Das überarbeitete EU-Gesetz zur Cybersicherheit zielt auf „Hochrisiko“-Lieferanten ab

Die Europäische Kommission hat ihren Vorschlag zur Überarbeitung des Cybersecurity Act (CSA) veröffentlicht. Dieser enthält Bestimmungen, die den Ausschluss von „Hochrisiko“-Unternehmen und -Komponenten aus europäischen Lieferketten ermöglichen.

Der Vorschlag wurde nach einem mehrmonatigen Überprüfungsprozess letzte Woche (14. Januar) erwartet, verzögerte sich jedoch angeblich aufgrund von Meinungsverschiedenheiten zwischen Beamten und Mitgliedstaaten über den Umfang der Änderungen am CSA.

Der Vorschlag skizziert Maßnahmen zur Identifizierung von Hochrisiko-„Drittländern“ und Unternehmen, die digitale Ausrüstung oder Komponenten an die EU liefern, und zum Ausschluss dieser Unternehmen von wichtigen digitalen Infrastrukturen.

Die Kommission erklärte, der Vorschlag ziele darauf ab, „die EU und die Mitgliedstaaten in die Lage zu versetzen, gemeinsam Risiken in den 18 kritischen Sektoren der EU, einschließlich des Energiesektors, zu identifizieren und zu mindern“. In einer Pressemitteilung der Kommission wird jedoch lediglich die „obligatorische Risikominderung“ im Telekommunikationssektor erwähnt.

Im Bereich der erneuerbaren Energien, insbesondere Solare Photovoltaik und Energiespeicherung Das größte Risikoland ist China, obwohl der Kommissionsvorschlag das Land nicht erwähnt. Chinesische Unternehmen haben in den letzten Monaten den Großteil der Solarwechselrichter in der EU geliefert, was in der Branche und in Brüssel Bedenken hinsichtlich der Cybersicherheit hervorgerufen hat. Die EU hat Solarwechselrichter bereits in ihrer Ende letzten Jahres veröffentlichten Wirtschaftssicherheitsdoktrin als „hochriskante“ Lieferabhängigkeit eingestuft.

Beispielsweise zeigen Daten des europäischen PV-Großhändlers Sun.store, dass Huawei ein führender Lieferant von Solarwechselrichter – viele davon sind digital und mit Cloud-Servern verbunden – trotz der Tatsache, dass das Unternehmen aus Sicherheitsgründen vom 5G-Netz der EU ausgeschlossen wurde.

Der Vorschlag sieht vor, Produkte, die bereits in der EU-Infrastruktur eingesetzt werden, gegebenenfalls zurückzurufen und schrittweise aus dem Verkehr zu ziehen, falls sich der Lieferant als risikoreich erweist. Die Auswirkungen eines Ausstiegs aus chinesischer Technologie für den Solarsektor wurden letzte Woche analysiert.

Bei den Beschränkungen der Lieferkette liegt der Fokus auf „nicht-technischen“ Risiken. Die Kommission erklärt, dass damit das Risiko gemeint ist, dass ein Lieferant „dem Einfluss eines Drittlandes unterliegt“, was zu Störungen eines wesentlichen Dienstes oder zur „Exfiltration von Daten, auch zum Zwecke der Spionage oder der Erzielung von Einnahmen“, führen könnte.

„Cybersicherheitsbedrohungen sind nicht nur technische Herausforderungen. Sie stellen strategische Risiken für unsere Demokratie, unsere Wirtschaft und unsere Lebensweise dar“, sagte Henna Virkkunen, Exekutiv-Vizepräsidentin der Kommission für technologische Souveränität, Sicherheit und Demokratie. „Mit dem neuen Cybersicherheitspaket verfügen wir über die notwendigen Mittel, um unsere kritischen IKT-Lieferketten besser zu schützen und Cyberangriffe entschieden zu bekämpfen. Dies ist ein wichtiger Schritt zur Sicherung unserer europäischen technologischen Souveränität und zur Gewährleistung größerer Sicherheit für alle.“

Der Vorschlag enthielt außerdem Klarstellungen zum Europäischen Rahmenwerk für Cybersicherheitszertifizierungen (ECCF), die laut Vorschlag „mehr Klarheit und einfachere Verfahren“ schaffen und die Entwicklung einiger Zertifizierungen „innerhalb von 12 Monaten“ ermöglichen sollen. Unternehmen können sich zudem freiwillig zur ECCF-Konformität verpflichten, was laut Vorschlag einen „Wettbewerbsvorteil für EU-Unternehmen“ darstellt. Damit wird ein obligatorisches Zertifizierungsverfahren vermieden, das im Rahmen der CSA-Überprüfung diskutiert worden war.

Außerdem wurden Maßnahmen zur Stärkung der EU-Agentur für Cybersicherheit (ENISA) eingeführt, die mit der ersten Verabschiedung des CSA im Jahr 2019 ins Leben gerufen wurde.

Als Reaktion auf den Vorschlag sagte Dries Acke, stellvertretender Geschäftsführer von SolarPower Europe: „Es ist sehr gut, dass die Europäische Kommission Cybersicherheitsthemen ernst nimmt.“

„Entscheidend bleibt die Schaffung robuster, EU-weiter Standards und Protokolle für Cybersicherheit, die für alle digitalen Komponenten und Unternehmen auf dem europäischen Energiemarkt gelten. Europa muss gegen alle Arten von Angriffen von allen Seiten widerstandsfähig sein.“

„Da die solarspezifische Risiko- und Folgenabschätzung für die Cybersicherheit noch läuft, freuen wir uns darauf, die konstruktive Zusammenarbeit mit der Kommission fortzusetzen und uns im Rahmen des erneuerten Mandats der ENISA sowie des optimierten europäischen Cybersicherheitszertifizierungsrahmens zu engagieren.“