Cybersicherheit: Organe, Einrichtungen und sonstige Stellen der EU sind insgesamt nicht ausreichend gegen Bedrohungen gewappnet
Über den Bericht:Die Organe, Einrichtungen und sonstigen Stellen der EU (EU-OESS) werden immer häufiger zur Zielscheibe von Cyberangriffen. Da sie eng miteinander verflochten sind, können Sicherheitslücken bei einzelnen EU-OESS dazu führen, dass andere EU-OESS Cyberbedrohungen ausgesetzt werden. Der Hof untersuchte, ob die EU-OESS geeignete Vorkehrungen getroffen haben, um sich vor Cyberbedrohungen zu schützen. Der Hof stellte fest, dass die EU-OESS insgesamt nicht ausreichend gegen Bedrohungen gewappnet sind und in Bezug auf die Cybersicherheit einen sehr unterschiedlichen Reifegrad aufweisen. Der Hof empfiehlt der Kommission, die EU-OESS besser gegen Bedrohungen zu wappnen, indem sie die Einführung verbindlicher Cybersicherheitsvorschriften und eine Aufstockung der Ressourcen des IT-Notfallteams (CERT-EU) vorschlägt. Ferner sollte die Kommission weitere Synergien zwischen den EU-OESS fördern, und das CERT-EU und die Agentur der Europäischen Union für Cybersicherheit sollten den Schwerpunkt ihrer Unterstützung auf die weniger gut gerüsteten EU-OESS legen.
Sonderbericht des Hofes gemäß Artikel 287 Absatz 4 Unterabsatz 2 AEUV.
Zusammenfassung
I Im EU-Rechtsakt zur Cybersicherheit wird Cybersicherheit definiert als "Tätigkeiten, die notwendig sind, um Netz- und Informationssysteme, die Nutzer solcher Systeme und andere von Cyberbedrohungen betroffene Personen zu schützen". Aufgrund der von ihnen verarbeiteten sensiblen Informationen sind die Organe, Einrichtungen und sonstigen Stellen der EU (im Folgenden "EU-OESS") attraktive Ziele für potenzielle Angreifer und insbesondere für Gruppen, die in der Lage sind, hochentwickelte Stealth-Angriffe zu Zwecken der Cyberspionage und anderen Zwecken durchzuführen. Trotz ihrer institutionellen Unabhängigkeit und Verwaltungsautonomie sind die EU-OESS eng miteinander verflochten. Daher könnten Schwachstellen in einzelnen EU-OESS dazu führen, dass andere EU-OESS Sicherheitsbedrohungen ausgesetzt werden.
II Da die EU-OESS immer häufiger zur Zielscheibe von Cyberangriffen werden, sollte im Rahmen dieser Prüfung untersucht werden, ob die EU-OESS insgesamt geeignete Vorkehrungen getroffen haben, um sich vor Cyberbedrohungen zu schützen. Der Hof kommt zu dem Schluss, dass die EU-OESS insgesamt nicht ausreichend gegen Cyberbedrohungen gewappnet sind.
III Der Hof stellte fest, dass wichtige bewährte Verfahren im Bereich der Cybersicherheit, u. a. einige wesentliche Kontrollen, nicht immer zur Anwendung kamen und eine Reihe von EU-OESS eindeutig zu wenig in die Cybersicherheit investieren. Des Weiteren verfügen einige EU-OESS über kein solides Cybersicherheitskonzept: In vielen Fällen fehlt es an einer IT-Sicherheitsstrategie oder die Strategie wird nicht von der höheren Führungsebene gebilligt, Sicherheitsmaßnahmen werden nicht immer formell festgeschrieben und Risikobewertungen decken nicht die gesamte IT-Umgebung ab. Nicht alle EU-OESS erlangen für ihre Cybersicherheit regelmäßig von unabhängiger Seite Gewähr.
IV Es werden nicht immer systematisch Schulungen zur Cybersicherheit durchgeführt. Nur etwas mehr als die Hälfte der EU-OESS bieten kontinuierliche Schulungen auf dem Gebiet der Cybersicherheit für IT-Mitarbeiter und IT-Sicherheitsexperten an. Nur wenige EU-OESS veranstalten Pflichtschulungen zur Cybersicherheit für Manager, die für IT-Systeme mit sensiblen Informationen verantwortlich sind. Phishing-Übungen sind ein wichtiges Instrument für die Schulung und Sensibilisierung des Personals. Sie kommen jedoch nicht in allen EU-OESS systematisch zum Einsatz.
V Zwar haben die EU-OESS Strukturen für die Zusammenarbeit und den Austausch von Informationen im Bereich der Cybersicherheit geschaffen, doch stellte der Hof fest, dass mögliche Synergien nicht in vollem Umfang ausgeschöpft werden. Die EU-OESS tauschen Informationen zu Projekten, Sicherheitsbewertungen und Dienstleistungsverträgen im Bereich der Cybersicherheit nicht systematisch miteinander aus. Außerdem sind grundlegende Kommunikationsmittel wie verschlüsselte E-Mail- oder Videokonferenzlösungen nicht vollständig interoperabel. Dies kann zu einem weniger sicheren Informationsaustausch, zu Doppelarbeit und zu höheren Kosten führen.
VI Das IT-Notfallteam für die Organe, Einrichtungen und sonstigen Stellen der Union (CERT-EU) und die Agentur der Europäischen Union für Cybersicherheit (ENISA) sind die beiden wichtigsten Stellen zur Unterstützung der EU-OESS im Bereich der Cybersicherheit. Aufgrund von Mittelengpässen oder weil anderen Bereichen Vorrang eingeräumt wurde, konnten sie jedoch nicht allen EU-OESS die nötige Unterstützung zukommen lassen, insbesondere was den Kapazitätsaufbau für weniger gut gerüstete EU-OESS betrifft. Auch wenn die EU-OESS das CERT-EU sehr schätzen, wird dessen Wirksamkeit durch steigende Arbeitsbelastung, instabile Mittel- und Personalausstattung und mangelnde Kooperation seitens einiger EU-OESS – die über Sicherheitslücken oder bedeutende Cybersicherheitsvorfälle, von denen sie betroffen sind oder die sich auf andere EU-OESS auswirken könnten, nicht immer zeitnah informieren – eingeschränkt.
VII Auf der Grundlage dieser Schlussfolgerungen empfiehlt der Hof
- der Kommission, die EU-OESS besser gegen Cyberbedrohungen zu wappnen und zu diesem Zweck einen Legislativvorschlag vorzulegen, in dem gemeinsame verbindliche Cybersicherheitsvorschriften für alle EU-OESS und eine Aufstockung der Ressourcen für das CERT-EU vorgesehen werden;
- der Kommission, im Rahmen des Interinstitutionellen Ausschusses für den digitalen Wandel (Interinstitutional Committee for Digital Transformation) in ausgewählten Bereichen weitere Synergien zwischen den EU-OESS zu fördern;
- dem CERT-EU und der ENISA, sich verstärkt auf EU-OESS zu konzentrieren, die im Bereich der Cybersicherheit weniger gut gerüstet sind.
Einleitung
Was ist Cybersicherheit?
01 Im EU-Rechtsakt zur Cybersicherheit1 wird Cybersicherheit definiert als "Tätigkeiten, die notwendig sind, um Netz- und Informationssysteme, die Nutzer solcher Systeme und andere von Cyberbedrohungen betroffene Personen zu schützen". Cybersicherheit beruht auf Informationssicherheit, bei der es um die Wahrung der Vertraulichkeit, Integrität und Verfügbarkeit von Informationen2 in physischer oder elektronischer Form geht. Darüber hinaus wird der Schutz von Netz-und Informationssystemen, in denen solche Informationen gespeichert sind, als IT-Sicherheit bezeichnet (siehe Abbildung 1).
02 Als Disziplin beschäftigt sich die Cybersicherheit damit, Cybervorfälle zu ermitteln, zu verhüten, zu erkennen, darauf zu reagieren und sich davon zu erholen. Vorfälle können beispielsweise von der unbeabsichtigten Preisgabe von Informationen über Angriffe, mit denen kritische Infrastrukturen geschädigt werden sollen, bis hin zu Identitätsdiebstahl und dem Diebstahl personenbezogener Daten reichen3.
03 Ein Cybersicherheitsrahmen umfasst viele Elemente, darunter Anforderungen und technische Kontrollen für die Sicherheit von Netz- und Informationssystemen sowie geeignete Governance-Regelungen und Programme zur Sensibilisierung des Personals für Fragen der Cybersicherheit.
Cybersicherheit in den Organen, Einrichtungen und sonstigen Stellen der EU
04 Aufgrund der von ihnen verarbeiteten sensiblen Informationen sind die Organe, Einrichtungen und sonstigen Stellen der EU (EU-OESS) attraktive Ziele für potenzielle Angreifer und insbesondere für Gruppen, die in der Lage sind, hochentwickelte Stealth-Angriffe ("fortgeschrittene andauernde Bedrohungen") zu Zwecken der Cyberspionage und anderen Zwecken durchzuführen4. Erfolgreiche Cyberangriffe gegen EU-OESS können weitreichende politische Folgen haben, dem Ruf der EU insgesamt schaden und das Vertrauen in ihre Organe untergraben.
05 Die COVID-19-Pandemie hat die EU-OESS wie viele andere Organisationen weltweit gezwungen, den digitalen Wandel schlagartig voranzutreiben und auf Telearbeit umzusteigen. Dadurch hat sich die Zahl der potenziellen Zugangspunkte (die "Angriffsfläche") für Angreifer erhöht, da die Reichweite der jeweiligen Behörde auf die privaten Internetzugänge ihrer Mitarbeiter und mobile Apparate ausgeweitet wurde, die neue Sicherheitslücken aufweisen, die von Angreifern genutzt werden können. Gruppen, die mittels fortgeschrittener andauernder Bedrohungen gegen EU-OESS vorgehen, erhalten häufig über Fernzugriffsdienste einen ersten Zugang zu deren Netzwerken5.
06 Die Zahl der Cybervorfälle nimmt zu. Besonders besorgniserregend ist der drastische Anstieg von bedeutenden Sicherheitsvorfällen in den EU-OESS6, die 2021 einen neuen Höchstwert erreichten. Bedeutende Sicherheitsvorfälle sind Vorfälle, die weder wiederholt auftreten noch leicht zu beheben sind. Sie beinhalten typischerweise die Nutzung neuer Methoden und Technologien, und es kann mehrere Wochen oder sogar mehrere Monate dauern, solche Vorfälle zu untersuchen und sich davon zu erholen. Die bedeutenden Sicherheitsvorfälle haben sich zwischen 2018 und 2021 mehr als verzehnfacht7. Allein in den letzten beiden Jahren waren mindestens 22 einzelne EU-OESS von bedeutenden Sicherheitsvorfällen betroffen. Ein Beispiel aus jüngster Zeit ist der Cyberangriff auf die Europäische Arzneimittelagentur, bei dem sensible Daten geleakt und auf eine Weise manipuliert wurden, die das Vertrauen in Impfstoffe untergraben sollte8.
07 Die EU-OESS sind eine sehr heterogene Gruppe, die die Organe, die Agenturen und eine Reihe verschiedener Einrichtungen umfasst. Die sieben EU-Organe wurden durch die Verträge geschaffen. Die dezentralen Agenturen der EU und sonstigen Einrichtungen werden hingegen durch einen Sekundärrechtsakt errichtet und sind jeweils getrennte Einrichtungen mit eigener Rechtspersönlichkeit. Die Agenturen haben verschiedene Rechtsformen: Es gibt sechs Exekutivagenturen der Kommission und 37 dezentrale Agenturen der EU9. Zu den EU-OESS gehören auch die EU-Büros, ein diplomatisches Corps (der Europäische Auswärtige Dienst), die gemeinsamen Unternehmen und die sonstigen Einrichtungen. Die EU-OESS sind jeweils selbst für die Festlegung ihrer eigenen Cybersicherheitsanforderungen und die Umsetzung ihrer eigenen Sicherheitsmaßnahmen verantwortlich.
08 Um die Cybersicherheit der EU-OESS zu erhöhen, setzte die Kommission 2012 das IT-Notfallteam für die Organe, Einrichtungen und sonstigen Stellen der Union (CERT-EU) als ständige Taskforce ein. Das CERT-EU dient als zentrale Stelle für den Austausch von Informationen zur Cybersicherheit und die Koordinierung der Reaktion auf Sicherheitsvorfälle für die EU-OESS und arbeitet mit anderen Computer-Notfallteams (CSIRTs) in den Mitgliedstaaten und spezialisierten IT-Sicherheitsunternehmen zusammen. Die Organisation und die Funktionsweise des CERT-EU wird derzeit durch eine interinstitutionelle Vereinbarung (IIV) aus dem Jahr 201810 zwischen den EU-OESS, die darin auch als seine "Vertragsparteien" bezeichnet werden, geregelt. Derzeit gibt es 87 Vertragsparteien.
09 Die Agentur der Europäischen Union für Cybersicherheit (ENISA) ist ein weiterer wichtiger Akteur zur Unterstützung der EU-OESS. Ihre Aufgabe ist es, ein hohes gemeinsames Maß an Cybersicherheit in der gesamten EU zu erreichen. Die ENISA wurde 2004 mit dem Ziel gegründet, die Vertrauenswürdigkeit von Produkten, Prozessen und Diensten der Informations- und Kommunikationstechnologie (IKT) durch Schemata für die Cybersicherheitszertifizierung zu erhöhen, mit den EU-OESS und den Mitgliedstaaten zusammenzuarbeiten und ihnen dabei zu helfen, sich besser gegen Cyberbedrohungen zu wappnen. Die ENISA unterstützt die EU-OESS beim Kapazitätsaufbau und der operativen Zusammenarbeit.
10 Trotz ihrer institutionellen Unabhängigkeit sind die EU-OESS eng miteinander verflochten. Sie tauschen täglich Informationen aus und nutzen eine Reihe gemeinsamer Systeme und Netzwerke. Schwachstellen in einzelnen EU-OESS könnten dazu führen, dass andere EU-OESS Sicherheitsbedrohungen ausgesetzt werden, da viele Cyberangriffe mehr als einen Schritt benötigen, um ihr eigentliches Ziel zu erreichen11. Ein erfolgreicher Angriff auf eine schwächere EU-OESS kann als Zwischenschritt eines Angriffs auf eine andere EU-OESS genutzt werden. Die EU-OESS stehen auch in enger Verbindung mit öffentlichen und privaten Einrichtungen in den Mitgliedstaaten und können, wenn sie nicht ausreichend gerüstet sind, auch diese Cyberbedrohungen aussetzen.
11 Derzeit gibt es keinen Rechtsrahmen für die Informations- und Cybersicherheit in den EU-OESS. Sie unterliegen nicht den übergeordneten Rechtsvorschriften der EU zur Cybersicherheit – weder der NIS-Richtlinie aus dem Jahr 201612 noch der vorgeschlagenen überarbeiteten Fassung dieser Richtlinie, der NIS-2-Richtlinie13. Es liegen auch keine umfassenden Informationen über den Betrag vor, den die EU-OESS für Cybersicherheit aufwenden.
