Warum ein pauschales EU #KRITIS-Verbot nicht zielführend ist: Dass es einer effektiven Risikobewertung zur Cybersicherheit in der digitalen #Lieferkette bedarf, ist in Zeiten zunehmender digitaler Abhängigkeiten, Cyberangriffen auf Zulieferer und geopolitischer Unsicherheiten unbestritten. Fraglich ist aber, ob der gestern von der EU-Kommission vorgestellte Entwurf eines Cybersecurity Act 2 (#CSA 2) der richtige Weg dafür ist.
Denn ein pauschales europäisches Verbot von KRITIS-Komponenten droht das Kind mit dem Bade auszuschütten. Ein solcher Verbotsansatz erscheint deshalb weder überzeugend, noch fällt er in die Regelungszuständigkeit der Europäischen Union. Vielmehr sind hierfür die Mitgliedstaaten zuständig und auch Deutschland hat bereits entsprechende nationale gesetzliche Regelungen zum Umgang mit KRITIS-Komponenten eingeführt.
Dass die politische Diskussion auch in der EU an dieser Stelle belegbar hinreichend kontrovers ist, wird allein schon dadurch deutlich, dass man sich im entscheidenden 4. Titel des CSA 2-Entwurfs noch bis vor Kurzem auf immer noch nicht mehr als bloße Platzhalter verständigen konnte, wohingegen die anderen Regelungen des CSA 2 zur praktischen und operativen #Cybersicherheit bereits umfassend ausgeführt werden und sich an begrüßenswerten gängigen Industrie- und Branchenstandards orientieren.
Mit einem pauschalen europäischen KRITIS-Verbot würde im Endeffekt eine für die Praxis intransparente Doppelregulierung im deutschen und EU-Recht mit ganz erheblichen wirtschaftlichen und organisatorischen Mehraufwänden ohne unmittelbar nachvollziehbarem Nutzen für Cybersicherheit und Innovation drohen. Denn auch pauschale Verbotsregelungen können internationale Abhängigkeiten in den digitalen Lieferketten nicht vollständig ausräumen, die gegenwärtig zu einer Vielzahl von Staaten außerhalb der EU bestehen.
Andererseits blieben auf diese Weise internationale Anstrengungen und Investitionen in Maßnahmen zur Stärkung der #Cybersecurity unberücksichtigt. Stattdessen sollte eine Neufassung des EU CSA auch für den digitalen Lieferkettenschutz deshalb wieder stärker auf evidenzbasierte Regelungsansätze setzen, die nachweisbare Konzepte im Sinne von „Security by Design“ in den Mittelpunkt stellt und somit auch eine unmittelbare Vergleichbarkeit von Angeboten außereuropäischer Hersteller nach gleichen Kriterien und Bewertungsmaßstäben transparent gewährleistet:
#denniskenjikipker #cyberresilience #cyberintelligence #cyberintelligenceinstitute #frankfurt #bremen