Das Thema Cyberkriminalität betrifft inzwischen fast jedes Unternehmen in Europa. Jedes achte Unternehmen war 2016 Opfer eines Cybervorfalls. 4.000 Angriffe von Erpressungstrojanern gab es jeden Tag. Die EU-Kommission hat im September diesen Jahres eine Initiative zur Verbesserung der Cybersicherheit vorgestellt. Welche Maßnahmen vorgesehen sind und welche Auswirkungen sich daraus für die Unternehmenspraxis ergeben, erläutert Rechtsanwalt Tobias Kugler aus der Sozietät Noerr im Interview.
DB: Herr Kugler, die EU-Kommission will, dass Cyberangriffe wirksamer bekämpft werden und hat auch gleich mehrere Maßnahmen vorgestellt. Welche sind das?
Kugler: „Das von der EU-Kommission vorgestellte Maßnahmenpaket umfasst zunächst den Entwurf einer Verordnung über die „EU-Cybersicherheitsagentur“ (ENISA) und zur Aufhebung der Verordnung (EU) Nr. 526/2013 sowie über die Zertifizierung der Cybersicherheit von Informations- und Kommunikationstechnik („Rechtsakt zur Cybersicherheit“). Mit dieser Verordnung soll das bislang befristete Mandat der Agentur der Europäischen Union für Netz- und Informationssicherheit („ENISA“) entfristet, die Agentur als zentrale EU-Cybersicherheitsagentur etabliert und eine Grundlage für einen EU-Cybersicherheitszertifizierungsrahmen für Informations- und Kommunikationstechnologien („IKT“) gelegt werden.
Darüber hinaus beinhaltet das Maßnahmenpaket ein Konzeptentwurf für eine koordinierte Reaktion auf große Cybersicherheitsvorfälle und -krisen, den Vorschlag einer Richtlinie zur Bekämpfung von Betrug und Fälschung im Zusammenhang mit bargeldlosen Zahlungsmitteln, ein Rahmen für eine gemeinsame diplomatische Reaktion der EU auf böswillige Cyberaktivitäten sowie weitere Maßnahmen zur Intensivierung der internationalen Zusammenarbeit im Bereich der Cybersicherheit.“
DB: Welche Aufgaben und Befugnisse wird die Agentur für Cybersicherheit haben?
Kugler: „Die EU-Cybersicherheitsagentur wird vor allem eine beratende und unterstützende Rolle gegenüber den Stellen der Union und der Mitgliedstaaten haben. Sie soll beispielsweise die Mitgliedstaaten bei der kohärenten Umsetzung der Richtlinie über die Sicherheit von Netz- und Informationssystemen (NIS-Richtlinie) durch Stellungnahmen, Leitlinien und Beratung unterstützen.
Darüber hinaus soll sie die operative Zusammenarbeit auf EU-Ebene durch den Austausch von Know-how und die Bereitstellung von Leitlinien im Bereich der Cybersicherheit fördern, aber auch auf Ersuchen von mehreren Mitgliedstaaten bei der Aufarbeitung von konkreten Sicherheitsvorfällen, die von Unternehmen nach der NIS-Richtlinie bzw. dem nationalen Umsetzungsgesetz gemeldet wurden, beratend unterstützen.
Weitere Aufgaben der EU-Cybersicherheitsagentur werden darin bestehen, jährlich Cybersicherheitsübungen auf Unionsebene zu organisieren und nationale Einrichtungen bei der Organisation solcher Übungen zu unterstützen. Daneben soll sie die Union in ihrer Zusammenarbeit mit Drittländern und internationalen Organisationen im Bereich der Cybersicherheit unterstützen.
Die EU-Cybersicherheitsagentur wird zudem die Einrichtung und Umsetzung eines EU-weiten Zertifizierungsrahmens für IKT unterstützen, indem sie entsprechende Systeme für die Cybersicherheitszertifizierung ausarbeitet, gemeinsam mit den Aufsichtsbehörden die Leitlinien der Zertifizierung zusammenstellt und veröffentlicht.“
DB: Wer wird von dem neuen Zertifizierungsrahmen betroffen sein und in welcher Weise?
Kugler: „Die Zertifizierung von IKT-Produkten und -Diensten soll grundsätzlich freiwillig sein. Eine Einschränkung auf bestimmte Produktkategorien ist nicht vorgesehen. Der Fokus wird zunächst auf IKT-Systemen und Diensten bestehen, die grundlegende Bereiche betreffen, wie Verkehr, Energie, Gesundheitswesen, Bankwesen, Finanzmarktinfrastrukturen, Trinkwasser und digitale Infrastruktur.
Die Zertifizierung dient im Ergebnis der Bescheinigung, dass das zertifizierte IKT-Produkt oder der zertifizierte IKT-Dienst auf einer der drei Vertrauenswürdigkeitsstufen „niedrig“, „mittlere“ oder „hoch“ über die Fähigkeit verfügt, bestimmten Angriffen auf die IT-Sicherheit zu widerstehen und nach einem Sicherheitsvorfall die Daten, Dienste und Funktionen wieder zeitnah verfügbar zu machen.
