar seien eine Eskalation und der Übergang in eine echte Krise, "die das ordnungsgemäße Funktionieren des Binnenmarkts beeinträchtigt oder zu ernsthaften Risiken für die öffentliche Sicherheit" führt. Ein wirksames Krisenmanagement sei daher für die Aufrechterhaltung der wirtschaftlichen Stabilität und den Schutz europäischer Regierungen, kritischer Infrastrukturen (Kritis), Bürger und Unternehmen von entscheidender Bedeutung. Ein solcher Ansatz trage zudem zur internationalen Sicherheit und Stabilität im Cyberspace bei.

"Ein umfassender und integrierter Ansatz zur Krisenbewältigung sollte in allen Sektoren und Regierungsebenen gefördert werden", heißt es in dem Dokument. Seien Cybersicherheitsvorfälle Teil einer umfassenderen hybriden Kampagne oder Krise, sollten die relevanten Akteure Bemühungen unterstützen, ein einheitliches Lagebild über mehrere Bereiche hinweg zu entwickeln.

Digitale Infrastruktur umfassend absichern

Vor allem die Sicherheit kritischer digitaler Infrastruktur sei von grundlegender Bedeutung für die Widerstandsfähigkeit von Wirtschaft, Gesellschaft und Verteidigung, konstatiert die Kommission. Unternehmen in diesem Sektor wie Betreiber von Unterseekabeln müssten Maßnahmen zum Schutz der physischen und ökologischen Sicherheit von Netzwerk- und Informationssystemen ergreifen. Dabei gelte es, "alle Gefahren wie Systemausfälle, menschliches Versagen, böswillige Handlungen oder Naturphänomene" zu berücksichtigen und Vorfälle umgehend zu melden. Die Exekutivinstanz präsentierte erst am Freitag einen eigenen Aktionsplan zum Schutz und zur schnelleren Reparatur von Leitungen auf dem Meeresboden.

Um Unternehmen auch in anderen Kritis-Bereichen wie Energie, Verkehr und Gesundheits- oder Finanzdienstleistungen besser abzusichern, ist der Initiative zufolge "eine enge Zusammenarbeit zwischen öffentlichen und privaten Einrichtungen, einschließlich Herstellern und Open-Source-Entwicklern, erforderlich". Diese müsse auf Vertrauen und klaren Verfahren für den Informationsaustausch sowie die Koordination basieren. Eine Schlüsselmaßnahme sei etwa der Betrieb eines öffentlichen und sicheren europäischen DNS-Resolver-Dienstes. Um die Resilienz anderer kritischer Komponenten wie des Routing-Systems zu erhöhen, sei es wichtig, bewährte Praxisbeispiele und neueste verfügbare Standards zeitnah zu implementieren.

Durchgängig verschlüsselte Kommunikationslösung gefragt

EU-Einrichtungen sollen sich laut der Kommission bis Ende 2026 auch "auf einen interoperablen Satz sicherer Kommunikationslösungen für relevante Akteure einigen". Dieser müsse das gesamte Spektrum der erforderlichen Kommunikationsmodi wie Sprache, Daten, Videokonferenzen, Messaging, Kollaboration und Dokumentenaustausch abdecken. Die Lösungen sollen "Schlüsselprinzipien wie Sicherheitsinteressen, technologische Souveränität und Vertraulichkeit" widerspiegeln. Sie müssten Merkmale wie Benutzerfreundlichkeit, integrierte Sicherheit, Zertifizierung durch europäische Informationssicherheitsbehörden, Ende-zu-Ende-Verschlüsselung, Authentifizierung, Verfügbarkeit und Post-Quanten-Kryptografie abbilden.

Um böswillige Aktivitäten in den immer komplexer werdenden globalen Lieferketten zu erkennen, ist dem Plan zufolge ebenfalls mehr Koordination nötig. Dies sei besonders relevant für Bereiche, in denen die EU auf Technik von Hochrisikolieferanten angewiesen ist, die der Gerichtsbarkeit eines Drittstaates wie China unterliegen. Dort müssten Informationen über Software- oder Hardware-Schwachstellen an Behörden gemeldet werden, bevor deren potenzielle Ausnutzbarkeit allgemein bekannt werde. Die Mitgliedstaaten und relevanten Einrichtungen sollen zudem einen "effizienten fortlaufenden Zyklus von Cyberübungen entwickeln".

Das Vorhaben baut auf bestehenden Rahmenwerken wie der EU-Toolbox für Cyberdiplomatie, Kritis-Vorschriften oder dem neuen Cybersolidaritätsgesetz auf. Die für technologische Souveränität zuständige Kommissionsvizepräsidentin Henna Virkkunen sieht die Empfehlung als "entscheidenden Schritt zur Stärkung unserer kollektiven Cyber-Resilienz".