Zum Ende des vergangenen Jahres hat das EU-Parlament auf Grundlage der NIS-Richtlinie von 2016 einen weiteren und erheblichen Schritt in Richtung einheitlicher und flächendeckender Cybersicherheit in der Europäischen Union getan: Mit dem Entwurf einer Verordnung über die „EU-Cybersicherheitsagentur“ (ENISA) und zur Aufhebung der Verordnung (EU) Nr. 526/2013 sowie über die Zertifizierung der Cybersicherheit von Informations- und Kommunikationstechnik („Rechtsakt zur Cybersicherheit“) soll die Europäische Agentur für Netz- und Informationssicherheit zukünftig mit weitreichenderen Befugnissen ausgestattet, reformiert und ein europaweites Zertifizierungssystem für Cybersicherheit in der Informations- und Kommunikationstechnik etabliert werden.
Ziel des Entwurfes ist es einerseits, einen gemeinsamen Rahmen für Cybersicherheits-Zertifizierungen zu schaffen, um das Vertrauen in den digitalen Binnenmarkt und dessen Sicherheit zu stärken, und andererseits, der ENISA wichtige Kompetenzen als leitende EU-Cybersecuritybehörde zu übertragen, um entsprechenden Risiken vorzubeugen und Angriffe EU-weit koordiniert abwehren zu können. Laut dem Verordnungsentwurf sind sichere Informationstechnik sowie Kommunikationsnetze, Produkte und Dienstleistungen ein wichtiger Bestandteil der fortschreitenden Digitalisierung und damit auch maßgeblich für ein stetiges und staatenübergreifendes, gesamteuropäisches Wirtschaftswachstum. Deshalb sieht das EU-Gesetz verschiedene Maßnahmen vor, um der steigenden Bedrohungslage im digitalen Raum gerecht zu werden. Insbesondere sollen spezielle Befugnisse geschaffen werden, mit denen die Europäische Union auf internationale Cybersicherheitsangriffe reagieren kann.
EU LIBE Committee veröffentlicht Draft Opinion zum Cybersecurity Act
Nunmehr wurde am 17. Januar 2018 eine „Draft Opinion“ von Seiten des Ausschusses für bürgerliche Freiheiten, Justiz und Inneres des Europäischen Parlaments (Berichterstatter Jan Philipp Albrecht) veröffentlicht, der eingehend auf die von der EU vorgeschlagenen Neuregelungen zur IT-Sicherheit Bezug nimmt. Deutlich wird dabei vor allem eines: IT-Sicherheit soll in rechtspolitischer Hinsicht zukünftig nicht nur eine Aufgabe von Staaten und Unternehmen sein, sondern vor allem auch den in der EU lebenden Bürgern zugutekommen, und darüber hinaus auch globale Wirkungen entfalten. Der ursprüngliche Entwurf der neuen Cybersecurity-Verordnung setzte den Fokus vornehmlich ausschließlich auf den Ausbau der ENISA und auf die EU-weite Cybersicherheitszertifizierung, wohingegen nunmehr explizit – ganz in der Tradition und Aufgabe des LIBE Committees stehend – Aspekte des Datenschutzes, Bürgerrechte, Transparenz und der Verbraucherschutz berücksichtigt werden sollen. Gerade die letztgenannte Vorgabe beschäftigt sich vor allem auch mit Aspekten der Verantwortungsteilung zwischen Herstellern, Händlern und Betreibern im Hinblick auf Schäden, die Bürger und Verbraucher durch das nicht ordnungsgemäße Funktionieren relevanter IT-Systeme erleiden.
[…]
Der vollständige Beitrag kann an dieser Stelle im beck-blog abgerufen werden.