Von diesem Zertifizierungsrahmen sollen neben den Nutzern der IKT-Produkte und IKT-Dienste auch deren Anbieter und Betreiber profitieren. Während den Endnutzern durch die Zertifizierung eine informierte Auswahlentscheidung über das richtige Produkt ermöglicht werden soll, soll sie den Anbietern bzw. Betreibern einen unionsweiten Vertrieb ihrer zertifizierten Produkte und Dienste erleichtern, da ein einmal erhaltenes europäisches Zertifikat auch in allen Mitgliedstaaten gilt und damit eine Mehrfachzertifizierung entfallen kann.“
DB: Welche Auswirkungen werden diese Maßnahmen in der Unternehmenspraxis haben?
Kugler: „Das Maßnahmenpaket wird in einigen Unternehmen zu einer grundlegenden Überprüfung und Änderung der Entwicklungstätigkeit und der Art der Bereitstellung von IKT-Diensten führen. Durch die Möglichkeit zur Zertifizierung werden die Unternehmen, die ein besonderes Augenmerk auf „Cybersicherheit“ legen, zukünftig dafür belohnt, da sie die Möglichkeit erhalten, sich durch ein Zertifikat eines Dritten erkennbar von anderen Anbietern abzugrenzen, deren Produkte nicht den gleichen Sicherheitskriterien genügen. Es spricht einiges dafür, dass dieser Umstand zu einem Zertifizierungsdruck auf Hersteller und Dienstleister führt. Um IKT-Produkte und IKT-Dienste zertifizieren zu können, werden die Hersteller und Dienstleister in der Regel die erforderlichen Sicherheitsmerkmale bereits in der Frühphase ihrer technischen Konzeption und Entwicklung berücksichtigen müssen. Hier zeigt sich im Übrigen eine Parallele zu der ab dem 25.05.2018 geltenden Datenschutz-Grundverordnung, nach der Verantwortliche bereits zum Zeitpunkt der Festlegung der Mittel der Datenverarbeitung geeignete technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten zu treffen haben. Der Nachweis der Umsetzung entsprechender technischer Maßnahmen zum Schutz der Daten wird dem Verantwortlichen bei der Wahl eines zertifizierten Produkts jedoch wesentlich leichter gelingen. Insofern verstärkt die Datenschutz-Grundverordnung mittelbar die Zertifizierung.
Die Zertifizierungskriterien werden es Unternehmen zudem erleichtern, die konkreten Sicherheitsmerkmale zu bestimmen, die in ihrem Produkt umzusetzen sind, soll dieses als besonders sicher gelten. Sie werden diese Merkmale daher weniger anhand der abstrakt generellen datenschutzrechtlichen Bestimmungen über die Pflicht zur Implementierung technischer und organisatorischer Maßnahmen und der darin verwendeten auslegungsbedürftigen Begriffen bestimmen müssen.“
DB: Wird die EU-Regulierung genügen, um Unternehmen künftig tatsächlich „cybersicher“ zu machen?
Kugler: „In welchem Umfang die EU-Regulierung zur Cybersicherheit der Unternehmen beitragen wird, bleibt abzuwarten. Die mittelbare Incentivierung der Entwicklung „cybersicherer“ IKT-Produkte und IKT-Dienste durch die Möglichkeit der Zertifizierung dürfte die Cybersicherheit zwar generell erhöhen. Gleichwohl wird nicht für alle IKT-Produkte und IKT-Dienste die Möglichkeit der Zertifizierung offenstehen, sodass sich dieser Effekt nicht durchgängig zeigen wird. Zudem ist die Sicherheit der IKT-Produkte nur eine Voraussetzung für die Cybersicherheit im Unternehmen. Wie auch die Kommission in ihrer gemeinsamen Mitteilung an das Europäische Parlament und den Rat vom 13.09.2017 betont, ist die weit überwiegende Mehrheit der Sicherheitsvorfälle auf eine Form menschlichen Versagens zurückzuführen. Hierauf hat auch der Bundesrat in seiner erst kürzlich veröffentlichten Stellungnahme vom 24.11.2017 zur gemeinsamen Mitteilung der Kommission an das Europäische Parlament und den Rat hingewiesen. Daher werde auch ausdrücklich begrüßt, dass das Thema Cybersicherheit nach dem Willen der Kommission auch in der Ausbildung der öffentlichen Verwaltung sowie in Lehrplänen sonstiger Berufsausbildungseinrichtungen und Hochschulen verankert werden soll und dabei neben den im engeren Sinne im Bereich der Cybersicherheit tätigen Arbeitnehmern und den übrigen IKT-Fachkräften auch weitere Nutzergruppen mit Sensibilisierungsmaßnahmen und Informationskampagnen in den Blick genommen werden.“
Vielen Dank für das Interview, Herr Kugler!
Das Interview führte Viola C. Didier, RES JURA Redaktionsbüro.