12 Im Juli 2020 veröffentlichte die Kommission eine Mitteilung über die EU-Strategie für eine Sicherheitsunion14 für den Zeitraum 2020-2025. Zu den wichtigsten Maßnahmen darin gehören "gemeinsame Vorschriften zur Informations- und Cybersicherheit für alle Organe, Einrichtungen und sonstigen Stellen der EU". Dieser neue Rahmen soll eine starke und effiziente operative Zusammenarbeit gewährleisten, bei der die Rolle des CERT-EU im Mittelpunkt steht. In der Cybersicherheitsstrategie der EU für die digitale Dekade15, die im Dezember 2020 veröffentlicht wurde, hat sich die Kommission das Ziel gesetzt, eine Verordnung über gemeinsame Cybersicherheitsvorschriften für alle EU-OESS vorzuschlagen. Des Weiteren schlug sie vor, eine neue Rechtsgrundlage für das CERT-EU zur Stärkung seines Mandats und seiner Finanzausstattung auszuarbeiten.
Prüfungsumfang und Prüfungsansatz
13 Da die EU-OESS immer häufiger zur Zielscheibe von Cyberangriffen werden und da Schwachstellen in einem bzw. einer EU-OESS dazu führen können, dass die übrigen EU-OESS Sicherheitsbedrohungen ausgesetzt werden, sollte im Rahmen dieser Prüfung untersucht werden, ob die EU-OESS insgesamt geeignete Vorkehrungen getroffen haben, um sich vor Cyberbedrohungen zu schützen. Zur Beantwortung dieser Hauptprüfungsfrage befasste sich der Hof mit drei Unterfragen:
- Werden in den EU-OESS zentrale Cybersicherheitsverfahren angewandt?
- Gibt es im Bereich der Cybersicherheit eine effiziente Zusammenarbeit zwischen den EU-OESS?
- Leisten die ENISA und das CERT-EU eine angemessene Unterstützung für die EU-OESS im Bereich der Cybersicherheit?
14 Die Prüfung ist zeitlich auf die EU-Strategie für eine Sicherheitsunion abgestimmt. Durch die Bewertung der derzeitigen Cybersicherheitsvorkehrungen der EU-OESS möchte der Hof Bereiche ermitteln, bei denen Verbesserungsbedarf besteht und die von der Kommission bei der Ausarbeitung ihres Legislativvorschlags für gemeinsame verbindliche Cybersicherheitsvorschriften für alle EU-OESS berücksichtigt werden können.
15 Die Prüfung erstreckte sich auf die Entwicklungen und Initiativen im Bereich der Cybersicherheit zwischen Januar 2018 (als die interinstitutionelle Vereinbarung über das CERT-EU geschlossen wurde) und Oktober 2021.
16 Die Prüfung war auf die Cyberabwehrfähigkeit und frei zugängliche Systeme beschränkt. Der Schwerpunkt lag auf Fragen der Abwehrbereitschaft (Maßnahmen in den Bereichen "Ermitteln", "Schützen" und "Erkennen"). Die Bereiche "Reagieren" und "Wiederherstellen" wurden von der Prüfung nicht abgedeckt. Es wurden jedoch einige organisatorische Aspekte der Reaktion auf Sicherheitsvorfälle untersucht. Auch die Bereiche Datenschutz, Strafverfolgung, Cyberabwehr und Cyberdiplomatie waren nicht Gegenstand dieser Prüfung (siehe Abbildung 2).
17 Die Prüfungsfeststellungen des Hofes beruhen auf einer detaillierten Analyse der verfügbaren Dokumentation sowie auf ergänzend dazu durchgeführten Befragungen. Der Hof holte im Rahmen einer Umfrage zur Selbsteinschätzung Informationen von 65 EU-OESS zu deren Cybersicherheitsvorkehrungen und ihrer Sichtweise der interinstitutionellen Zusammenarbeit ein. Der Hof befragte alle EU-OESS, die von den Prüfungsrechten des Hofes abgedeckt werden und ihre eigene IT-Infrastruktur verwalten, sowie den Europäischen Rechnungshof selbst. Dazu gehörten Organe, dezentrale Agenturen, gemeinsame Unternehmen und Einrichtungen. Des Weiteren befragte der Hof zivile Missionen – dabei handelt es sich um befristet tätige eigenständige Einheiten, die aus dem EU-Haushalt finanziert werden und aus IT-Sicht unabhängig sind. Anhang I ist die vollständige Liste der befragten EU-OESS zu entnehmen. Der Europäische Bürgerbeauftragte und der Europäische Datenschutzbeauftragte waren nicht Gegenstand der Prüfung.
18 Die Umfrage hatte eine Rücklaufquote von 100 % und diente als Ausgangspunkt für die weitere Analyse. Des Weiteren wählte der Hof eine Stichprobe von sieben EU-OESS aus, die die Heterogenität der EU-OESS widerspiegelt, und führte mit diesen nach Auswertung ihrer Antworten weitere Befragungen durch bzw. forderte weiterführende Unterlagen an. Als Auswahlkriterien wurden die Rechtsgrundlage, die Größe (im Hinblick auf Personal- und Mittelausstattung) und der Sektor zugrunde gelegt. Die Stichprobe setzte sich aus den folgenden EU-OESS zusammen: Europäische Kommission, Europäisches Parlament, Agentur der Europäischen Union für Cybersicherheit (ENISA), Europäische Bankaufsichtsbehörde (EBA), Europäische Agentur für die Sicherheit des Seeverkehrs (EMSA), EU-Beratungsmission für die Ukraine (EUAM Ukraine) und Gemeinsames Unternehmen "Initiative Innovative Arzneimittel" (IMI JU).
19 Außerdem führte der Hof Videokonferenzen mit dem CERT-EU, dem IKT-Beratungsausschuss (ICTAC), dem Interinstitutionellen Ausschuss für den digitalen Wandel (ICDT) und anderen einschlägigen Interessenträgern durch.
Bemerkungen
Die EU-OESS weisen bei der Cybersicherheit ganz unterschiedliche Reifegrade auf und wenden bewährte Verfahren nicht durchgehend an
20 In diesem Abschnitt werden die einzelnen Vorkehrungen und Cybersicherheitsrahmen der EU-OESS untersucht. Der Hof bewertete, ob die EU-OESS im Hinblick auf das IT-Sicherheitskonzept, das Risikomanagement, die Ressourcenzuweisung, Sensibilisierungsmaßnahmen, Kontrollen und unabhängige Gewähr einen einheitlichen und geeigneten Ansatz zur Förderung von Cybersicherheit verfolgten.
Das IT-Sicherheitskonzept der EU-OESS ist häufig nicht ausgereift und Risikoanalysen sind nicht erschöpfend
In vielen EU-OESS ist das IT-Sicherheitskonzept lückenhaft
21 Ein gutes Sicherheitskonzept ist für die Entwicklung eines wirkungsvollen Rahmens für die Sicherheit von Informationen und IT-Systemen von grundlegender Bedeutung, da darin die Ziele der Behörde definiert werden und es durch Schwerpunktsetzung und Beschlussfassung Orientierungshilfe bietet. Dem ISACA (Information Systems Audit and Control Association, Berufsverband für IT-Revisoren, Informationssicherheitsmanager und IT-Governance-Experten)16 zufolge sollte ein Governance-Rahmen für die IT-Sicherheit folgende Elemente enthalten:
- eine umfassende Sicherheitsstrategie, die untrennbar mit den Zielen der Behörde verbunden ist;
- geltende Sicherheitsmaßnahmen, die sämtliche Aspekte der Strategie, Kontrollen und Regelungen abdecken;
- einen umfassenden Satz von Standards für jede Maßnahme, in denen die operativen Schritte für die Einhaltung der jeweiligen Maßnahme beschrieben sind;
- institutionalisierte Überwachungsverfahren, um die Einhaltung sicherzustellen und Rückmeldung bezüglich der Wirksamkeit zu erhalten;
- eine effiziente Organisationsstruktur ohne Interessenkonflikte.
22 Der Hof stellte bei vielen EU-OESS Mängel beim IT-Sicherheitskonzept fest. Nur 58 % der EU-OESS (38 von 65) verfügen über eine IT-Sicherheitsstrategie oder zumindest einen IT-Sicherheitsplan, die bzw. der vom Verwaltungsrat/der höheren Führungsebene genehmigt wurde. Eine Aufschlüsselung nach Art der EU-OESS zeigt, dass die zivilen Missionen und dezentralen Agenturen (die zusammen 71 % der befragten EU-OESS ausmachen) die niedrigsten Prozentzahlen aufweisen (siehe Tabelle 1). Wenn ein bzw. eine EU-OESS nicht über eine IT-Sicherheitsstrategie oder einen IT-Sicherheitsplan verfügt, der von der höheren Führungsebene genehmigt wurde, besteht die Gefahr, dass diese über Probleme im Zusammenhang mit der IT-Sicherheit keine Kenntnis hat oder diesen Problemen nicht ausreichend Priorität einräumt.
Tabelle 1 – Prozentualer Anteil der EU-OESS mit einer von der höheren Führungsebene genehmigten IT-Sicherheitsstrategie bzw. einem von der höheren Führungsebene genehmigten IT-Sicherheitsplan
Aufschlüsselung nach Zahl der Mitarbeiter
< 100 Mitarbeiter
(22 EU-OESS) |
100 bis 249 Mitarbeiter
(17 EU-OESS) |
250 bis 1 000 Mitarbeiter
(16 EU-OESS) |
>1 000 Mitarbeiter
(10 EU-OESS) |
---|---|---|---|
45 % | 53 % | 69 % | 80 % |
Aufschlüsselung nach Art der EU-OESS
Dezentrale Agenturen
(35 EU-OESS) |
Zivile Missionen
(11 EU-OESS) |
Einrichtungen
(4 EU-OESS) |
Organe
(6 EU-OESS) |
Gemeinsame Unternehmen
(9 EU-OESS) |
---|---|---|---|---|
45 % | 56 % | 75 % | 83 % | 89 % |
Quelle: Umfrage des Hofes.
23 Der Hof untersuchte die IT-Sicherheitsstrategien/‑pläne der sieben EU-OESS aus seiner Stichprobe (siehe Ziffer 18). Er stellte fest, dass die Strategien der EU-OESS mit ihren jeweiligen Zielen in angemessener Weise im Einklang standen. Beispielsweise deckt sich die IT-Sicherheitsstrategie der Europäischen Kommission mit den in ihrer Digitalstrategie17 enthaltenen Vorgaben für die IT-Sicherheit und soll deren Roadmap und Ziele unterstützen. Jedoch hatten nur drei EU-OESS aus der Stichprobe des Hofes konkrete Ziele und einen Zeitplan für ihre Umsetzung in ihre IT-Sicherheitsstrategie/‑pläne aufgenommen.
24 Im Rahmen von Sicherheitsstrategien werden die Regeln und Verfahren für die Nutzung und Verwaltung von Informationen und IT-Ressourcen festgelegt. Dadurch können Cybersicherheitsrisiken verringert und es kann darüber informiert werden, was im Falle von Sicherheitsvorfällen zu tun ist. Der Hof stellte fest, dass 78 % der EU-OESS über eine formelle Informationssicherheitsstrategie, jedoch nur 60 % über eine formelle IT-Sicherheitsstrategie verfügen (siehe Definitionen von Informations- und IT-Sicherheit in Abbildung 1). Der Hof stellte ferner fest, dass vier der sieben EU-OESS in seiner Stichprobe eine Sicherheitspolitik verfolgen, die mit ihrer IT-Sicherheitsstrategie im Einklang steht. Jedoch wird bei drei dieser vier EU-OESS die IT-Sicherheitspolitik nur teilweise um aktuelle detaillierte Sicherheitsstandards ergänzt, in denen die operativen Schritte beschrieben werden, die zur Umsetzung der Politik erforderlich sind. Das Fehlen formaler Sicherheitsstandards erhöht das Risiko, dass Fragen der IT-Sicherheit innerhalb ein und derselben Behörde nicht angemessen und einheitlich behandelt werden. Darüber hinaus wird es schwieriger zu prüfen, ob sich die Behörde an die IT-Sicherheitspolitik gehalten hat. Von den sieben EU-OESS aus der Stichprobe verfügt nur die Kommission über strukturierte Verfahren für die Überwachung der Einhaltung ihrer IT-Sicherheitspolitiken und -standards, wobei diese nur von einer begrenzten Zahl von Generaldirektionen genutzt werden (siehe Kasten 1).
Einhaltung von Vorschriften für die IT-Sicherheit in der Kommission
Gemäß dem dezentralen IT-Konzept der Kommission ist der Leiter jeder Generaldirektion als rechenschaftspflichtiger Verantwortlicher dafür zuständig, dass die Systeme der Generaldirektion die IT-Sicherheitsstandards erfüllen. Die Generaldirektion Informatik (GD DIGIT) und die Generaldirektion Humanressourcen und Sicherheit (GD HR) überwachen und erleichtern die Umsetzung von Compliance-Management-Verfahren. Die GD DIGIT hat ein Tool entwickelt (das sogenannte GRC), mit dem die Generaldirektionen messen und dokumentieren können, ob die Kontrollen im Rahmen der IT-Sicherheitspolitik eingehalten wurden.
Die 580 Kontrollen sind in drei Gruppen unterteilt: allgemeine Kontrollen (hauptsächlich in Bezug auf das Konzept), spezifische Kontrollen der Generaldirektion und systemspezifische Kontrollen. Das Tool ist einsatzbereit, es wird aber bisher nur von fünf Generaldirektionen genutzt. Die GD DIGIT hat daher keinen Überblick darüber, inwieweit in der Kommission insgesamt die Vorschriften eingehalten wurden. Der Informationstechnik- und Cybersicherheitsbeirat der Kommission (ITCB) kann jedoch die GD DIGIT ersuchen, die Einhaltung eines bestimmten Standards (z. B. Multifaktor-Authentifizierung im Jahr 2021) zu prüfen, und kann unverbindliche Stellungnahmen und Empfehlungen abgeben oder – im Hinblick auf kritische Risiken – auch formelle Anforderungen festlegen.
25 Zu einem guten Cybersicherheitskonzept gehört auch die Ernennung eines leitenden Beauftragten für die IT-Sicherheit (Chief Information Security Officer (CISO)). Auch wenn die ISO-27000-Normenreihe18 dies nicht explizit verlangt, ist es mittlerweile in Behörden eine weit verbreitete Praxis, einen CISO einzusetzen oder eine ähnliche Funktion zu schaffen, und dies ist auch in den Leitlinien der ISACA so vorgesehen. In der Regel trägt der CISO die Gesamtverantwortung für die Informations- und IT-Sicherheitsprogramme einer Behörde. Um Interessenkonflikte zu vermeiden, sollte der CISO ein gewisses Maß an Unabhängigkeit vom IT-Bereich/von der IT-Abteilung haben19.
