26.03.2019 Brüssel. Die EU-Kommission hat heute (Dienstag) Vorschläge für ein abgestimmtes Vorgehen der EU zur Sicherheit von 5G-Netzen vorgelegt. Netze der 5. Generation (5G) werden künftig das Rückgrat unserer Gesellschaften und Volkswirtschaften bilden und Milliarden von Objekten und Systemen miteinander verbinden, auch in kritischen Sektoren wie Energie, Verkehr, Bank- und Gesundheitswesen. Auch demokratische Prozesse, wie z.B. Wahlen, beruhen zunehmend auf digitalen Infrastrukturen und 5G-Netzen. Zur Beseitigung etwaiger Schwachstellen empfiehlt die Kommission eine Kombination aus legislativen und politischen Instrumenten, sowohl auf nationaler als auch auf europäischer Ebene.

Nachdem die Staats- und Regierungschefs auf der Tagung des Europäischen Rates am 22. März ihre Unterstützung für ein abgestimmtes Vorgehen bei der Sicherheit von 5G-Netzen bekundet haben, empfiehlt die Europäische Kommission heute eine Reihe konkreter Maßnahmen zur Bewertung der Cybersicherheitsrisiken von 5G-Netzen und zur Stärkung von Präventivmaßnahmen. Angesichts weltweiter 5G-Umsätze, die im Jahr 2025 schätzungsweise 225 Mrd. Euro erreichen werden, ist die 5G-Technik ein Schlüsselfaktor der europäischen Wettbewerbsfähigkeit auf dem Weltmarkt, und die Cybersicherheit der 5G-Netze ist von entscheidender Bedeutung für die Gewährleistung der strategischen Autonomie der Union.

Der für den digitalen Binnenmarkt zuständige Vizepräsident Andrus Ansip sagte hierzu: „Die 5G-Technik wird unsere Wirtschaft und Gesellschaft stark verändern und eröffnet gewaltige Chancen für Menschen und Unternehmen. Wir können aber nicht zulassen, dass dies ohne eingebaute Sicherheit geschieht. Deshalb ist es sehr wichtig, dass 5G-Infrastrukturen in der EU widerstandsfähig und vollständig gegen technische oder rechtliche Hintertüren gesichert sind.“

Der für die Sicherheitsunion zuständige EU-Kommissar Julian King, erklärte: „Die Resilienz unserer digitalen Infrastrukturen ist für die Behörden, die Wirtschaft, die Sicherheit unserer personenbezogenen Daten und das Funktionieren unserer demokratischen Institutionen von entscheidender Bedeutung. Wir brauchen ein europäisches Konzept für den Schutz der Integrität der 5G-Netze, das uns als digitaler Anker bei der Organisation unseres vernetzten Lebens dient.“

Die für die digitale Wirtschaft und Gesellschaft zuständige EU-Kommissarin Mariya Gabriel ergänzte: „Mit dem Schutz der 5G-Netze schützen wir die Infrastruktur, die lebenswichtige gesellschaftliche und wirtschaftliche Funktionen – wie Energieversorgung, Verkehr, Bank- und Gesundheitswesen – unterstützt, aber auch die Fabriken der Zukunft, die weitaus stärker automatisiert sein werden als heute. Ebenso schützen wir dadurch unsere demokratischen Prozesse, wie z. B. Wahlen, vor Einmischung und vor der Verbreitung von Desinformation.“

Jede Schwachstelle in 5G-Netzen oder ein Cyberangriff auf künftige Netze in einem Mitgliedstaat würde sich auf die Union als Ganzes auswirken. Deshalb müssen sowohl auf nationaler als auch auf europäischer Ebene abgestimmte Maßnahmen getroffen werden, die ein hohes Maß an Cybersicherheit gewährleisten.

Die heutige Empfehlung sieht eine Reihe operativer Maßnahmen vor:

1. Auf nationaler Ebene:

Jeder Mitgliedstaat sollte bis Ende Juni 2019 seine nationale Risikobewertung der 5G-Netzinfratrukturen abschließen. Auf dieser Grundlage sollten die Mitgliedstaaten sodann die bestehenden Sicherheitsanforderungen an Netzbetreiber überarbeiten und Bedingungen zur Gewährleistung der Sicherheit öffentlicher Netze, insbesondere bei der Erteilung von Nutzungsrechten für Funkfrequenzen in 5G-Bändern festlegen. Diese Maßnahmen sollten verstärkte Verpflichtungen für Anbieter und Betreiber bezüglich der Gewährleistung der Sicherheit der Netze umfassen. In den nationalen Risikobewertungen und Maßnahmen sollten die verschiedenen Risikofaktoren berücksichtigt werden, z.B. technische Risiken und Risiken im Zusammenhang mit dem Verhalten von Anbietern oder Betreibern, auch denen aus Drittländern. Die nationalen Risikobewertungen werden ein zentrales Element für den Aufbau einer koordinierten EU-Risikobewertung bilden.

