Ein Element des neuen „Cybersicherheitspakets“ der EU ist die Änderung des Cybersecurity Acts (Bild: Ralf / stock.adobe.com)

Cybersicherheit in der EU

EU-Cybersicherheitspaket passiert Rat der Europäischen Union

ESV-Redaktion Recht

04.12.2024

Der Rat der EU hat am 02.12.2024 das neue „Cybersicherheitspaket“ angenommen. Dieses soll die Solidarität und die Kapazitäten der EU beim Erkennen, Verhindern und Bewältigen von Bedrohungen der Cybersicherheit stärken.

Die Teile des Pakets bestehen aus der neuen „Cybersolidaritätsverordnung“ sowie aus einer gezielten Änderung des „Cybersecurity Acts“, also der VO (EU) 2019/881, kurz CSA.

Die Cybersolidaritätsverordnung

Die neue Verordnung soll die EU widerstandsfähiger gegenüber Cyberbedrohungen machen und die Kooperationsmechanismen stärken. Sie besteht im Wesentlichen aus den folgenden Komponenten:

Warnsystem für Cybersicherheit

Gegenstand des Warnsystems sind die sogenannten Cyber-Knotenpunkte, ein Cyber-Notfallmechanismus sowie ein Überprüfungsmechanismus.

Die Cyber-Knotenpunkte: Es soll ein „Warnsystem für Cybersicherheit“ eingerichtet werden, das aus einer europaweiten Infrastruktur besteht. Diese soll sich aus sogenannten nationalen und grenzübergreifenden Cyber-Knotenpunkten in der gesamten EU zusammensetzen. Die Knotenpunkte dienen der Erkennung von Cyberbedrohungen und der Verbesserung der Reaktionen darauf. Hierfür sollen die Knotenpunkte moderne Technologien nutzen, wie etwa künstliche Intelligenz (KI) oder fortgeschrittene Datenanalysen, um grenzüberschreitende Cyberbedrohungen und ‑vorfälle besser erkennen und rechtzeitig warnen zu können.

Der Cyber-Notfallmechanismus: Der neue Mechanismus soll die Abwehrbereitschaft erhöhen, die Fähigkeit zur Reaktion auf Vorfälle in der EU verbessern und folgende Tätigkeiten unterstützen:

Tests von Einrichtungen in hochkritischen Sektoren – wie etwa im Gesundheitsbereich, im Verkehr oder bei der Energieversorgung – und zwar im Hinblick auf potenzielle Schwachstellen auf der Basis von gemeinsamen Risikoszenarien und -methoden;

den Aufbau von neuen EU-Cybersicherheitsreserven mit Notdiensten des Privatsektors. Die Dienste sollen bei erheblichen oder großen Cybersicherheitsvorfällen auf Antrag eines Mitgliedstaats oder von Organen, Einrichtungen und sonstigen Stellen der EU eingreifen können,

den gegenseitigen technischen Support.

Der Überprüfungsmechanismus: Darüber hinaus soll ein Überprüfungsmechanismus für Vorfälle eingeführt werden, unter anderem zur Bewertung der Wirksamkeit des Cyber-Notfallmechanismus und der Nutzung der Cybersicherheitsreserve. Ebenso soll der Beitrag dieser VO zur Stärkung der Wettbewerbsposition der Industrie und des Dienstleistungssektors bewertet werden.

Der kostenlose Newsletter Recht – Hier können Sie sich anmelden!

Redaktionelle Meldungen zu neuen Entscheidungen und Rechtsentwicklungen, Interviews und Literaturtipps

Die gezielte Änderung des Rechtsakts zur Cybersicherheit

Die gezielte Änderung betrifft die Cyberresilienz der EU. Diese soll dadurch gestärkt werden, dass es künftig europäische Zertifizierungssysteme für sogenannte „verwaltete Sicherheitsdienste“ geben kann. So erkennt der neue Rechtsakt an, dass die „verwalteten Sicherheitsdienste“ bei der Prävention und Erkennung von Cybersicherheitsvorfällen und bei der Reaktion darauf an Relevanz gewinnen. Diese Dienste können beispielsweise bei der Bewältigung von Vorfällen helfen, Penetrationstests oder Sicherheitschecks durchführen und im Zusammenhang mit technischer Unterstützung beraten.

Bis der Rechtsakt zur Cybersicherheit bewertet werden kann, sollen durch die gezielte Änderung europäische Zertifizierungssysteme für „verwaltete Sicherheitsdienste“ eingerichtet werden. Dadurch soll es möglich werden, die Qualität und Vergleichbarkeit der Dienste zu verbessern und vertrauenswürdige Anbieter von Cybersicherheitsdiensten zu fördern.