26 Der Umfrage des Hofes zufolge wurde in 60 % der EU-OESS kein unabhängiger CISO eingesetzt oder eine entsprechende Funktion geschaffen. Selbst wenn ein CISO (oder ein gleichwertiger Beauftragter) ernannt wird, variiert seine Rolle bzw. Funktion in den EU-OESS erheblich. Vor allem in kleinen und mittelgroßen EU-OESS haben CISO eher eine operative Rolle und nehmen ihre Funktion nicht unabhängig von der IT-Abteilung wahr. Dies kann die Autonomie des CISO einschränken, wenn es darum geht, seine Sicherheitsprioritäten umzusetzen. Die ENISA arbeitet derzeit an einem EU-Kompetenzrahmen für Cybersicherheit, der unter anderem dazu dienen soll, zu einem gemeinsamen Verständnis von Rollen, Kompetenzen und Fertigkeiten zu gelangen.
Die von den EU-OESS vorgenommenen Bewertungen des IT-Sicherheitsrisikos erstrecken sich meist nicht auf ihre gesamte IT-Umgebung
27 In sämtlichen internationalen Standards für IT-Sicherheit wird betont, wie wichtig es ist, eine geeignete Methode für die Bewertung von und den Umgang mit Sicherheitsrisiken für IT-Systeme und die in ihnen enthaltenen Daten festzulegen. Es sollten regelmäßig Risikobewertungen durchgeführt werden, um Änderungen in Bezug auf die Anforderungen an die Informationssicherheit einer Behörde und Risiken, mit denen die Behörde konfrontiert ist, Rechnung zu tragen20. Im Anschluss an die Bewertungen sollte ein Plan zur Minderung des Risikos (oder ein IT-Sicherheitsplan) erstellt werden.
28 Die meisten befragten EU-OESS (58 von 65) gaben an, dass sie über einen Rahmen bzw. eine Methodik für die Risikobewertung ihrer IT-Systeme verfügen. Es gibt jedoch keine gemeinsame Methodik, die von allen EU-OESS genutzt würde. Mindestens 26 EU-OESS wenden teilweise oder durchgehend Methoden der Kommission an. Insbesondere wenden 31 % der EU-OESS die Methodik für das IT-Sicherheitsrisikomanagement aus dem Jahr 2018 (ITSRM2) an. Die übrigen EU-OESS verwenden Methoden, die auf bekannten Industriestandards wie ISO 27001, ISO 27005 oder dem Rahmen für Cybersicherheit des US-amerikanischen Normeninstituts (National Institute of Standards and Technology Cybersecurity Framework / NIST-CSF) oder auf Kontrollen des Center for Internet Security (CIS) beruhen, oder sonstige interne Methoden.
29 Von den sieben EU-OESS aus der Stichprobe führen nur zwei umfassende Risikobewertungen durch, bei denen ihre gesamte IT-Umgebung (d. h. sämtliche IT-Systeme) abgedeckt wird. Die meisten EU-OESS führen nur individuelle Risikobewertungen für ihre wichtigsten IT-Systeme durch. Der Hof ermittelte mehrere Beispiele für Risikobewertungen, die vor der Einführung neuer Systeme durchgeführt wurden. Er fand jedoch keine Belege für Risikobewertungen, die im Nachgang, zum Beispiel nach einer Änderung an Systemen/Infrastrukturen, durchgeführt worden wären.
Die EU-OESS verfolgen bei der Cybersicherheit keinen einheitlichen Ansatz, und wesentliche Kontrollen werden nicht immer durchgeführt
Bei der Zuweisung von Ressourcen für die Cybersicherheit gibt es große Unterschiede zwischen den EU-OESS
30 In seiner Umfrage forderte der Hof die EU-OESS auf, ihre Gesamtausgaben für IT im Jahr 2020 und eine Schätzung des für Cybersicherheit aufgewendeten Betrags anzugeben. Aus den Daten des Hofes geht hervor, dass die einzelnen EU-OESS ganz unterschiedliche Beträge ihres IT-Budgets für Cybersicherheit aufwenden. Dies gilt auch für EU-OESS mit vergleichbarer Mitarbeiterzahl. Wie aus Abbildung 3 hervorgeht, sind die Unterschiede bei EU-OESS mit weniger Mitarbeitern besonders ausgeprägt.
31 Es lässt sich nur schwer in absoluten Zahlen bewerten, wie hoch die Ausgaben für die Cybersicherheit ausfallen sollten. Dies hängt von vielen Faktoren wie der Angriffsfläche der Behörde, der Sensibilität der von ihr verwalteten Daten, ihrem Risikoprofil und ihrer Risikobereitschaft sowie sektorspezifischen rechtlichen/gesetzlichen Anforderungen ab. Die Daten des Hofes zeigen jedoch, dass erhebliche Unterschiede bestehen, und die Gründe dafür sind nicht immer offensichtlich. Einige EU-OESS geben deutlich weniger für Cybersicherheit aus als andere EU-OESS vergleichbarer Größe, was darauf hindeuten kann, dass ihre Ausgaben zu niedrig angesetzt sind, sollten sie ähnlichen Bedrohungen und Risiken ausgesetzt sein.
32 Die meisten EU-OESS sind sowohl hinsichtlich der Mitarbeiterzahl als auch hinsichtlich der IT-Ausgaben eher klein bis mittelgroß, wobei zwei Drittel der EU-OESS weniger als 350 Mitarbeiter beschäftigen. Die kleinste EU-OESS hat nur 15 Mitarbeiter. Das Cybersicherheitsmanagement ist für kleinere EU-OESS schwieriger zu bewältigen und ressourcenintensiver. In den meisten Fällen können kleinere EU-OESS nicht von Skaleneffekten profitieren und verfügen nicht über ausreichend interne Expertise. Die Umfrage und die Befragungen des Hofes ergaben, dass die größten Organe wie die Kommission und das Europäische Parlament über Expertenteams verfügen, die sich dem Thema Cybersicherheit in Vollzeit widmen. Die kleinsten EU-OESS jedoch, bei denen Personal und Ressourcen besonders begrenzt sind, haben gar keine Experten, und das Cybersicherheitsmanagement wird von Mitarbeitern mit IT-Hintergrund in Teilzeit betrieben. Aufgrund der engen Verflechtung der EU-OESS bringt dies ein erhöhtes Risiko mit sich (siehe auch Ziffer 10).
33 In seiner Umfrage fragte der Hof die EU-OESS, wo in Bezug auf die Umsetzung wirksamer Cybersicherheitsmaßnahmen in ihrer jeweiligen Behörde die größten Herausforderungen bestehen (siehe Abbildung 4). Die größte Herausforderung besteht darin, dass es allgemein nur wenige Experten für Cybersicherheit gibt und viele EU-OESS aufgrund der Konkurrenz aus dem privaten und dem öffentlichen Sektor sowie von anderen EU-OESS Schwierigkeiten haben, sie für sich zu gewinnen. Zu den immer wieder genannten Problemen zählen langwierige Einstellungsverfahren, nicht wettbewerbsfähige Vertragsbedingungen und fehlende attraktive Karriereaussichten. Der Fachkräftemangel stellt ein erhebliches Risiko für ein wirksames Cybersicherheitsmanagement dar.
Die meisten EU-OESS bieten in irgendeiner Form Schulungen zur Sensibilisierung für Cybersicherheit an, doch werden diese weder systematisch durchgeführt noch sind sie ausreichend zielgerichtet
34 Potenzielle Angreifer nutzen nicht nur Sicherheitslücken in Systemen und Geräten, um Schaden zu verursachen. Sie können Nutzer auch durch Phishing oder Social Engineering dazu bringen, sensible Informationen preiszugeben oder Malware herunterzuladen. Die Mitarbeiter einer Behörde stehen an vorderster Front, wenn es darum geht, Cyberangriffe abzuwehren. Daher sind entsprechende Sensibilisierungs- und Schulungsprogramme ein wesentlicher Bestandteil eines wirksamen Cybersicherheitsrahmens.
35 Die überwiegende Mehrheit der befragten EU-OESS (95 %) bieten in irgendeiner Form allgemeine Schulungen zur Sensibilisierung für Cybersicherheit für alle Mitarbeiter an; drei tun dies nicht. Jedoch bieten nur 41 % der EU-OESS besondere Schulungen oder Sensibilisierungskurse für Manager an und nur 29 % veranstalten Pflichtschulungen zur Cybersicherheit für Manager, die für IT-Systeme mit sensiblen Informationen verantwortlich sind. Die Sensibilisierung und das Engagement der Führungsebene sind für ein wirksames Cybersicherheitskonzept unverzichtbar. Von den 11 EU-OESS, in denen fehlende Unterstützung seitens der Führungsebene als eine Herausforderung für die wirksame Umsetzung von Cybersicherheit genannt wurde, boten nur drei überhaupt Schulungen zur Sensibilisierung der Führungsebene an. 58 % der EU-OESS bieten kontinuierlich Schulungen zur Cybersicherheit für IT-Mitarbeiter und 51 % bieten kontinuierlich Schulungen für IT-Sicherheitsexperten an.
36 Nicht in allen EU-OESS gibt es Mechanismen, anhand deren überprüft werden kann, ob die Mitarbeiter an Schulungen zur Cybersicherheit teilnehmen und sie daraufhin stärker für das Thema sensibilisiert sind und ihr Verhalten ändern. Insbesondere in kleineren Behörden kann die Sensibilisierung für Cybersicherheit auch im Rahmen informeller Mitarbeiterbesprechungen erfolgen. Üblicherweise messen Behörden die Sensibilisierung ihrer Mitarbeiter für Cybersicherheit, indem sie regelmäßig ihr Verhalten testen, z. B. im Wege von Umfragen zum Reifegrad und Phishing-Übungen. In den letzten fünf Jahren haben 55 % der EU-OESS eine oder mehrere simulierte Phishing-Kampagnen (oder ähnliche Übungen) durchgeführt. Da Phishing eine der größten Bedrohungen für das Personal von öffentlichen Verwaltungen darstellt21, sind solche Übungen ein wichtiges Instrument zur Schulung und Sensibilisierung der Mitarbeiter. Der Hof stellte fest, dass sich die Maßnahmen der Kommission zur Sensibilisierung für Cybersicherheit in der Praxis bewährt haben und anderen interessierten EU-OESS zur Verfügung stehen (siehe Kasten 2).
Schulung zur Sensibilisierung für Cyberfragen in der Kommission
Die Kommission hat in der GD DIGIT ein spezielles Team für die Sensibilisierung für Cyberfragen eingerichtet, das die Durchführung des Programms zur Sensibilisierung für Cybersicherheit innerhalb der Kommission leitet. Das Programm wird gemeinsam mit der GD HR, dem Generalsekretariat, der Generaldirektion Kommunikationsnetze, Inhalte und Technologien (GD CNECT) und dem CERT-EU verwaltet und durchgeführt. Die Schulungen sind von hoher Qualität und werden in vielen Fällen interinstitutionell angeboten. Schulungskurse werden über das Learning Bulletin angekündigt und so rund 65 000 EU-Bediensteten bekannt gemacht. Über die Plattform "Cyber Aware" hat die Kommission in den letzten fünf Jahren 15 Phishing-Übungen organisiert und kürzlich die erste kommissionsweite Übung durchgeführt.
Wesentliche Kontrollen kommen nicht immer zur Anwendung oder sind nicht in Form von Standards festgeschrieben
37 Der Hof forderte die EU-OESS auf, im Rahmen einer Selbstbewertung anzugeben, ob ausgewählte wesentliche Kontrollen von ihnen durchgeführt werden22. Der Hof wählte eine Reihe bewährter Verfahren aus, die auch von kleineren EU-OESS problemlos durchgeführt werden könnten23. Die Ergebnisse sind in Abbildung 5 zusammengefasst. Die meisten der befragten EU-OESS führen die ausgewählten wesentlichen Kontrollen durch. In einigen Bereichen scheinen die Kontrollen jedoch bei mindestens 20 % der EU-OESS fehleranfällig oder unvollständig zu sein.
38 Von den sieben EU-OESS aus seiner Stichprobe forderte der Hof für alle von ihnen als durchgeführt angegebenen Kontrollen Belege und entsprechende Standards/Konzepte an. Für 62 % der Kontrollen wurden diese Dokumente vorgelegt. Wie sich im Rahmen der Befragungen herausstellte, wurden in mehreren Fällen technische Kontrollen durchgeführt, aber nicht in aktuelle Standards oder Konzepte eingebettet, wodurch ein höheres Risiko besteht, dass IT-Sicherheitsfragen innerhalb ein und desselben bzw. derselben EU-OESS nicht einheitlich behandelt werden (siehe auch Ziffer 24).
Mehrere EU-OESS erlangen für ihre Cybersicherheitsvorkehrungen nicht regelmäßig von unabhängiger Seite Gewähr
39 Laut der ISACA24 gehören interne Prüfungen neben dem Management und dem Risikomanagement zu den drei wichtigsten Verteidigungslinien einer Behörde. Interne Prüfungen tragen dazu dabei, das Informationssicherheits- und IT-Sicherheitskonzept zu verbessern. Der Hof untersuchte, wie oft EU-OESS für ihren IT-Sicherheitsrahmen durch interne oder externe Prüfungen und proaktives Testen ihrer Cyberabwehr unabhängige Gewähr erlangen.
40 Der Interne Auditdienst (IAS) der Kommission ist unter anderem für die Durchführung von IT-Prüfungen der Kommission sowie der dezentralen Agenturen, der gemeinsamen Unternehmen und des EAD zuständig. Das Mandat des Dienstes erstreckt sich auf 46 (70 %) der 65 vom Hof befragten EU-OESS, und der IAS hat in den letzten fünf Jahren in sechs verschiedenen EU-OESS Prüfungen zur IT-Sicherheit durchgeführt. Darüber hinaus ist die GD HR für die Durchführung von IT-Sicherheitsüberprüfungen zu technischen Aspekten der Informationssicherheit zuständig25. Von den übrigen EU-OESS gaben sieben an, über eine eigene interne Prüfung für IT-Sicherheitsfragen zu verfügen. Bei 12 EU-OESS gaben die Antworten auf die Umfrage jedoch nicht ausreichend Aufschluss darüber, ob sie über eine solche interne Prüfungskapazität verfügen.
41 Externe IT-Sicherheitsprüfungen, die von unabhängigen Stellen durchgeführt werden, sind eine weitere Möglichkeit, um von unabhängiger Seite Gewähr zu erlangen. Trotz der sich rasch wandelnden Cyberlandschaft waren 34 % der EU-OESS zwischen Anfang 2015 und dem ersten Quartal 2021 keiner internen oder externen IT-Sicherheitsprüfung unterzogen worden. Eine Aufschlüsselung dieser Zahl nach Art der EU-OESS zeigt, dass 75 % der EU-Einrichtungen, 66 % der gemeinsamen Unternehmen und 45 % der zivilen Missionen seit 2015 keine interne oder externe IT-Sicherheitsprüfung durchlaufen haben.