Die EU-Mitgliedstaaten werden befugt sein, bestimmte Unternehmen aus Gründen der nationalen Sicherheit von ihren Märkten auszuschließen, wenn diese gegen nationale Standards und gegen den Rechtsrahmen des Landes verstoßen.

2. Auf EU-Ebene

Die Mitgliedstaaten sollten Informationen untereinander austauschen und mit Unterstützung der Kommission und der Agentur der Europäischen Union für Cybersicherheit (ENISA) bis zum 1. Oktober 2019 eine koordinierte Risikobewertung vornehmen. Auf dieser Grundlage werden die Mitgliedstaaten dann eine Reihe von Risikominderungsmaßnahmen vereinbaren, die auf nationaler Ebene eingesetzt werden können. Dies wären beispielsweise Zertifizierungsanforderungen, Tests und Kontrollen sowie die Benennung von Produkten oder Anbietern, die als potenziell unsicher gelten. Diese Arbeiten werden im Rahmen der durch die Richtlinie zur Netz- und Informationssicherheit geschaffenen Kooperationsgruppe mit Unterstützung der Kommission und der ENISA erfolgen. Mit dieser koordinierten Arbeit sollen die Maßnahmen der Mitgliedstaaten auf nationaler Ebene unterstützt und der Kommission Leitlinien für mögliche weitere Schritte auf EU-Ebene vorgegeben werden. Darüber hinaus sollten die Mitgliedstaaten besondere Sicherheitsanforderungen ausarbeiten, die im Zusammenhang mit der Vergabe öffentlicher Aufträge in Bezug auf 5G-Netze gelten könnten, darunter auch verbindliche Anforderungen an die Umsetzung von Systemen für die Cybersicherheitszertifizierung.

Mit der heutigen Empfehlung wird ein breites Spektrum an bereits bestehenden oder vereinbarten Instrumenten genutzt, um die Zusammenarbeit bei der Bekämpfung von Cyberangriffen zu intensivieren und die EU in die Lage zu versetzen, gemeinsam Maßnahmen zum Schutz ihrer Wirtschaft und Gesellschaft zu ergreifen. Dazu zählen die ersten EU-weiten Rechtsvorschriften über die Cybersicherheit (Richtlinie über die Netz- und Informationssicherheit)‚ der kürzlich vom Europäischen Parlament verabschiedete Rechtsakt zur Cybersicherheit und die neuen Telekommunikationsvorschriften. Die Empfehlung wird den Mitgliedstaaten helfen, diese neuen Instrumente im Hinblick auf die 5G-Sicherheit in abgestimmter Weise umzusetzen.

Im Bereich der Cybersicherheit sollte der künftige europäische Rahmen für die Cybersicherheitszertifizierung digitaler Produkte, Prozesse und Dienstleistungen, der im Rechtsakt zur Cybersicherheit vorgesehen ist, ein wesentliches Instrument bilden, um ein einheitliches Sicherheitsniveau zu fördern. Bei seiner Umsetzung sollten die Mitgliedstaaten nun auch unverzüglich und aktiv auf alle anderen Beteiligten zugehen, damit besondere EU-weite Zertifizierungssysteme für 5G-Technik entwickelt werden. Sobald diese verfügbar sind, sollten die Mitgliedstaaten die 5G-Zertifizierung mittels nationaler technischer Vorschriften verbindlich vorschreiben.

Im Bereich der Telekommunikation müssen die Mitgliedstaaten dafür sorgen, dass die Integrität und Sicherheit der öffentlichen Kommunikationsnetze gewährleistet wird und dass Betreiber verpflichtet sind, technische und organisatorische Maßnahmen zur angemessenen Beherrschung der Risiken für die Sicherheit von Netzen und Diensten zu ergreifen.