Gleichzeitig soll damit eine Fragmentierung des Binnenmarkts verhindert werden, denn einige Mitgliedstaaten haben schon mit dem Aufbau von nationalen Zertifizierungssystemen für vergleichbare Sicherheitsdienste begonnen.

Wie es weitergeht

Die beiden neuen Gesetzgebungsakte können nach den jeweiligen Unterzeichnungen durch den Präsidenten des Rates und die Präsidentin des EU-Parlaments im Amtsblatt der EU veröffentlicht werden. 20 Tage nach der Veröffentlichung treten diese dann in Kraft.

Quelle: PM des Rates der Europäischen Union vom 02.12.2024

Cybersolidaritätsverordnung, Stand 04.12.2024

VO zur Änderung der Verordnung (EU) 2019/881 im Hinblick auf verwaltete Sicherheitsdienste – Stand 04.12.2024

VO (EU) 2019/881 des Europäischen Parlaments und des Rates vom 17.04. 2019

2 in 1 für sichere Daten

Handbuch Datenschutz und IT-Sicherheit

Die DS-GVO und das BDSG (neu) haben den Datenschutz auf neue Grundlagen gestellt. In der Praxis allerdings fordern die oft unterschiedlichen Auslegungen mancher Normen viele Unternehmen weiter massiv heraus – auch mit Blick auf deutlich erhöhte Bußgelder, die von den Aufsichtsbehörden bereits mehrfach verhängt wurden.

Recht und IT systematisch verknüpft: Die 2. Auflage des von SCHLÄGER/THODE herausgegebenen Praxishandbuchs stellt Ihnen die wichtigsten Entwicklungen, zwischenzeitlich ergangene Rechtsprechung und bereits bewährte erste Best-Practices prägnant zusammen. Alle relevanten juristischen und IT-sicherheitsrelevante Fragen werden dabei konsequent entlang der wichtigsten Praxisthemen verknüpft:

Datenschutzrechtliche Grundlagen in Deutschland und in der EU: Anwendungsbereiche insb. von DSGVO und BDSG (neu), Inhalte, Sanktionierung

Datenschutzmanagement und Datenverarbeitung: Der Datenschutzbeauftragte, Umgang mit Beschäftigten- und Kundendaten, Meldepflichten, u.a.

IT-Sicherheitsmanagement und IT-Grundschutz, insb. nach ISO/IEC 27001ff

Technische und organisatorische Maßnahmen: Hardware und Software Management, Datensicherung, Umgang mit Sicherheitsvorfällen, Archivierung, Datenlöschung u.v.m.

IT-Penetrationstests zur Schwachstellenanalyse

Referenzen zur 1. Auflage

"Als Lern- und Nachschlagewerk gehört das Handbuch in den Handapparat eines Datenschutzbeauftragten." Dr. Philipp Kramer in: Datenschutz-Berater, 6/2018

"Das ausgezeichnete Handbuch ist Pflichtlektüre (...). Das neue, sehr informative Handbuch bietet einen profunden und systematischen Überblick über sämtliche Bereiche des neuen Datenschutzrechts für die Praxis." In: www.juralit.com

"Betriebliche Datenschutzbeauftragte, IT-Administratoren, Unternehmensleitungen sowie Betriebs- und Personalräte (…) sind mit dem vorliegenden Handbuch sehr gut beraten und in der alltäglichen Datenschutzpraxis bestens aufgestellt." In: Kommunikation & Recht (K&R), 10/2019

"… eine praxisorientierte Veröffentlichung mit hohem Nutzwert." In: Controller Magazin (CM), 6/2018

Verlagsprogramm

Weitere Nachrichten aus dem Bereich Recht

Auch interessant	08.01.2025
Neue Pflichten für Hersteller und Einzelhändler bei Produkten mit digitalen Komponenten
	Mit der Cyberresilienz-Verordnung – auch als Cyber Resilience Act (CRA) bezeichnet – ist im Dezember 2024 die erste europäische Regelung in Kraft getreten, die die Mindestanforderungen an die Cybersicherheit für digital vernetzte Produkte festlegt. Die Neuregelung gilt für alle Produkte mit Digital-Komponenten, die in der EU erhältlich sind. Betroffene Hersteller und Einzelhändler müssen die neuen Vorgaben bis Mitte Dezember 2027 Zeit schrittweise vollständig erfüllen. mehr … Neue Produkthaftungsrichtlinie der EU in Kraft getreten

(ESV/bp)

Programmbereich: Wirtschaftsrecht