42 Neben internen und externen Prüfungen können Behörden Gewähr hinsichtlich ihres IT-Sicherheitsrahmens erlangen, indem sie proaktiv ihre Cyberabwehr testen, um Sicherheitslücken aufzudecken. Penetrationstests (auch "ethisches Hacking" genannt), bei denen autorisierte simulierte Cyberangriffe auf individuelle Computersysteme durchgeführt werden, sind dabei eine mögliche Methode. Bei der Umfrage des Hofes gaben 69 % der EU-OESS an, dass sie in den letzten fünf Jahren mindestens einen Penetrationstest durchgeführt haben. In 45 % der Fälle wurden die Penetrationstests vom CERT-EU durchgeführt.
43 Red-Teaming-Übungen stellen eine weitere Möglichkeit dar, durch simulierte Angriffe die Cyberabwehr zu testen, indem Techniken verwendet werden, die in der letzten Zeit auch bei echten Angriffen angewandt wurden. Sie sind komplexer und umfassender als Penetrationstests, da sie sich auf mehrere Systeme erstrecken und Angriffe an verschiedenen Stellen stattfinden können. Von den EU-OESS werden sie weniger häufig durchgeführt: 46 % der EU-OESS gaben an, in den letzten fünf Jahren mindestens eine Red-Teaming-Übung durchgeführt zu haben. 75 % dieser Übungen wurden vom CERT-EU durchgeführt. Red-Teaming-Übungen sind in der Vorbereitung und Durchführung recht aufwändig; das CERT-EU hat derzeit nicht die Kapazitäten, mehr als fünf bis sechs solcher Übungen jährlich durchzuführen.
44 16 (25 %) der befragten EU-OESS hatten in den letzten fünf Jahren weder Penetrationstests noch Red-Teaming-Übungen durchgeführt (zwei EU-OESS, die erst kürzlich eingerichtet wurden, sind dabei nicht berücksichtigt). Insgesamt sieben EU-OESS (10 %) – ein gemeinsames Unternehmen, eine dezentrale Agentur und fünf zivile Missionen – erlangten für ihre IT-Sicherheitsregelungen keinerlei unabhängige Gewähr.
Die EU-OESS haben Mechanismen für die Zusammenarbeit geschaffen, doch gibt es Mängel
45 Dieser Abschnitt befasst sich mit den Akteuren und Ausschüssen, die eingesetzt wurden, um die Zusammenarbeit zwischen den EU-OESS auf dem Gebiet der Cybersicherheit zu fördern, sowie mit interinstitutionellen Governance- und Koordinierungsregelungen. Der Hof untersuchte konkret zwei interinstitutionelle Akteure, die ENISA und das CERT-EU, sowie zwei interinstitutionelle Ausschüsse, den Interinstitutionellen Ausschuss für den digitalen Wandel (ICDT), insbesondere dessen Untergruppe "Cybersicherheit" (CSSG), und den IKT-Beratungsausschuss (ICTAC). Des Weiteren bewertete der Hof, inwiefern durch diese Akteure und Ausschüsse Synergien geschaffen wurden, um die EU-OESS besser gegen Cyberbedrohungen zu wappnen.
Es gibt eine formalisierte Struktur zur Koordinierung der Maßnahmen der EU-OESS, jedoch bestehen Probleme bezüglich des Konzepts
46 Der ICDT und der ICTAC sind die beiden wichtigsten Ausschüsse zur Förderung der Zusammenarbeit zwischen den EU-OESS in IT-Fragen. Der ICDT, in dem die IT-Manager der EU-Organe und ‑Einrichtungen vertreten sind, soll den Informationsaustausch und die Zusammenarbeit fördern. Die Untergruppe "Cybersicherheit" (CSSG) erstattet dem ICDT Bericht und kann empfehlen, dass Beschlüsse zu bestimmten Fragen gefasst werden. Der ICTAC ist wiederum eine Untergruppe des Netzwerks der EU-Agenturen (EUAN), eines informellen Netzwerks, das von den Leitern der EU-Agenturen eingerichtet wurde und sich schwerpunktmäßig mit der Zusammenarbeit der Agenturen und gemeinsamen Unternehmen befasst. Sowohl der ICDT als auch der ICTAC haben klar definierte, einander ergänzende Aufgaben: Der ICTAC deckt die dezentralen Agenturen und gemeinsamen Unternehmen ab, der ICDT die Organe und Einrichtungen. Der ICDT und der ICTAC sind ihrem Wesen nach eher informelle Beratungsgruppen und Foren für den Austausch von Informationen und bewährten Verfahren. Nähere Informationen zu den interinstitutionellen Ausschüssen sind Anhang II zu entnehmen.
Die EU-OESS sind in den einschlägigen Foren nicht immer angemessen vertreten
47 Obwohl die Vertretungsstrukturen eindeutig sind, halten nicht alle EU-OESS ihre tatsächliche Vertretung für ausreichend. 42 % der EU-OESS waren mit der in der Umfrage des Hofes vorgelegten Aussage "Meine Bedürfnisse werden in den einschlägigen interinstitutionellen Foren ausreichend berücksichtigt und mein bzw. meine EU-OESS ist in den Entscheidungsgremien angemessen vertreten" nicht einverstanden. Einige der kleinsten EU-OESS waren der Ansicht, nicht über ausreichend Ressourcen zu verfügen, um aktiv an den interinstitutionellen Foren teilzunehmen.
48 Auch sind im Lenkungsausschuss des CERT-EU, der dessen wichtigstes Entscheidungsgremium ist, nicht alle seine Vertragsparteien repräsentativ vertreten. Das CERT-EU erbringt Dienstleistungen für 87 EU-OESS und drei weitere Stellen. In seinem Lenkungsausschuss sind jedoch nur Vertreter der 11 Unterzeichner der interinstitutionellen Vereinbarung (die sieben EU-Organe, der EAD, der Wirtschafts- und Sozialausschuss, der Ausschuss der Regionen und die Europäische Investitionsbank) sowie ein Vertreter der ENISA vertreten, wobei jeder eine Stimme hat26.
49 Mehr als die Hälfte der Vertragsparteien des CERT-EU sind dezentrale Agenturen und gemeinsame Unternehmen der EU, die zusammen etwa 12 000 Mitarbeiter beschäftigen. Formal werden ihre Interessen im Lenkungsausschuss des CERT-EU durch die ENISA vertreten. Jedoch ist das Mandat der ENISA zur Vertretung der Interessen der EU-Agenturen und gemeinsamen Unternehmen schwach, da sie nicht direkt von diesen ernannt bzw. gewählt wurde. In der Praxis werden die Standpunkte der dezentralen Agenturen und gemeinsamen Unternehmen in den Sitzungen des Lenkungsausschusses durch einen Vertreter des ICTAC geäußert, der an den Sitzungen teilnehmen darf, um die ENISA bei der Vertretung der Agenturen zu unterstützen. Obwohl der Vertreter des ICTAC die Standpunkte und Interessen von 48 EU-OESS vertritt, hat er derzeit keinen formellen Sitz und keine formelle Stimme im Lenkungsausschuss. Im April 2021 übermittelte der ICTAC dem Vorsitzenden des Lenkungsausschusses des CERT-EU einen förmlichen Antrag auf ein Stimmrecht im Ausschuss. Zum Zeitpunkt der Redaktion dieses Berichts war dem Antrag noch nicht stattgegeben worden. Ein Überblick über die Vertretung der EU-OESS in den Entscheidungsgremien und Ausschüssen ist Abbildung 6 zu entnehmen.
50 Das interinstitutionelle Cybersicherheitskonzept der EU-OESS kommt nicht einheitlich zur Anwendung, und bisher hat keine Stelle einen umfassenden Überblick über den Cybersicherheitsreifegrad der einzelnen EU-OESS oder die Autorität, eine Führungsrolle zu übernehmen oder gemeinsame verbindliche Vorschriften durchzusetzen. Sowohl die ENISA als auch das CERT-EU können die EU-OESS nur "unterstützen" und "begleiten". Die einschlägigen Ausschüsse haben keine Entscheidungsbefugnis, sondern können den EU-OESS gegenüber nur Empfehlungen aussprechen. Darüber hinaus ist einem Fünftel der befragten EU-OESS nicht klar, an wen sie sich für einen bestimmten Dienst, ein bestimmtes Instrument oder eine bestimmte Lösung wenden müssen.
Es gibt zwar Absichtserklärungen zwischen den wichtigsten Akteuren, doch haben diese noch zu keinen konkreten Ergebnissen geführt
51 Im Mai 2018 unterzeichneten die ENISA, das CERT-EU, das Europäische Zentrum zur Bekämpfung der Cyberkriminalität (EC3) von Europol und die Europäische Verteidigungsagentur (EDA) eine Absichtserklärung. Diese konzentrierte sich auf fünf Bereiche der Zusammenarbeit: Informationsaustausch, Aus- und Fortbildung, Cyberübungen, technische Zusammenarbeit sowie strategische und administrative Angelegenheiten. Auch wenn diese Absichtserklärung dazu beitragen könnte, durch ein gemeinsames Arbeitsprogramm Doppelarbeit zu vermeiden, konnte der Hof keine Nachweise dafür erlangen, dass konkrete Ergebnisse erzielt und gemeinsame Maßnahmen ergriffen worden wären.
52 Im Rechtsakt zur Cybersicherheit, der im Juni 2019 in Kraft trat, ist die Unterzeichnung einer neuen und spezifischen Kooperationsvereinbarung zwischen dem CERT-EU und der ENISA vorgesehen. Anzumerken ist, dass die Absichtserklärung letztendlich erst mehr als eineinhalb Jahre später, im Februar 2021, unterzeichnet wurde. Mit dieser Absichtserklärung soll eine strukturierte Zusammenarbeit zwischen dem CERT-EU und der ENISA geschaffen werden. In der Vereinbarung sind die Bereiche ihrer Zusammenarbeit (Kapazitätsaufbau, operative Zusammenarbeit, Wissens- und Informationsaustausch) sowie eine grobe Aufgabenverteilung zwischen den beiden Einrichtungen festgelegt: Das CERT-EU soll die EU-OESS federführend begleiten und dabei von der ENISA unterstützt werden. In der Absichtserklärung werden keine praktischen Regelungen getroffen, da diese in einem jährlichen Kooperationsplan festgelegt werden. Der erste jährliche Kooperationsplan (für das Jahr 2021) wurde im Juli 2021 vom Verwaltungsrat der ENISA und im September 2021 vom Lenkungsausschuss des CERT-EU angenommen. Daher kann im Rahmen dieser Prüfung noch nicht bewertet werden, ob mit diesem Plan greifbare Ergebnisse erzielt worden sind.
53 Da die beiden in den Ziffern 51 und 52 genannten Absichtserklärungen gemeinsame Ziele und Bereiche der Zusammenarbeit – wie etwa Aus-und Fortbildung, Übungen oder Informationsaustausch – aufweisen, besteht die Gefahr von Überschneidungen und Redundanzen.
Potenzielle Synergien durch Kooperation werden noch nicht in vollem Umfang ausgeschöpft
Es wurden vielversprechende Schritte unternommen, um Synergien zu bündeln
54 In den Arbeitsprogrammen der Ausschüsse ICTAC und ICDT/CSSG werden relevante Bereiche genannt, in denen durch Kooperation Effizienzgewinne erzielt werden können. Praktische Beispiele für Initiativen, die es den EU-OESS ermöglicht haben, Synergien zu nutzen, sind
- interinstitutionelle Rahmenverträge;
- ein gemeinsames Zentrum für die Wiederherstellung von Datenbeständen, das seit 2019 vom Amt der Europäischen Union für geistiges Eigentum (EUIPO) für die dezentralen Agenturen gehostet wird und Kosteneinsparungen von mindestens 20 % im Vergleich zu den Marktpreisen ermöglicht (neun Agenturen wenden diese Lösung zur Wiederherstellung von Datenbeständen an);
- Vereinbarungen zwischen sechs gemeinsamen Unternehmen, deren Räumlichkeiten sich in demselben Gebäude befinden, im Hinblick auf gemeinsame Infrastrukturen und einen gemeinsamen IT-Sicherheitsrahmen (seit 2014).
55 Ein weiteres wichtiges Beispiel ist das System "GovSec", das die EU-OESS dabei unterstützt, Risikobewertungen im Hinblick auf die Einführung von Cloud-Lösungen durchzuführen. Der Umfrage des Hofes zufolge nutzen bereits 75 % der EU-OESS einige öffentliche Cloud-Plattformen und mehrere EU-OESS, die das noch nicht tun, planen eine Migration in die Cloud. Seit 2019 verfolgt die Kommission eine Cloud-first-Strategie und plant, einen sicheren Hybrid-Multi-Cloud-Dienst anzubieten27. Des Weiteren fungiert die Kommission innerhalb des Rahmenvertrags "Cloud II" als Cloud-Broker für alle EU-OESS. Der Umgang mit Sicherheits- und Datenschutzrisiken auf Cloud-Plattformen erfordert neue Fertigkeiten und einen anderen Ansatz als bei herkömmlicher lokaler ("on premise") IT-Infrastruktur. Ein wirkungsvolles Risikomanagement in der Cloud zur Gewährleistung von Informationssicherheit stellt eine gemeinsame Herausforderung für die EU-OESS dar, und "GovSec" ist ein Beispiel für eine Lösung, die den Bedürfnissen mehrerer, wenn nicht aller EU-OESS gerecht wird.
Zusammenarbeit und Austausch bewährter Verfahren zwischen EU-OESS ist noch ausbaufähig
56 Die Tatsache, dass es interinstitutionelle Ausschüsse gibt, führt nicht automatisch zur Bündelung von Synergien, und die EU-OESS tauschen bewährte Verfahren, Know-how, Methoden und Erfahrungswerte nicht immer aus. Außerdem entscheidet jede EU-OESS selbst, wie stark sie sich in die Arbeit der ICDT/CSSG einbringt. Die Mitglieder der ICDT/CSSG können sich trotz ihrer Teilnahme an den Sitzungen immer nur insoweit einbringen, als es ihre reguläre Tätigkeit in den EU-OESS zulässt; dadurch hat sich die Umsetzung der von einigen Taskforces vereinbarten Maßnahmen bereits verzögert.