Nächste Schritte

  • Die Mitgliedstaaten sollten ihre nationalen Risikobewertungen bis zum 30. Juni 2019 abschließen und ihre erforderlichen Sicherheitsmaßnahmen auf den neuesten Stand bringen. Die nationalen Risikobewertungen sollten der Kommission und der Agentur der Europäischen Union für Cybersicherheit bis zum 15. Juli 2019 vorliegen.
  • Parallel dazu werden die Mitgliedstaaten und die Kommission ihre Koordinierungsarbeiten innerhalb der NIS-Kooperationsgruppe aufnehmen. Die ENISA wird ihren Bericht über die 5G-Bedrohungslage abschließen, auf dessen Grundlage die Mitgliedstaaten dann bis zum 1. Oktober 2019 die EU-weite Risikobewertung vornehmen werden.
  • Bis zum 31. Dezember 2019 sollte sich die NIS-Kooperationsgruppe dann auf Risikominderungsmaßnahmen einigen, mit denen auf die festgestellten Cybersicherheitsrisiken auf nationaler und EU-Ebene reagiert werden soll.
  • Sobald der kürzlich vom Europäischen Parlament verabschiedete Rechtsakt zur Cybersicherheit in den kommenden Wochen in Kraft tritt, werden die Kommission und die ENISA den EU-weiten Zertifizierungsrahmen aufstellen. Die Mitgliedstaaten sind aufgerufen, mit der Kommission und der ENISA zusammenzuarbeiten, damit das Zertifizierungssystem für 5G-Netze und ‑Ausrüstungen vorrangig eingerichtet wird.
  • Bis zum 1. Oktober 2020 sollten die Mitgliedstaaten – in Zusammenarbeit mit der Kommission – die Auswirkungen dieser Empfehlung bewerten, um zu ermitteln, ob weitere Maßnahmen erforderlich sind. Bei dieser Bewertung sollten die Ergebnisse der koordinierten europäischen Risikobewertung und die Wirksamkeit des Instrumentariums berücksichtigt werden.

Hintergrund

In seinen Schlussfolgerungen vom 22. März sprach sich der Europäische Rat dafür aus, dass die Europäische Kommission Empfehlungen für ein abgestimmtes Vorgehen bei der Sicherheit von 5G-Netzen geben solle. In der Entschließung des Europäischen Parlaments vom 12. März zu Sicherheitsbedrohungen im Zusammenhang mit der zunehmenden technologischen Präsenz Chinas in der EU werden die Kommission und die Mitgliedstaaten ebenfalls aufgefordert, Maßnahmen auf Unionsebene zu ergreifen.

Darüber hinaus ist die Cybersicherheit der 5G-Netze von entscheidender Bedeutung für die Gewährleistung der strategischen Autonomie der Union, wie in der Gemeinsamen Mitteilung „EU-China – Strategische Perspektiven“ betont wurde. Deshalb ist es dringend notwendig, die bestehenden Sicherheitsvorschriften in diesem Bereich zu überprüfen und zu stärken, damit sie der strategischen Bedeutung der 5G-Netze sowie der Entwicklung der Bedrohungslage und der wachsenden Zahl und Komplexität von Cyberangriffen gerecht werden. 5G ist eine Schlüsselkomponente der Wettbewerbsfähigkeit Europas auf dem Weltmarkt. Im Jahr 2025 dürften die mit 5G-Technik erwirtschafteten Umsätze einen Gegenwert von 225 Mrilliarden Euro erreichen. Anderen Quellen zufolge könnten die mit der 5G-Einführung allein in vier Schlüsselbranchen (Automobilsektor, Gesundheitswesen, Verkehr und Energie) erzielten Gewinne 114 Milliarden Euro pro Jahr erreichen.

Links zum Thema:

Europäische Kommission empfiehlt gemeinsames Vorgehen der EU bei der Sicherheit der 5G-Netze
Pressemitteilung der EU-Kommission vom 26.03.2019

Fragen und Antworten

Sicherheitsunion: bisher Einigung über 15 von 22 Gesetzgebungsinitiativen im Zusammenhang mit der Sicherheitsunion erzielt

EU-Verhandlungsführer einigen sich auf Erhöhung der Cybersicherheit in Europa
Pressemitteilung der EU-Kommission vom 10.12.2018.

Gemeinsame Mitteilung „EU-China – Strategische Perspektiven“

Quelle dieser Informationen: EU-Nachrichten der Vertretung der EU-Kommission in Deutschland.