Mit hohem Tempo sind in den vergangenen Monaten wesentliche Rechtsakte zum Resilienzaufbau Kritischer Infrastrukturen in Europa durch die EU-Institutionen auf den Weg gebracht worden. Hierzu zählen vor allem die Rechtsakte wie der Cyber Resilience Act (CRA), der Cybersicherheitsanforderungen für alle Produkte einführt, die mit anderen Geräten und Netzen verbunden sind – kurz: es ist die Basissicherheit für das Internet der Dinge im Binnenmarkt (IoT) (Background berichtete).
Die Reform der Netzwerk- und Informationssicherheitsrichtlinie ist bereits zwischen Rat und Parlament verhandelt und soll bis zum Ende des Jahres verabschiedet werden. Hier wurde der Adressatenkreis zur Umsetzung von Minimalstandards und Meldepflichten von Infrastrukturbetreibern maßgeblich erweitert. Die Gesetzesinitiativen sind wesentliche Bausteine für die Absicherung des digitalen Binnenmarkts. Diese Politiken werden durch großzügig ausgestattete Budgets „Digitales Europa“ und „Horizon 2030“ finanziell unterfüttert.
Damit nicht genug – die Cybersicherheit des Binnenmarkts bildet den Grundschutz für die EU-Cyberverteidigung: Mit dem Strategischen Kompass, den Schlussfolgerungen des Rates zur Ausarbeitung einer EU Cyber Posture, die nun im November durch die KOM-Mitteilung zur Cyberverteidigung vorgelegt wurden, sind Spill-over-Effekte von der sektoralen auf die harte Sicherheit Europas unübersehbar (Background berichtete).
Weitgehende und schnelle EU-Maßnahmen also, die vor dem russischen Angriffskrieges gegen die Ukraine kaum durchsetzbar waren, wurden in einem zügigen Tempo in den vergangenen Monaten auf den Weg gebracht. Ob sie aber als große Schritte hin zu einer Cyberverteidigung zu werten sind, wird sich noch erweisen müssen. Denn die Bündelung von Informationen zur Gefahrenlage im Cyber- und Informationsraum auf EU-Ebene – sei es im EU-Nachrichten- und Lagezentrum (EU-INTCEN) oder in der EU Cyber Joint Unit – müssen in den nächsten Monaten durch konkrete nationale Gesetzgebungen flankiert werden, damit die EU ihre neue Aufgabe in der Cyberabwehr auch effektiv umsetzen kann.
Nationale Parlamente in der Pflicht
Damit die EU dieser Aufgabe auch künftig nachkommen kann, müssen die nationalen Parlamente Kompetenzen zur aktiven Cyberabwehr den nationalen und mittelbar den europäischen Sicherheitsbehörden gewähren. Die akute Gefahrenlage für die wesentlichen Infrastrukturen und Wertschöpfungsprozesse im Binnenmarkt erhöht den zeitlichen Druck für eine Regelung. Kompetenzübertragungen von der nationalen Ebene auf die EU-Ebene sind in der Cyberabwehr längst überfällig.
Nicht leichter dürfte es sein, die zahlreichen Initiativen zum Aufbau einer Cyberverteidigung – seit 2018 im Bereich der Permanent Strukturierten Zusammenarbeit (PESCO) – und die, die über die Europäische Verteidigungsagentur koordiniert werden, schneller und ernsthafter als bisher umzusetzen. Für zähe langwierige Abstimmungsprozesse ist angesichts der Gefahrenlage in Europa keine Zeit mehr.
Die Mitgliedstaaten und die EU-Kommission sind aufgefordert, zeitnah Vorschläge für Kompetenzcluster und Konsortien im Rahmen einer Privat-Öffentlichen Partnerschaft zu gründen, die Gelder am Ende auch den Anforderungen des Europäischen Rechnungshofs gerecht werden. Die Fördermittel, die über den Europäischen Verteidigungsfond und über die Friedensfazilität bereitgestellt werden, können nämlich erst dann fließen, wenn es digitale und technologische Innovationen gibt, die es lohnen, durch EU-Gelder unterstützt zu werden.
Zeitdruck erfordert die Zertifizierung von PPP in der Cyberverteidigung
Staatliche Sicherheitsbehörden sind im Grunde personell, finanziell und fachlich davon überfordert, eigenständig problemadäquate Cybersicherheitsmaßnahmen für Europas Cybersicherheit vorzuhalten. Sie bleiben aber ein wichtiger Baustein. Trotz des hohen Drucks durch die Gefahrenlage in Europa, schnell und wirkungsvoll handeln zu können, muss die notwendige Einbeziehung von privater Expertise zur Gefahrenabwehr dringend mit den demokratischen und rechtstaatlichen Erfordernissen in Einklang gebracht werden. Nur so kann das Misstrauen in den nationalen Arenen im Hinblick auf eine Kompetenzübertragung auf EU-Ebene überwunden werden.
Ein hohes Tempo bei der Umsetzung der durch die EU-Mitteilung vorgezeichneten Schritte ist angesichts der aktuellen Gefahrenlage im Cyberraum durchaus notwendig. Für diese Dynamik kann die Solidaritätsklausel Art. 222 sorgen. Um diese zu aktivieren, braucht es die Offenlegung von Gefährdungssituationen der 27 Mitgliedstaaten, die die gelebte Solidarität der Europäer durch die Ermächtigung der EU-Institutionen erfordert.
Die Dringlichkeit zum Handeln ist unlängst festgestellt worden, aber um der EU-Ebene nicht nur die politische Verantwortlichkeit zur Problemlösung zu geben, sondern auch die rechtliche Grundlage, um auch entsprechend handeln zu können, liegt der Ball nun auch in den nationalen Parlamenten, den Kompetenztransfer zu ermöglichen. Die EU hat zumindest wichtige Pflöcke für Europas Cyberabwehr eingeschlagen, die wichtige Vorrausetzungen für den Ernstfall schaffen. Die Mitgliedstaaten müssen nun legislativ nachziehen und die rechtlichen Voraussetzungen innerstaatlich schaffen.
Annegret Bendiek ist stellvertretende Leiterin der Forschungsgruppe EU/Europa bei der Stiftung Wissenschaft und Politik und hat eine Lehrstuhlvertretung an der Universität Osnabrück im Lehrbereich „Europäisches Regieren“ übernommen.
In unserer Reihe „Perspektiven“ ordnen unsere Kolumnist:innen regelmäßig aktuelle Entwicklungen, Trends und Innovationen im Bereich Cybersicherheit ein.