57 Der Hof ermittelte spezifische Bereiche, in denen es keine Vorkehrungen für den Austausch von Erfahrungen und Initiativen zwischen den EU-OESS gibt. Beispielsweise können die EU-OESS innerhalb des Rahmenvertrags "Netzwerkverteidigungsfähigkeit" die Durchführung einer Studie beantragen, um sicherzustellen, dass die Cybersicherheitsanforderungen erfüllt werden, und entsprechende Lösungen zu finden. Es gibt jedoch kein Verzeichnis der Studien, die von anderen EU-OESS durchgeführt oder beantragt wurden. Deshalb kann es vorkommen, dass dieselbe Studie von den EU-OESS mehrmals beantragt wird. Darüber hinaus teilen die EU-OESS einander nicht systematisch mit, mit welchen Dienstleistern sie Verträge geschlossen haben oder welche Softwarelösung sie nutzen. Diese Wissenslücke kann zu zusätzlichen Kosten führen und verhindern, dass Synergien genutzt werden.
58 Auch tauschen sich die EU-OESS nicht systematisch über Projekte aus, die sie im Bereich der Cybersicherheit durchführen, selbst wenn diese interinstitutionelle Auswirkungen haben könnten. Das Mandat der ICDT/CSSG beinhaltet eine Bestimmung, der zufolge die EU-OESS Informationen über neue Projekte austauschen müssen, wenn sich diese auf die Cybersicherheit anderer EU-OESS und/oder den Schutz der von ihnen stammenden Informationen auswirken können. Die ICDT/CSSG wird jedoch über solche Projekte nicht auf dem Laufenden gehalten.
59 Wenn eine neue Agentur gegründet wird, muss sie ihre IT-Infrastruktur und ihren IT-Sicherheitsrahmen von null aufbauen. Es gibt keinen "Dienstleistungskatalog", Werkzeugkasten oder klare Vorgaben/Anforderungen für neue Agenturen. Dies führt zu einer ausgeprägten Heterogenität der IT-Umgebung in den EU-OESS, da es jeder Behörde potenziell freisteht, ihre jeweils eigene Software, Hardware und Infrastruktur zu erwerben und eigenständig Dienstleistungen in Anspruch zu nehmen. Gleiches gilt für den IT-Sicherheitsrahmen, da es keine gemeinsamen Anforderungen und Standards gibt. Diese Situation führt dazu, dass möglicherweise Doppelarbeit erfolgt, EU-Mittel ineffizient eingesetzt werden und das CERT-EU komplexere Unterstützungsleistungen erbringen muss.
Praktische Mängel beim Austausch sensibler Informationen
60 In einigen EU-OESS gibt es immer noch keine geeigneten Lösungen für den Austausch von nicht als Verschlusssache eingestuften sensiblen Informationen. Wenn solche Lösungen bestehen, so wurden gewöhnlich unterschiedliche eigene Produkte und Systeme erworben, was zu Interoperabilitätsproblemen führt. Gemeinsame sichere Plattformen wurden nur für bestimmte Zwecke eingerichtet, wie z. B. die Plattformen, die CERT-EU allen Vertragsparteien für den Austausch sensibler Informationen zu Sicherheitsvorfällen, Bedrohungen und Sicherheitslücken zur Verfügung stellt.
61 Mehr als 20 % der EU-OESS nutzen keinen verschlüsselten E-Mail-Dienst. Wird Verschlüsselung genutzt, bestehen oft Interoperabilitätsprobleme und Probleme bei der gegenseitigen Anerkennung von Zertifikaten. Der ICTAC und der ICDT diskutieren schon seit Jahren über Optionen einer skalierbaren und interoperablen Lösung; 2018 wurde schließlich ein Pilotprojekt durchgeführt. Das Problem konnte aber noch nicht behoben werden.
62 Ein weiteres Problem ist das Fehlen gemeinsamer Kennzeichnungen für nicht als Verschlusssache eingestufte sensible Informationen. Kennzeichnungen sind Kategorisierungen, durch die die Inhaber von Informationen über spezifische Schutzanforderungen, die für diese Informationen gelten, informiert werden. Die Kennzeichnung von Informationen ist in den EU-OESS unterschiedlich geregelt, wodurch der Austausch von und korrekte Umgang mit Informationen erschwert wird.
63 2020 mussten die EU-OESS im Zuge der COVID-19-Pandemie in großem Umfang Kommunikations- und Videokonferenztools einsetzen, um den Geschäftsbetrieb aufrechtzuerhalten. Der Hof stellte fest, dass in den EU-OESS mindestens 15 verschiedene Videokonferenzprogramme zum Einsatz kamen. Auch wenn mehrere EU-OESS dieselbe Software-Lösung/Plattform nutzen, ist Interoperabilität oft nicht gewährleistet. Zudem gibt es in den EU-OESS unterschiedliche Leitlinien dafür, welche Informationen (im Hinblick auf ihre Sensibilität) auf einer bestimmten Plattform ausgetauscht oder besprochen werden dürfen. Dies führt zu wirtschaftlichen und operativen Ineffizienzen und kann potenzielle Sicherheitsprobleme schaffen.
Die ENISA und das CERT-EU haben den EU-OESS noch nicht alle notwendige Unterstützung zukommen lassen
64 Für diesen Abschnitt untersuchte der Hof die beiden wichtigsten Stellen zur Unterstützung der EU-OESS im Bereich der Cybersicherheit, nämlich die ENISA und das CERT-EU. Der Hof bewertete, ob den EU-OESS die Unterstützung dieser beiden Einrichtungen zuteilwurde und ob die Unterstützung auf ihre Bedürfnisse zugeschnitten ist, wobei auch auf die Gründe festgestellter Unzulänglichkeiten eingegangen wird.
Die ENISA ist einer der Hauptakteure in der EU-Cybersicherheitslandschaft, aber nur sehr wenige EU-OESS erhielten bisher ihre Unterstützung
65 Im Juni 2019 trat der Rechtsakt zur Cybersicherheit28, mit dem die vorherige Rechtsgrundlage der ENISA29 ersetzt wurde, in Kraft und verlieh der Agentur ein stärkeres Mandat. Konkret ist darin festgelegt, dass die ENISA sowohl die Mitgliedstaaten als auch die EU-OESS durch Kapazitätsaufbau, verstärkte operative Zusammenarbeit und Entwicklung von Synergien aktiv bei der Verbesserung der Cybersicherheit unterstützen soll. Im Bereich des Kapazitätsaufbaus hat die ENISA nun das Mandat, die EU-OESS "bei ihren Bemühungen zur Verhütung, Erkennung und Analyse von Cyberbedrohungen und Cybersicherheitsvorfällen [zu unterstützen], indem sie insbesondere das CERT-EU angemessen unterstützt"30. Die ENISA soll die EU-Organe auch dabei unterstützen, EU-Strategien im Bereich der Cybersicherheit auszuarbeiten und zu überarbeiten, die Verbreitung solcher Strategien zu fördern und die Fortschritte bei deren Umsetzung zu verfolgen.
66 Obwohl im Rechtsakt zur Cybersicherheit ausdrücklich festgelegt ist, dass die ENISA die EU-OESS bei der Verbesserung ihrer Cybersicherheit unterstützen soll, hat die ENISA noch keinerlei Aktionspläne zur Erfüllung ihres Ziels ausgearbeitet, die EU-OESS beim Kapazitätsaufbau zu unterstützen (siehe nähere Angaben dazu in Kasten 3).
Fehlende Übereinstimmung von Zielsetzung und Outputs der ENISA in Bezug auf die EU-OESS
Zu den für einen Zeitraum von drei Jahren definierten Prioritäten der ENISA, die im mehrjährigen Arbeitsprogramm 2018-2020 unter Ziel 3.2 (Unterstützung der EU-Organe beim Kapazitätsaufbau) aufgelistet sind, gehört unter anderem Folgendes:
- den EU-Organen proaktive Beratung bei der Erhöhung ihrer Netz- und Informationssicherheit (NIS) bieten (Ermittlung der Prioritäten von EU-Agenturen und ‑Einrichtungen, die den größten Bedarf beim Aufbau von Kapazitäten für die NIS haben, indem ein regelmäßiger Austausch mit ihnen – z. B. in Form jährlicher Workshops – stattfindet, und Schwerpunktsetzung auf diese Prioritäten);
- die EU-Organe dabei unterstützen, Konzepte für die NIS umzusetzen (Partnerschaften mit dem CERT-EU und Organen eingehen, die in Bezug auf die NIS gut aufgestellt sind, um sie bei der Umsetzung von Maßnahmen im Rahmen dieses Ziels zu unterstützen).
In den Arbeitsprogrammen der ENISA für die Jahre 2018, 2019 und 2020 werden unter Ziel 3.2 nur zwei operative Ziele (Outputs) genannt:
- Teilnahme am Lenkungsausschuss des CERT-EU und Vertretung der EU-Agenturen, die den Dienst des CERT-EU nutzen;
- Zusammenarbeit mit einschlägigen EU-Einrichtungen bei Initiativen, die im Rahmen ihrer Aufgabenerfüllung die NIS abdecken (einschließlich EASA, CERT-EU, EDA, EC3).
Die operativen Ziele beinhalten keinerlei proaktive Beratungstätigkeiten. Außerdem hat das Ziel, Prioritäten für die Agenturen mit dem größten Bedarf zu ermitteln, zu keinen operativen Outputs geführt; es wurde von dem Ziel abgelöst, mit den Agenturen zusammenzuarbeiten, um deren Bedürfnisse im Lenkungsausschuss des CERT-EU zu vertreten.
67 Das wichtigste Entscheidungsgremium der ENISA ist ihr Verwaltungsrat, dem je ein von jedem der 27 Mitgliedstaaten ernanntes Mitglied und zwei von der Kommission ernannte Mitglieder angehören31 (siehe Abbildung 6). Jedes Mitglied hat eine Stimme; Beschlüsse werden mit Stimmenmehrheit gefasst32. Dadurch können Maßnahmen, die die Mitgliedstaaten betreffen, höhere Priorität als Maßnahmen für die EU-OESS haben. So beschloss der Verwaltungsrat mangels ausreichender Ressourcen, im ENISA-Arbeitsprogramm 2018 bestimmte Tätigkeiten vorrangig zu behandeln und drei Tätigkeiten zu streichen, darunter die Tätigkeit "Unterstützung für die Bewertung bestehender Politiken/Verfahren/Praktiken im Bereich der NIS in den EU-Organen". Diese Tätigkeit sollte es der ENISA ermöglichen, einen Überblick über die Verfahren und den ungefähren Reifegrad der EU-OESS im Bereich der Cybersicherheit zu erlangen, um künftige Maßnahmen entsprechend auszurichten.
68 Daher wurde die strategische Zielsetzung der ENISA, die EU-OESS proaktiv zu unterstützen, noch nicht in operative Ziele oder konkrete Maßnahmen überführt. Die Unterstützung in den Bereichen Kapazitätsaufbau und operative Zusammenarbeit war bisher auf einige wenige EU-OESS begrenzt, die eine solche Unterstützung beantragt hatten.
69 Im Rechtsakt zur Cybersicherheit ist ferner festgelegt, dass die ENISA das CERT-EU auf geeignete Weise dabei unterstützen soll, den EU-OESS beim Kapazitätsaufbau zu helfen. Zum Zeitpunkt der Prüfung war diese Unterstützung auf einige vereinzelte Maßnahmen beschränkt. So führte die ENISA beispielsweise im Jahr 2019 ein Peer-Review des CERT-EU im Rahmen von dessen Mitgliedschaft im CSIRT-Netz (Netzwerk der Computer-Notfallteams, das durch die NIS-Richtlinie eingesetzt wurde) durch.
70 Den Ergebnissen der Umfrage des Hofes zufolge veröffentlicht die ENISA hochwertige Berichte und Leitlinien zum Thema Cybersicherheit, die von den EU-OESS zum Teil genutzt werden. Jedoch sind die Leitlinien nicht spezifisch auf die EU-OESS, ihr Umfeld und ihre Bedürfnisse zugeschnitten. Die EU-OESS – insbesondere diejenigen, die auf dem Gebiet der Cybersicherheit weniger fortgeschritten sind – benötigen eine praktische Orientierungshilfe, mit klaren Angaben dazu, welche Maßnahmen zu ergreifen und wie sie zu ergreifen sind. Bisher leisteten die ENISA und das CERT-EU solche Unterstützung nur in begrenztem Umfang und nicht systematisch.
71 Die ENISA hat eine Reihe von Schulungskursen zum Thema Cybersicherheit durchgeführt, die sich in erster Linie an die Behörden der Mitgliedstaaten richteten, an denen aber auch eine begrenzte Zahl von Mitarbeitern der EU-OESS teilnahmen. Sie bot lediglich zwei Kurse für das Selbststudium an, die sich speziell an die EU-OESS richteten. Die ENISA stellt auf ihrer Website auch Online-Schulungsmaterialien zur Verfügung, auf die die EU-OESS zugreifen können. Es handelt sich dabei bisher aber hauptsächlich um Kurse für technische Experten des CSIRT, die somit für die meisten EU-OESS nicht hilfreich sind.
72 Neben Schulungen kann die ENISA die EU-OESS durch Cybersicherheitsübungen unterstützen. Im Oktober 2020 unterstützte die ENISA – in Zusammenarbeit mit dem CERT-EU – den ICTAC bei der Durchführung einer Cybersicherheitsübung. Dies ist die einzige Übung, die die ENISA speziell für Teilnehmer der EU-OESS durchgeführt hat. Darüber hinaus hat die ENISA einige EU-OESS (z. B. eu-LISA, EMSA, das Europäische Parlament und Europol) auf Antrag bei der Durchführung mehrerer Übungen unterstützt, die sich vor allem an deren Interessenträger in den Behörden der Mitgliedstaaten richteten und an denen auch einige Mitarbeiter der EU-OESS teilnahmen.
73 Mit dem Rechtsakt zur Cybersicherheit wurde der ENISA auch eine neue Aufgabe übertragen, nämlich die EU-OESS bei ihren Strategien für eine Offenlegung von Sicherheitslücken auf freiwilliger Basis zu unterstützen. Jedoch hat die ENISA noch immer keinen Überblick über die Strategien der einzelnen EU-OESS für eine Offenlegung von Sicherheitslücken und unterstützt sie auch nicht dabei, solche Strategien auszuarbeiten und umzusetzen.
Das CERT-EU wird von seinen Vertragsparteien sehr geschätzt, aber seine Mittel reichen nicht aus, um mit den Herausforderungen auf dem Gebiet der Cybersicherheit Schritt zu halten
74 Im Anschluss an eine Reihe von Initiativen (siehe Abbildung 7) wurde mit einem Beschluss der Kommission33 im September 2012 das IT-Notfallteam (CERT-EU) als ständige Taskforce für die EU-OESS eingesetzt (siehe Ziffer 08).
