Brüssel, 21.03.2019

Cybersicherheit: IT-Bedrohung aus China angehen, Verbraucher besser schützen

Das EU-Parlament hat einen Rechtsakt zur EU-Cybersicherheit gebilligt und ihn mit sehr großer Mehrheit (mit 586 Stimmen gegen 44 und bei 36 Enthaltungen) verabschiedet, mit dem das erste EU-weite Zertifizierungssystem für die Cybersicherheit geschaffen wird. EU-weit können nun Produkthersteller aufgefordert werden, entsprechende Maßnahmen zu ergreifen, um ihre Systeme gegenüber Angriffen abzusichern, das ergibt einen besseren Verbraucherschutz aber auch vereinfachte Verfahren für Unternehmen. Die EU-Cybersicherheitsagentur wird mehr Befugnisse erhalten. Zudem müssen Cyberbedrohungen aus China bei der Einrichtung von 5G-Netzen angegangen werden.

Das EU-Parlament bringt somit ein System von EU-Cybersicherheitszertifikaten für Produkte, Verfahren und Dienstleistungen auf den Weg und warnt vor Gefahr durch Informationstechnologie aus China. Mit ihr wird das erste EU-weite Zertifizierungssystem für die Cybersicherheit eingerichtet, um sicherzustellen, dass zertifizierte Produkte, Verfahren und Dienstleistungen, die in EU-Ländern verkauft werden, den Cybersicherheitsstandards entsprechen.

Das Parlament nahm ebenfalls eine Entschließung zu „Sicherheitsbedrohungen im Zusammenhang mit der zunehmenden technologischen Präsenz Chinas in der EU und möglichen Maßnahmen zu ihrer Verringerung auf EU-Ebene" an.

Die Abgeordneten äußern sich zutiefst besorgt angesichts der in jüngster Zeit erhobenen Vorwürfe, dass 5G-Geräte, die von chinesischen Unternehmen entwickelt werden, eingebaute Hintertüren enthalten könnten, die es den Herstellern und den Behörden ermöglichen, unbefugt auf private und personenbezogene Daten sowie auf die Telekommunikation in der EU zuzugreifen.

Chinesische Staatssicherheitsgesetze bedrohen Cybersicherheit in der EU

Sie befürchten auch, dass Anbieter von Ausrüstungen aus Drittländern ein Sicherheitsrisiko für die EU darstellen könnten, da die Gesetze ihres Herkunftslandes alle Unternehmen verpflichten, zum Schutz der Staatssicherheit mit dem Staat zusammenzuarbeiten, wobei der Begriff „Staatsicherheit“ sehr weit gefasst ist, wie die Abgeordneten unterstreichen. Vor allem die chinesischen Staatssicherheitsgesetze haben in verschiedenen Ländern Reaktionen ausgelöst, die von der Durchführung von Sicherheitseinschätzungen bis hin zu völligen Verboten reichen.

Die Abgeordneten fordern die Kommission und die Mitgliedstaaten auf, Leitlinien bereitzustellen, wie bei der Beschaffung von 5G-Ausrüstung Cyberbedrohungen und Schwachstellen beseitigt werden können, beispielsweise durch die Diversifizierung der Ausrüstung unter Nutzung verschiedener Anbieter, die Einführung mehrstufiger Beschaffungsverfahren oder die Entwicklung einer Strategie, die darauf ausgerichtet ist, die Abhängigkeit der EU von ausländischer Technologie im Bereich der Cybersicherheit zu verringern.

Sie fordern die Kommission außerdem nachdrücklich auf, der ENISA den Auftrag zu erteilen, die Arbeit an einem Zertifizierungssystem für 5G-Ausrüstung zu einer Priorität zu machen, um sicherzustellen, dass beim Aufbau von 5G-Systemen in der Union die höchsten Sicherheitsstandards eingehalten werden.

EU-Rechtsakt zur Cybersicherheit zur Zertifizierung vernetzter Geräte

In dem Rechtsakt zur Cybersicherheit, das bereits informell mit den Mitgliedstaaten vereinbart wurde, wird die Bedeutung der Zertifizierung kritischer Infrastrukturen unterstrichen. Dazu gehören Energienetze, die Wasser- und Energieversorgung und Bankensysteme sowie Produkte, Verfahren und Dienstleistungen. Bis 2023 prüft die Kommission, ob eines der neuen freiwilligen Systeme verpflichtend gemacht werden sollte.

Der Rechtsakt zur Cybersicherheit sieht auch ein ständiges Mandat und mehr Mittel für die EU-Cybersicherheitsagentur ENISA vor.

Zitat

Nach der Abstimmung über den Rechtsakt zur Cybersicherheit sagte die Berichterstatterin Angelika Niebler (EVP, DE): „Diese erfolgreiche Abstimmung sorgt dafür, dass die EU mit den Sicherheitsrisiken in der digitalen Welt in den kommenden Jahren Schritt halten kann. Die Gesetzgebung ist eine der Grundlagen dafür, dass Europa zu einem globalen Akteur im Bereich der Cybersicherheit wird. Sowohl die Verbraucher als auch die Industrie müssen auf IT-Lösungen vertrauen können."

Die nächsten Schritte

Der Rat muss nun den Rechtsakt zur Cybersicherheit förmlich billigen. Die Verordnung tritt 20 Tage nach ihrer Veröffentlichung in Kraft.

Die Entschließung zur zunehmenden technologischen Präsenz Chinas in der EU wird der Kommission und den Mitgliedstaaten übermittelt.

>>>Von Rat und Parlament vereinbarter Text des Rechtsaktes zur Cybersicherheit.

>>>Merkblatt zu den Verfahrensschritten (IT-Bedrohung aus China)

>>>Merkblatt zu den Verfahrensschritten (Rechtsakt zur Cybersicherheit)

>>>EP-Hintergrundinformationen: „ENISA and a new cybersecurity act“ (auf Englisch)

(Quelle: EU-Parlament)