ENISA-Mandat und rechtlicher Rahmen
Die Verordnung (EU) 2019/881, die zum Zeitpunkt ihrer Verabschiedung gemeinhin als Cybersicherheitsgesetz bekannt war, dient als ENISA-Mandat und Rechtsrahmen. Sie legt die Struktur und die wichtigsten Zuständigkeiten der ENISA, der Agentur der Europäischen Union für Cybersicherheit, fest und schafft gleichzeitig einen Rahmen für die Zertifizierung von IKT-Produkten, -Dienstleistungen und -Prozessen in der gesamten EU. Diese Verordnung ist ein zentraler Bestandteil der EU-Strategie zur Verbesserung der Cybersicherheit und zur Schaffung eines harmonisierten digitalen Binnenmarktes.
Aufbau und wichtige Abschnitte
- Das Mandat der ENISA: Mit der Verordnung wird die ENISA dauerhaft eingerichtet und ihre Rolle bei der Unterstützung der Mitgliedstaaten und der EU-Institutionen zur Verbesserung der Cybersicherheit, als Drehscheibe für Fachwissen und zur Verringerung der Marktfragmentierung gestärkt. Die ENISA hat die Aufgabe, bei der Entwicklung und Umsetzung der EU-Politik zu helfen, den Aufbau von Kapazitäten zu fördern, die operative Zusammenarbeit zu unterstützen und die Öffentlichkeit für Cybersicherheitsrisiken zu sensibilisieren.
- Rahmen für die Zertifizierung der Cybersicherheit: Ein wesentlicher Teil der Verordnung ist der Schaffung eines europäischen Zertifizierungsrahmens für Cybersicherheit gewidmet. Mit diesem Rahmen sollen EU-weit einheitliche Zertifizierungssysteme geschaffen werden, um das Vertrauen in IKT-Produkte, -Dienstleistungen und -Verfahren zu stärken. Diese Systeme sollen die Sicherheitsstufen (grundlegend, erheblich oder hoch) angeben und die Zertifizierungslandschaft vereinheitlichen, indem nationale Systeme durch einen kohärenten EU-weiten Ansatz ersetzt werden.
- Verwaltungsstruktur: Die ENISA arbeitet mit einem Verwaltungsrat, einem Exekutivausschuss und einer Beratungsgruppe, um sicherzustellen, dass sie effizient arbeitet und ihren erweiterten Aufgaben gerecht wird. Darüber hinaus wurde eine Europäische Gruppe für Cybersicherheitszertifizierung (ECCG) eingerichtet, die bei der Entwicklung und Anwendung des Rahmens für die Cybersicherheitszertifizierung hilft.
- Überprüfung und Bewertung: Die Verordnung enthält Bestimmungen für regelmäßige Bewertungen der Auswirkungen der ENISA und der Wirksamkeit der Zertifizierungssysteme. Die erste umfassende Überprüfung wurde für 2024 angesetzt, weitere Überprüfungen sollen alle fünf Jahre stattfinden.
- Aufhebung der früheren Verordnung: Die Verordnung hebt die frühere Verordnung (EU) Nr. 526/2013 auf und spiegelt den sich weiterentwickelnden Ansatz der EU im Bereich der Cybersicherheit und die wachsende Bedeutung einer robusten und einheitlichen Reaktion auf Cyberbedrohungen wider.
Die CER-Richtlinie ist ein wichtiger Schritt in den Bemühungen der EU, kritische Infrastrukturen vor einer Vielzahl von Bedrohungen zu schützen. Durch die Festlegung klarer Verpflichtungen sowohl für die Mitgliedstaaten als auch für kritische Einrichtungen soll die Richtlinie ein widerstandsfähigeres und sichereres Umfeld in der gesamten Union schaffen.