75 Obwohl es unabhängig agiert, ist das CERT-EU eine Taskforce ohne Rechtspersönlichkeit. Verwaltungstechnisch ist es der Europäischen Kommission (GD DIGIT) zugeordnet, von der es logistische und administrative Unterstützung erhält. Ziel des CERT-EU ist es, die IKT-Infrastruktur der EU-OESS sicherer zu gestalten, indem ihre Kapazitäten für den Umgang mit Cyberbedrohungen und Sicherheitslücken sowie für die Prävention und Erkennung von Cyberangriffen und die Reaktion auf Cyberangriffe verbessert werden. Das CERT-EU hat rund 40 Mitarbeiter, die in Expertenteams organisiert sind, die sich beispielsweise mit Informationen über Cyberbedrohungen, digitaler Forensik und der Reaktion auf Sicherheitsvorfälle befassen.
Das CERT-EU ist ein geschätzter Partner, dessen Arbeitsbelastung zunimmt
76 Das CERT-EU ersucht seine Vertragsparteien im Rahmen vierteljährlicher Workshops, jährlicher bilateraler Treffen und Zufriedenheitsumfragen um Rückmeldung und Vorschläge. Den Zufriedenheitsumfragen und der Umfrage des Hofes zufolge sind die Vertragsparteien mit den Dienstleistungen des CERT-EU weitgehend zufrieden. An der Weiterentwicklung seines Dienstleistungskatalogs wird ersichtlich, dass das CERT-EU darum bemüht ist, sich an die Bedürfnisse der EU-OESS anzupassen.
77 Während große EU-OESS mit erheblichen internen Kapazitäten das CERT-EU hauptsächlich als zentrale Stelle für den Informationsaustausch und als Quelle für Informationen über Bedrohungen nutzen, wenden sich kleinere EU-OESS für ein breiteres Spektrum von Diensten wie Überwachungsprotokolle, Penetrationstests, Red-Teaming-Übungen und Unterstützung bei der Reaktion auf Sicherheitsvorfälle an das CERT-EU. Die Dienste des CERT-EU sind für kleinere EU-OESS aufgrund ihres begrenzten internen Fachwissens und fehlender Skaleneffekte besonders wertvoll (siehe Ziffern 31 und 33).
78 Angesichts der drastischen Zunahme von Sicherheitsbedrohungen und ‑vorfällen hat das CERT-EU seine Kompetenzen und Verfahren in den letzten Jahren verbessert. Die Zahl der Informationsprodukte des CERT-EU, insbesondere Bedrohungswarnungen und ‑meldungen, hat stetig zugenommen (Abbildung 8). Im Jahr 2020 gab das CERT-EU 171 Bedrohungsmeldungen und 53 Bedrohungswarnungen heraus (deutlich mehr als die 80 Meldungen und 40 Warnungen, mit denen ursprünglich gerechnet worden war).
79 Das CERT-EU unterstützt die EU-OESS auch beim Umgang mit Sicherheitsvorfällen. Während 52 % der EU-OESS über ein internes Reaktionsteam oder zumindest einen Koordinator für Sicherheitsvorfälle verfügen, sind die übrigen 48 % bei Sicherheitsvorfällen auf das CERT-EU und/oder externe Anbieter angewiesen. Jedoch können auch große EU-OESS, die über interne Reaktionskapazitäten verfügen, bei komplexen Sicherheitsvorfällen Unterstützung beim CERT-EU anfordern.
80 Die Gesamtzahl der vom CERT-EU bearbeiteten Sicherheitsvorfälle ist von 561 im Jahr 2019 auf 884 im Jahr 2020 gestiegen. Insbesondere ist die Zahl der bedeutenden Sicherheitsvorfälle von nur einem im Jahr 2018 auf 13 im Jahr 2020 gestiegen. Im Jahr 2021 traten 17 bedeutende Sicherheitsvorfälle auf. Dies stellt einen Anstieg im Vergleich zu den 13 Vorfällen im Jahr 2020 dar, das bereits ein Rekordjahr gewesen war. Diese bedeutenden Sicherheitsvorfälle werden gewöhnlich durch hochkomplexe Bedrohungen ausgelöst. Sie können mehrere EU-OESS betreffen und Kontakt mit Behörden beinhalten, und die betroffenen Parteien und das CERT-EU brauchen gewöhnlich Wochen bis Monate, um den Vorfall zu untersuchen und zu beheben.
81 Das CERT-EU ist auch der wichtigste Anbieter proaktiver Bewertungen und Tests für die Cyberabwehr der EU-OESS. Eine Zusammenfassung der Tätigkeiten des CERT-EU in diesem Bereich ist Abbildung 9 zu entnehmen. Zusätzlich führt das CERT-EU seit 2020 auch externe Netzwerk-Scans durch.
Vertragsparteien teilen dem CERT-EU relevante Informationen nicht zeitnah mit
82 In der IIV34 ist festgelegt, dass die Vertragsparteien das CERT-EU informieren, wenn sie mit einem "bedeutenden Cybervorfall" konfrontiert sind. In der Praxis ist dies aber nicht immer der Fall gewesen. Die IIV sieht keinen Mechanismus zur Durchsetzung einer verbindlichen und zeitnahen Meldung "bedeutender" Sicherheitsvorfälle durch die CERT-EU-Vertragspartner vor. Laut der allgemeinen Definition von "bedeutenden Sicherheitsvorfällen" in der IIV liegt es im Ermessen der EU-OESS, ob ein Vorfall zu melden ist. Der CERT-EU-Leitung zufolge haben einige Vertragspartner Informationen über bedeutende Sicherheitsvorfälle nicht zeitnah gemeldet und so das CERT-EU bei der Ausübung seiner Funktion als zentrale Stelle für den Austausch von Informationen zur Cybersicherheit und die Koordinierung der Reaktion auf Sicherheitsvorfälle für alle EU-OESS behindert. Beispielsweise informierte ein Vertragspartner, der mit einer hochkomplexen Bedrohung konfrontiert war, das CERT-EU nicht bzw. forderte nicht dessen Unterstützung an. Dadurch wurde das CERT-EU daran gehindert, Informationen über die Cyberbedrohung einzuholen, die nützlich gewesen wären, um anderen Vertragsparteien zu helfen, die derselben Bedrohung ausgesetzt waren. Mindestens sechs EU-OESS waren von diesem Angriff betroffen.
83 Des Weiteren haben die Vertragsparteien dem CERT-EU keine zeitnahen Informationen über Bedrohungen und Schwachstellen der Cybersicherheit, von denen sie betroffen waren, übermittelt, obwohl sie nach der IIV35dazu verpflichtet sind. Das Digital Forensics and Incident Response Team (Team für digitale Forensik und Reaktion auf Sicherheitsvorfälle) des CERT-EU erhielt keine Meldungen über Schwachstellen und Mängel bei Kontrollen, die unabhängig von Vorfällen, die es aktiv untersucht, festgestellt wurden. Relevante Erkenntnisse aus internen oder externen Sicherheitsprüfungen werden von den Vertragsparteien nicht proaktiv mitgeteilt.
84 Außerdem sind die EU-OESS gemäß der IIV nicht verpflichtet, dem CERT-EU wesentliche Änderungen ihrer IT-Umgebung mitzuteilen, weshalb die Vertragsparteien das CERT-EU nicht systematisch über relevante Änderungen in Kenntnis gesetzt haben. So informieren die EU-OESS das CERT-EU zum Beispiel nicht immer über Änderungen ihrer IP-Bereiche (d. h. der Liste von Internetadressen ihrer jeweiligen Infrastruktur). Dem CERT-EU müssen die aktuellen IP-Bereiche vorliegen, um beispielsweise Scans durchzuführen, wenn größere Sicherheitslücken festgestellt werden. Melden die EU-OESS solche Änderungen nicht an das CERT-EU, so kann dieses seine Unterstützungsleistung nicht entsprechend erbringen. Bei einer unterbliebenen Meldung kann das CERT-EU ferner die Systeme nicht überwachen, und es entsteht Mehrarbeit, um ungenaue Daten in den Überwachungsinstrumenten zu berichtigen. Angaben der CERT-EU-Leitung zufolge stößt die Behörde bei der Behebung von Sicherheitsvorfällen zum Teil auf unbekannte IT-Infrastruktur. Darüber hinaus hat das CERT-EU – außer in spezifischen Fällen – derzeit keinen Gesamtüberblick über die IT-Systeme und ‑Netze der EU-OESS.
85 Da im Rahmen der IIV kein Durchsetzungsmechanismus vorgesehen ist, werden die EU-OESS dem CERT-EU Sicherheitsvorfälle auch weiterhin nicht systematisch melden, obwohl dies eine wesentliche Voraussetzung für eine stärkere gemeinsame Abwehrbereitschaft der EU-OESS unter Federführung des CERT-EU wäre.
Die Mittelausstattung des CERT-EU ist instabil und wird dem derzeitigen Bedrohungsniveau nicht gerecht
86 In der IIV36 heißt es: "Das CERT-EU sollte über eine nachhaltige Finanzierung und Personalausstattung verfügen; gleichzeitig sollten ein günstiges Kosten-Nutzen-Verhältnis und ein angemessener Kern von ständigen Mitarbeitern gewährleistet sein […]." Das wichtigste Gut des CERT-EU sind dessen hoch qualifizierte und spezialisierte Mitarbeiter. Abbildung 10 zeigt die Veränderung des Personalbestands des CERT-EU von seiner Gründung im Jahr 2011 bis heute.
87 Mehr als zwei Drittel der Mitarbeiter des CERT-EU haben befristete Arbeitsverträge. Ihr Gehalt ist im Marktvergleich für Cybersicherheitsexperten nicht sehr wettbewerbsfähig, und der CERT-EU-Leitung zufolge wird es zunehmend schwieriger, Personal einzustellen und zu halten. Wenn die Gehälter für erfahrene Bewerber nicht attraktiv genug sind, muss das CERT-EU weniger erfahrenes Personal einstellen und Zeit investieren, um dieses zu schulen. Zudem haben die Verträge eine Laufzeit von höchstens sechs Jahren. Daher hat das CERT-EU keine andere Wahl, als Vertragsbedienstete ausscheiden zu lassen, wenn sie ihren maximalen Wissensstand erreicht haben. Die Mitarbeiterfluktuation war 2020 besonders hoch: 21 % der Mitarbeiter verließen das CERT-EU, und nicht immer konnte für Ersatz gesorgt werden. Was die Vorjahre betrifft, so schieden 2019 9 % der Mitarbeiter und 2018 13 % der Mitarbeiter aus.
88 Die Leitung des CERT-EU betonte, dass das Digital Forensics and Incident Response Team (Team für digitale Forensik und Reaktion auf Sicherheitsvorfälle) des CERT-EU häufig überlastet ist und die übrigen Teams nicht mit der Nachfrage Schritt halten können. Daher sah sich das CERT-EU gezwungen, bestimmte Tätigkeiten zurückzufahren. Beispielsweise führt das CERT-EU aufgrund fehlender Ressourcen derzeit keine Reifebewertungen seiner Vertragsparteien durch. Aufgrund der Ressourcenknappheit ist auch der Dienst "Warnungen vor verdächtigen Aktivitäten" des CERT-EU später als erwartet angelaufen. Mehrere der befragten Vertragsparteien haben darüber hinaus auf lange Wartezeiten beim Zugang zu den Leistungen des CERT-EU hingewiesen.
89 Aufgrund von Ressourcenengpässen war das CERT-EU bisher gezwungen, seine Tätigkeit auf den Schutz der herkömmlichen lokalen IT-Infrastruktur vor fortgeschrittenen andauernden Bedrohungen durch (gewöhnlich von bestimmten Staaten unterstützte) Gruppen zu konzentrieren. Der CERT-EU-Leitung zufolge erfordern die erweiterten IT-Strukturen der EU-OESS (nunmehr einschließlich Cloud, mobiler Geräte und Tools für die Telearbeit) jedoch mehr Überwachung und Schutz, und weniger gravierenden Bedrohungen (wie Cyberkriminalität und Ransomware) muss ebenfalls mehr Aufmerksamkeit gewidmet werden.
90 In der IIV ist nicht vorgesehen, dass das CERT-EU rund um die Uhr und sieben Tage pro Woche einsatzfähig ist. Das CERT-EU verfügt derzeit nicht über ausreichend Ressourcen bzw. einen angemessenen Personalrahmen, um ein Tätigwerden auch über die Arbeitszeiten hinaus dauerhaft und strukturiert zu regeln, auch wenn Cyberangriffe sich nicht nach diesen Zeiten richten. Nur 35 der befragten 65 EU-OESS gaben an, selbst über einen IT-Beauftragten zu verfügen, den sie außerhalb der Arbeitszeiten erreichen können.
91 Zur Finanzierung der Tätigkeiten des CERT-EU billigte der Lenkungsausschuss 2012 eine Vorlage für eine Leistungsvereinbarung. Alle Vertragsparteien erhalten die Kerndienste kostenlos und können weitere Dienstleistungen durch Unterzeichnung einer Leistungsvereinbarung zahlungspflichtig erwerben. Der Haushalt des CERT-EU belief sich im Jahr 2020 auf 3 745 000 Euro, wovon 6 % aus dem EU-Haushalt und 94 % aus Leistungsvereinbarungen stammten. Die Vertragsparteien sind jedoch sehr heterogen: Einige haben anspruchsvolle IT-Sicherheitsanforderungen, während andere nur über einen bescheidenen IT-Haushalt verfügen und in Bezug auf die Cybersicherheit noch nicht sehr ausgereift sind. Daher zeigen sich in den Gesprächen über Leistungsvereinbarungen sowohl die hohen Sicherheitsanforderungen einiger EU-OESS als auch der relative Unwille/die relative Unfähigkeit anderer, einen Beitrag zu leisten.
92 Darüber hinaus müssen die Leistungsvereinbarungen jedes Jahr einzeln erneuert werden. Dies bringt nicht nur Verwaltungsaufwand mit sich, sondern führt auch zu Liquiditätsproblemen, da die Mittel aus den verschiedenen Leistungsvereinbarungen nicht alle gleichzeitig beim CERT-EU eingehen. Darüber hinaus können die Agenturen die Leistungsvereinbarungen jederzeit kündigen. Dadurch kann ein Teufelskreis in Gang gesetzt werden, in dem das CERT-EU aufgrund fehlender Einnahmen seine Dienste zurückschrauben muss und der Nachfrage nicht nachkommen kann, was wiederum dazu führt, dass weitere EU-OESS ihre Leistungsvereinbarung kündigen und zu privaten Anbietern wechseln. Vor dem Hintergrund dieser Erwägungen ist das derzeitige Finanzierungsmodell nicht ideal, um ein optimales, stabiles Leistungsniveau zu gewährleisten.
93 Angesichts der sich rasch wandelnden Bedrohungslage im Bereich der Cybersicherheit (siehe Ziffern 06 und 80) billigte der Lenkungsausschuss des CERT-EU auf seiner Sitzung vom 19. Februar 2020 einen strategischen Vorschlag für das CERT-EU, in dem vorgesehen war, seine Cybersicherheitsdienste auszuweiten und es "voll einsatzfähig" zu machen. Dem Vorschlag war eine Analyse des Personal- und Finanzierungsbedarfs für das CERT-EU beigefügt. Der Analyse war zu entnehmen, dass das CERT-EU 14 zusätzliche ständige AD-Stellen benötigen würde, die im Zeitraum 2021-2023 schrittweise hinzugefügt werden würden. Das CERT-EU wäre dann ab 2023 voll einsatzfähig. Dem Vorschlag zufolge müsste das CERT-EU im Zeitraum 2021-2023 seinen Haushalt um 7,6 Millionen Euro aufstocken, um bis 2024 einen Betrag von 11,3 Millionen Euro zu erreichen.
94 Obwohl der strategische Vorschlag für eine zusätzliche Mittelausstattung des CERT-EU gebilligt wurde, haben sich die EU-OESS noch nicht auf die praktischen Modalitäten – zunächst für den Übergangszeitraum 2021-2023 und dann für einen längerfristigen Zeitraum nach Inkrafttreten der Cybersicherheitsverordnung – einigen können (siehe Ziffer 12).
Schlussfolgerungen und Empfehlungen
95 Der Hof kommt zu dem Schluss, dass die Organe, Einrichtungen und sonstigen Stellen der EU (EU-OESS) nicht ausreichend gegen Cyberbedrohungen gewappnet sind. Aus der Prüfungsarbeit des Hofes geht hervor, dass die einzelnen EU-OESS in Bezug auf die Cybersicherheit einen unterschiedlichen Reifegrad aufweisen und – da oft Verbindungen zwischen ihnen sowie zu öffentlichen und privaten Einrichtungen in den Mitgliedstaaten bestehen – Cybersicherheitslücken bei einem bzw. einer EU-OESS dazu führen können, dass auch mehrere andere Einrichtungen Cyberbedrohungen ausgesetzt werden.
96 Der Hof stellte fest, dass bewährte Verfahren im Bereich der Cybersicherheit, u. a. einige wesentliche Kontrollen, nicht immer zur Anwendung kamen. Es ist ein solides Cybersicherheitskonzept erforderlich, um die Sicherheit von Informationen und IT-Systemen zu gewährleisten. Jedoch verfügen noch nicht alle EU-OESS über ein solches Konzept: In vielen Fällen fehlt es an IT-Sicherheitspolitiken und -plänen oder diese werden nicht von der höheren Führungsebene gebilligt, Sicherheitsmaßnahmen werden nicht immer formell festgeschrieben und Risikobewertungen decken nicht die gesamte IT-Umgebung ab. Es wird unterschiedlich viel in die Cybersicherheit investiert; einige EU-OESS setzen im Vergleich zu EU-OESS ähnlicher Größe ihre Ausgaben für die Cybersicherheit eindeutig zu niedrig an (siehe Ziffern 21-33 und 37-38).
97 Sensibilisierungs- und Schulungsprogramme im Bereich der Cybersicherheit sind ein wesentlicher Bestandteil eines wirksamen Cybersicherheitsrahmens. Doch veranstalten nur 29 % der EU-OESS Pflichtschulungen zur Cybersicherheit für Manager, die für IT-Systeme mit sensiblen Informationen verantwortlich sind, und die Schulungen finden häufig in einem informellen Rahmen statt. In den letzten fünf Jahren haben 55 % der EU-OESS eine oder mehrere simulierte Phishing-Kampagnen (oder ähnliche Übungen) durchgeführt. Solche Übungen sind ein wichtiges Mittel, um das Personal zu schulen und zu sensibilisieren, jedoch kommen sie nicht in allen EU-OESS systematisch zum Einsatz (siehe Ziffern 34-36). Auch erlangen nicht alle EU-OESS für ihre Cybersicherheit regelmäßig von unabhängiger Seite Gewähr (siehe Ziffern 39-44).
98 Das CERT-EU wird von den EU-OESS, für die es Leistungen erbringt, sehr geschätzt, doch stößt es an seine Kapazitätsgrenze. Seine Arbeitsbelastung hat im Hinblick auf den Umgang mit Informationen über Bedrohungen und Sicherheitsvorfälle seit 2018 rapide zugenommen. Bedeutende Cybersicherheitsvorfälle haben sich um mehr als das Zehnfache erhöht. Zugleich informieren die EU-OESS nicht immer zeitnah über bedeutende Sicherheitsvorfälle, Sicherheitslücken und wichtige Änderungen ihrer IT-Infrastruktur. Dies hindert das CERT-EU daran, seine Leistungen wirksam zu erbringen und andere EU-OESS, die ebenfalls betroffen sein könnten, zu warnen, und es kann dazu führen, dass bedeutende Sicherheitsvorfälle unentdeckt bleiben. Ferner ist die Mittelausstattung des CERT-EU instabil und wird dem derzeitigen Bedrohungsniveau bzw. dem Bedarf der EU-OESS nicht gerecht. Der Lenkungsausschuss des CERT-EU hat 2020 einen strategischen Vorschlag zur Bereitstellung der vom CERT-EU benötigten zusätzlichen Mittel gebilligt, jedoch sind die Vertragsparteien noch nicht zu einer Einigung über die praktischen Modalitäten für die Bereitstellung der entsprechenden Ressourcen gelangt. Infolgedessen können die Mitarbeiter des CERT-EU nicht mit der Nachfrage Schritt halten und sind gezwungen, bestimmte Tätigkeiten zurückzufahren (siehe Ziffern 74-93).
Empfehlung 1 – Bessere Vorbereitung aller EU-OESS auf Cyberbedrohungen durch gemeinsame verbindliche Vorschriften und mehr Ressourcen für das CERT-EU
Die Kommission sollte die folgenden Grundsätze in ihren künftigen Vorschlag für eine Verordnung über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in allen EU-OESS aufnehmen:
- Die höhere Führungsebene sollte die Verantwortung für das Cybersicherheitskonzept tragen, indem sie Cybersicherheitsstrategien und wichtige Sicherheitsmaßnahmen billigt und einen unabhängigen leitenden Beauftragten für die IT-Sicherheit ernennt (oder eine ähnliche Funktion schafft).
- Die EU-OESS sollten über einen Rahmen für das IT-Sicherheitsrisikomanagement verfügen, mit dem ihre gesamte IT-Infrastruktur abgedeckt wird, und regelmäßige Risikobewertungen durchführen.
- Die EU-OESS sollten systematische Schulungen zur Sensibilisierung des gesamten Personals, einschließlich der Führungskräfte, durchführen.
- Die EU-OESS sollten ihre Cyberabwehr regelmäßigen Prüfungen und Tests unterziehen. Dabei sollte auch geprüft werden, ob ausreichend Ressourcen für die Cybersicherheit vorgesehen sind.
- Die EU-OESS sollten das CERT-EU unverzüglich über bedeutende Sicherheitsvorfälle sowie wichtige Änderungen an und Sicherheitslücken in ihrer IT-Infrastruktur informieren.
- Die EU-OESS sollten die Mittel für das CERT-EU erhöhen und in ihrem Haushalt ausweisen; die Mittel sollten dem Bedarf entsprechen, der in dem vom Lenkungsausschuss des CERT-EU gebilligten strategischen Vorschlag ermittelt wurde.
- Im Rahmen der Verordnung sollten Bestimmungen für die Benennung einer Stelle vorgesehen werden, die alle EU-OESS vertritt und über das entsprechende Mandat und ausreichende Mittel verfügt, um überprüfen zu können, ob alle EU-OESS die gemeinsamen Cybersicherheitsvorschriften einhalten, und um Leitlinien, Empfehlungen und Handlungsaufforderungen herausgeben zu können.
Zieldatum für die Umsetzung: 1. Quartal 2023
99 Die EU-OESS haben Mechanismen für die Zusammenarbeit im Bereich der Cybersicherheit geschaffen, doch stellte der Hof fest, dass potenzielle Synergien nicht in vollem Umfang ausgeschöpft werden. Es besteht eine formalisierte Struktur für den Informationsaustausch mit Akteuren und Ausschüssen, die komplementäre Rollen haben. Die Beteiligung kleinerer EU-OESS an interinstitutionellen Foren wird jedoch durch begrenzte Ressourcen behindert, und die Vertretung von dezentralen Agenturen und gemeinsamen Unternehmen im Lenkungsausschuss des CERT-EU ist nicht optimal. Der Hof stellte ferner fest, dass die EU-OESS nicht systematisch Informationen zu Projekten im Bereich von Cybersicherheit, Sicherheitsbewertungen und Dienstleistungsverträgen miteinander austauschen. Dies kann zu Doppelarbeit und höheren Kosten führen. Der Hof stellte operative Schwierigkeiten beim Austausch von nicht als Verschlusssache eingestuften sensiblen Informationen über verschlüsselte E-Mails oder bei Videokonferenzen fest, die auf die mangelnde Interoperabilität von IT-Lösungen, uneinheitliche Leitlinien für ihren Einsatz und das Fehlen gemeinsamer Regeln für die Kennzeichnung und Handhabung von Informationen zurückzuführen sind (siehe Ziffern 45-63).
Empfehlung 2 – Schaffung weiterer Synergien zwischen EU-OESS in ausgewählten Bereichen
Die Kommission sollte im Rahmen des Interinstitutionellen Ausschusses für den digitalen Wandel die folgenden Maßnahmen auf Ebene der EU-OESS fördern:
- die Annahme von Lösungen für die Interoperabilität von sicheren Kommunikationskanälen – von verschlüsselten E-Mails bis zu Videokonferenzen – sowie gemeinsame Regeln für die Kennzeichnung und Handhabung von nicht als Verschlusssache eingestuften sensiblen Informationen;
- einen systematischen Austausch von Informationen zu Cybersicherheitsprojekten mit möglichen interinstitutionellen Auswirkungen, Sicherheitsbewertungen von Software und Verträgen, die mit internen und externen Dienstleistern geschlossen wurden;
- die Festlegung von Spezifikationen für gemeinsame Beschaffungs- und Rahmenverträge für Dienstleistungen im Bereich Cybersicherheit, die alle EU-OESS nutzen können, um mehr Skaleneffekte zu erzielen.
Zieldatum für die Umsetzung: 4. Quartal 2023
100 Die Agentur der Europäischen Union für Cybersicherheit (ENISA) und das CERT-EU sind die beiden wichtigsten Stellen zur Unterstützung der EU-OESS im Bereich der Cybersicherheit. Aufgrund von Mittelengpässen und weil anderen Bereichen Vorrang eingeräumt wurde, konnten sie jedoch nicht allen EU-OESS die erforderliche Unterstützung zukommen lassen, insbesondere was den Kapazitätsaufbau für EU-OESS betrifft, die in Bezug auf die Cybersicherheit weniger gut gerüstet sind (siehe Ziffern 64-93).
Empfehlung 3 – Verstärkte Schwerpunktsetzung des CERT-EU und der ENISA auf weniger gut gerüstete EU-OESS
Das CERT-EU und die ENISA sollten
- diejenigen Bereiche ermitteln, in denen die EU-OESS die meiste Unterstützung benötigen, z. B. durch Reifebewertungen;
- Maßnahmen für den Kapazitätsaufbau im Einklang mit ihren Absichtserklärungen umsetzen.
Zieldatum für die Umsetzung: 4. Quartal 2022
Dieser Bericht wurde von Kammer III unter Vorsitz von Frau Bettina Jakobsen, Mitglied des Rechnungshofs, am 22. Februar 2022 in Luxemburg angenommen.
Für den Rechnungshof
Klaus-Heiner LEHNE
Präsident
Anhänge
Anhang I – Liste der befragten EU-OESS
Name der EU-OESS | Art |
---|---|
Europäisches Parlament | Organ (Art. 13 Abs. 1 EUV) |
Rat der Europäischen Union und Europäischer Rat | Organ (Art. 13 Abs. 1 EUV) |
Europäische Kommission | Organ (Art. 13 Abs. 1 EUV) |
Gerichtshof der Europäischen Union (EuGH) | Organ (Art. 13 Abs. 1 EUV) |
Europäische Zentralbank (EZB) | Organ (Art. 13 Abs. 1 EUV) |
Europäischer Rechnungshof (EuRH) | Organ (Art. 13 Abs. 1 EUV) |
Europäischer Auswärtiger Dienst (EAD) | Einrichtung (Art. 27 Abs. 3 EUV) |
Europäischer Wirtschafts- und Sozialausschuss (EWSA) und Ausschuss der Regionen (AdR)37 | Einrichtungen (Art. 13 Abs. 4 EUV) |
Europäische Investitionsbank (EIB) | Einrichtung (Art. 308 AEUV) |
Europäische Arbeitsbehörde (ELA) | Dezentrale Agentur |
Agentur der Europäischen Union für die Zusammenarbeit der Energieregulierungsbehörden (ACER) | Dezentrale Agentur |
Büro des Gremiums Europäischer Regulierungsstellen für elektronische Kommunikation (GEREK-Büro) | Dezentrale Agentur |
Gemeinschaftliches Sortenamt (CPVO) | Dezentrale Agentur |
Europäische Agentur für Sicherheit und Gesundheitsschutz am Arbeitsplatz (EU-OSHA) | Dezentrale Agentur |
Europäische Agentur für die Grenz- und Küstenwache (Frontex) | Dezentrale Agentur |
Agentur der Europäischen Union für das Betriebsmanagement von IT-Großsystemen im Raum der Freiheit, der Sicherheit und des Rechts (eu-LISA) | Dezentrale Agentur |
Asylagentur der Europäischen Union (EUAA) | Dezentrale Agentur |
Agentur der Europäischen Union für Flugsicherheit (EASA) | Dezentrale Agentur |
Europäische Bankenaufsichtsbehörde (EBA) | Dezentrale Agentur |
Europäisches Zentrum für die Prävention und die Kontrolle von Krankheiten (ECDC) | Dezentrale Agentur |
Europäisches Zentrum für die Förderung der Berufsbildung (Cedefop) | Dezentrale Agentur |
Europäische Chemikalienagentur (ECHA) | Dezentrale Agentur |
Europäische Umweltagentur (EUA) | Dezentrale Agentur |
Europäische Fischereiaufsichtsagentur (EFCA) | Dezentrale Agentur |
Europäische Behörde für Lebensmittelsicherheit (EFSA) | Dezentrale Agentur |
Europäische Stiftung zur Verbesserung der Lebens- und Arbeitsbedingungen (Eurofound) | Dezentrale Agentur |
Agentur der Europäischen Union für das Weltraumprogramm [ersetzt: Agentur für das Europäische GNSS – GSA] (EUSPA) | Dezentrale Agentur |
Europäisches Institut für Gleichstellungsfragen (EIGE) | Dezentrale Agentur |
Europäische Aufsichtsbehörde für das Versicherungswesen und die betriebliche Altersversorgung (EIOPA) | Dezentrale Agentur |
Europäische Agentur für die Sicherheit des Seeverkehrs (EMSA) | Dezentrale Agentur |
Europäische Arzneimittel-Agentur (EMA) | Dezentrale Agentur |
Europäische Beobachtungsstelle für Drogen und Drogensucht (EBDD) | Dezentrale Agentur |
Agentur der Europäischen Union für Cybersicherheit (ENISA) | Dezentrale Agentur |
Agentur der Europäischen Union für die Aus- und Fortbildung auf dem Gebiet der Strafverfolgung (EPA) | Dezentrale Agentur |
Europäisches Polizeiamt (Europol) | Dezentrale Agentur |
Eisenbahnagentur der Europäischen Union (ERA) | Dezentrale Agentur |
Europäische Wertpapier- und Marktaufsichtsbehörde (ESMA) | Dezentrale Agentur |
Europäische Stiftung für Berufsbildung (ETF) | Dezentrale Agentur |
Agentur der Europäischen Union für Grundrechte (FRA) | Dezentrale Agentur |
Amt der Europäischen Union für geistiges Eigentum [bis zum 23. März 2016 als HABM bekannt] (EUIPO) | Dezentrale Agentur |
Einheitlicher Abwicklungsausschuss (SRB) | Dezentrale Agentur |
Agentur der Europäischen Union für justizielle Zusammenarbeit in Strafsachen (Eurojust) | Dezentrale Agentur |
Übersetzungszentrum für die Einrichtungen der Europäischen Union (CdT) | Dezentrale Agentur |
Europäische Staatsanwaltschaft (EUStA) | Dezentrale Agentur |
Europäisches Innovations- und Technologieinstitut (EIT) | Im Rahmen von FuI geschaffene Einrichtung |
Gemeinsames Unternehmen für die Forschung zum Flugverkehrsmanagement für den einheitlichen europäischen Luftraum (SESAR) | Gemeinsames Unternehmen gemäß AEUV |
Gemeinsames Unternehmen "Elektronikkomponenten und -systeme für eine Führungsrolle Europas" (ECSEL) | Gemeinsames Unternehmen gemäß AEUV |
Gemeinsames Unternehmen "Brennstoffzellen und Wasserstoff 2" (FCH2) | Gemeinsames Unternehmen gemäß AEUV |
Gemeinsames Unternehmen "Initiative Innovative Arzneimittel 2" (IMI2) | Gemeinsames Unternehmen gemäß AEUV |
Gemeinsames Unternehmen "Clean Sky 2" (Clean Sky 2) | Gemeinsames Unternehmen gemäß AEUV |
Gemeinsames Unternehmen "Biobasierte Industriezweige" (BBI) | Gemeinsames Unternehmen gemäß AEUV |
Gemeinsames Unternehmen "Shift2Rail" (S2R) (gemeinsame Technologieinitiative) | Gemeinsames Unternehmen gemäß AEUV |
Gemeinsames Unternehmen für europäisches Hochleistungsrechnen (EuroHPC) | Gemeinsames Unternehmen gemäß AEUV |
Europäisches gemeinsames Unternehmen für den ITER und die Entwicklung der Fusionsenergie (F4E) | Gemeinsames Unternehmen gemäß AEUV |
Beratende Mission der Europäischen Union in der Ukraine (EUAM Ukraine) | Zivile Mission (GSVP) |
Mission der EU zur Unterstützung des Grenzmanagements in Libyen (EUBAM Libyen) | Zivile Mission (GSVP) |
Mission der EU zum Ausbau der Kapazitäten in Niger (EUCAP Sahel Niger) | Zivile Mission (GSVP) |
Beobachtermission der EU in Georgien (EUMM Georgia) | Zivile Mission (GSVP) |
Koordinierungsbüro der EU für die Unterstützung der palästinensischen Polizei (EUPOL COPPS) | Zivile Mission (GSVP) |
Beratungsmission der EU in der Zentralafrikanischen Republik (EUAM RCA) | Zivile Mission (GSVP) |
Beratungsmission der EU in Irak (EUAM Iraq) | Zivile Mission (GSVP) |
Mission der EU zur Unterstützung des Grenzschutzes am Grenzübergang Rafah (EUBAM Rafah) | Zivile Mission (GSVP) |
Mission der EU zum Ausbau der Kapazitäten in Mali (EUCAP Sahel Mali) | Zivile Mission (GSVP) |
Mission der EU zum Ausbau der Kapazitäten in Somalia (EUCAP Somalia) | Zivile Mission (GSVP) |
Rechtsstaatlichkeitsmission der EU im Kosovo (EULEX Kosovo) | Zivile Mission (GSVP) |
Anhang II – Zusätzliche Informationen zu den wichtigsten interinstitutionellen Ausschüssen
Interinstitutioneller Ausschuss für den digitalen Wandel (ICDT)
Der ICDT ist ein Forum für den Informationsaustausch und die Förderung der Zusammenarbeit im IT-Bereich. Er wurde im Mai 2020 eingerichtet und hat das frühere Comité Interinstitutionnel de l'Informatique (CII) abgelöst. Der ICDT setzt sich aus den Leitern der IT-Abteilungen der EU-OESS zusammen. Im ICDT gibt es eine Untergruppe für Cybersicherheit (ICDT/CSSG), deren Aufgabe es ist, die Zusammenarbeit zwischen den EU-OESS im Bereich Cybersicherheit zu fördern und als Forum für den Informationsaustausch zu dienen.
Die Entscheidungsbefugnis des ICDT beschränkt sich auf Fragen, die nicht die Art und Weise betreffen, wie die Organe ihren Auftrag erfüllen, und die sich nicht auf die Governance innerhalb der einzelnen Organe auswirken. Im Hinblick auf Entscheidungen, die über seinen Zuständigkeitsbereich hinausgehen, kann der ICDT Empfehlungen an das Kollegium der Generalsekretäre der Organe und Einrichtungen der EU richten.
Gemäß dem Mandat des ICDT sind seine Mitglieder die Vertreter der einzelnen Organe und Einrichtungen der EU sowie ein von den EU-Agenturen (ICTAC) benannter Vertreter. Den Vorsitz des ICDT hat derzeit das Generalsekretariat des Rates inne.
Untergruppe "Cybersicherheit" des ICDT (ICDT/CSSG)
Die ICDT/CSSG wurde in ihrer aktuellen Zusammensetzung im September 2020 eingesetzt und löste die ehemalige ständige Untergruppe "Sicherheit" des CII ab. Im Vergleich zu ihrer Vorgängerin verfolgt die ICDT/CSSG einen strukturierteren, ambitionierteren und stärker auf Ergebnisse ausgerichteten Ansatz. Ihre Tätigkeiten werden von Taskforces (TF) durchgeführt, die regelmäßig zusammenkommen und sich gemeinsamen zentralen Zielen widmen:
- TF1 "Gemeinsame Standards, Benchmarking und Reifegrad"
- TF2 "Gemeinsame Nutzung von Plattformmethoden, Instrumenten und Verträgen"
- TF3 "Cloud-Sicherheit"
- TF4 "Talententwicklung im Bereich Cyberskills"
- TF5 "Sensibilisierung für Cybersicherheit"
- TF6 "Sicherheit von Videokonferenzen"
Gemäß dem Mandat der CSSG ist ihr Sekretariat für die regelmäßige Überwachung und Berichterstattung über den Stand der Taskforce-Aktivitäten zuständig. Es erstattet dem Vorsitzenden und stellvertretenden Vorsitzenden der Untergruppe "Cybersicherheit" des ICDT regelmäßig Bericht und holt regelmäßig Beiträge der Taskforce-Koordinatoren ein. Am Ende jedes Jahres muss die CSSG darüber hinaus einen zusammenfassenden Tätigkeitsbericht vorlegen.
Die Kommission führt derzeit den Vorsitz in der ICDT/CSSG, und ein Vertreter des ICTAC hat den stellvertretenden Vorsitz inne. Auch wenn die CSSG keinerlei Entscheidungsbefugnis hat, so kann sie doch dem ICDT Beschlüsse zu wichtigen Themen empfehlen.
Netzwerk der Agenturen
Das Netzwerk der EU-Agenturen (EUAN) ist ein informelles Netzwerk, das 2012 von den Leitern der EU-Agenturen eingerichtet wurde. Das EUAN setzt sich derzeit aus 48 dezentralen Agenturen und gemeinsamen Unternehmen zusammen. Sein Ziel ist es, den Netzwerkmitgliedern eine Plattform für den Austausch und die Zusammenarbeit in Bereichen von gemeinsamem Interesse zu bieten. Der IKT-Beratungsausschuss (ICTAC) ist die Untergruppe des EUAN, die für die Förderung der Zusammenarbeit im Bereich der IKT, einschließlich Cybersicherheit, zuständig ist.
IKT-Beratungsausschuss (ICTAC)
Der ICTAC fördert die Zusammenarbeit zwischen den Agenturen und gemeinsamen Unternehmen auf dem Gebiet der IKT. Sein Ziel ist es, tragbare und wirtschaftliche Lösungen für gemeinsame Probleme zu entwickeln, Informationen auszutauschen und gegebenenfalls gemeinsame Positionen einzunehmen. Gemäß dem Mandat des ICTAC finden zweimal jährlich Hauptversammlungen statt, an denen alle Mitglieder teilnehmen. Außerdem finden regelmäßige, monatliche Sitzungen mit den Vertretern des ICTAC in den CSSG-Taskforces, dem Vertreter des ICTAC in der CSSG und der "Troika" des ICTAC statt. Die Troika besteht aus dem bzw. der aktuellen, vorherigen und künftigen Vorsitzenden (die Vorsitzenden amtieren jeweils für ein Jahr). Die Aufgabe der Troika besteht darin, den bzw. die aktuelle(n) Vorsitzende(n) bei allen Angelegenheiten im Zusammenhang mit der Wahrnehmung seiner/ihrer Aufgabe zu unterstützen und ihn/sie gegebenenfalls zu vertreten.
Akronyme und Abkürzungen
CERT-EU: Computer Emergency Response Team for the EU institutions, bodies and agencies (IT-Notfallteam für die Organe, Einrichtungen und sonstigen Stellen der EU)
CISO: Chief Information Security Officer (leitender Beauftragter für die IT-Sicherheit)
CSIRT: Computer Security Incident Response Team (Computer-Notfallteam)
DG HR: Generaldirektion Humanressourcen und Sicherheit
ENISA: Agentur der Europäischen Union für Cybersicherheit
EUAN: European Union Agencies Network (Netzwerk der EU-Agenturen)
eu-LISA: Europäische Agentur für das Betriebsmanagement von IT-Großsystemen im Raum der Freiheit, der Sicherheit und des Rechts
EU-OESS: Organe, Einrichtungen und sonstige Stellen der EU
GD DIGIT: Generaldirektion Informatik
ICDT: Interinstitutional Committee for Digital Transformation (Interinstitutioneller Ausschuss für den digitalen Wandel)
ICDT/CSSG: Interinstitutional Committee for Digital Transformation Cyber Security Sub- Group (Untergruppe “Cybersicherheit” des Interinstitutionellen Ausschusses für den digitalen Wandel)
ICTAC: Information and Communications Technology Advisory Committee (Beratungsausschuss für Informations- und Kommunikationstechnologie)
IIV: interinstitutionelle Vereinbarung
IKT: Informations- und Kommunikationstechnologie
ISACA: Information Systems Audit and Control Association (Berufsverband für IT-Revisoren, Informationssicherheitsmanager und IT-Governance-Experten)
ITCB: Information Technology and Cybersecurity Board (Informationstechnik- und Cybersicherheitsbeirat)
NIS: Netz- und Informationssicherheit
VZÄ: Vollzeitäquivalent
Glossar
Cybersicherheit: Maßnahmen zum Schutz von IT-Netzen und ‑Infrastrukturen und der darin enthaltenen Informationen vor externen Bedrohungen.
Cyberspace: weltweite Online-Umgebung, in der Menschen, Software und Dienste über Computernetze und andere vernetzte Geräte miteinander kommunizieren.
Cyberspionage: Handlung oder Praxis, durch die ohne die Erlaubnis und das Wissen des Informationsinhabers vertrauliche Informationen aus dem Internet, aus Netzwerken oder von einzelnen Computern erlangt werden.
Fortgeschrittene andauernde Bedrohung: Angriff, bei dem ein unbefugter Benutzer auf ein System oder ein Netzwerk zugreift, um sensible Daten zu stehlen, und sich dort für einen längeren Zeitraum aufhält.
IT-Notfallteam für die Organe, Einrichtungen und sonstigen Stellen der EU: zentrale Stelle für den Austausch von Informationen und die Koordinierung der Reaktion auf Sicherheitsvorfälle, deren Kunden (Vertragsparteien) die Organe, Einrichtungen und Agenturen der EU sind.
Penetrationstest: Methode zur Bewertung der Sicherheit eines IT-Systems, bei der versucht wird, Sicherheitsvorkehrungen durch typischerweise von Angreifern verwendete Instrumente und Techniken zu durchbrechen.
Phishing: Senden von E-Mails aus einer scheinbar vertrauenswürdigen Quelle, um die Empfänger dazu zu verleiten, auf schädliche Links zu klicken oder personenbezogene Daten preiszugeben.
Red Teaming: realistische Simulation von Cyberangriffen, bei der der Überraschungseffekt sowie in jüngster Zeit in der realen Welt beobachtete Techniken eingesetzt werden, um spezifische Ziele durch mehrere Angriffslinien zu treffen.
Social Engineering: im Bereich der Informationssicherheit die psychologische Manipulation von Menschen, um sie zur Durchführung einer Aktion oder Preisgabe vertraulicher Informationen zu verleiten.
Antworten der Kommission
Antworten des CERT-EU und der ENISA
Endnoten
3 Analyse 02/2019 des Hofes, "Herausforderungen für eine wirksame Cybersicherheitspolitik der EU" (Themenpapier).
4 CERT-EU, Threat Landscape Report, Juni 2021.
5 Ebd.
6 Ebd.
7 Ebd.
8 Cyberattack on EMA – update 6, 25.1.2021.
9 Sonderbericht 22/2020 des Hofes, "Die Zukunft der EU-Agenturen – Flexibilität und Zusammenarbeit könnten verstärkt werden", Ziffer 01.
10 ABl. C 12 vom 13.1.2018, S. 1.
11 ENISA, Threat Landscape 2020, Sectoral/thematic threat analysis.
12 Richtlinie (EU) 2016/1148 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union.
13 Vorschlag für eine Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union.
16 ISACA, Certified Information System Auditor review manual, 2019.
17 Mitteilung an die Kommission, Digitalstrategie der Europäischen Kommission: Eine digital gewandelte, nutzerorientierte und datengesteuerte Kommission, C(2018) 7118 final vom 21.11.2018.
18 ISO/IEC standard 27000:2018, Kapitel 5.
19 COBIT 5 for Information Security, Abschnitt 4.2.
20 Siehe zum Beispiel ISO/IEC 27000:2018, Abschnitt 4.5.
21 ENISA, Threat Landscape 2020, Sectoral/thematic threat analysis.
22 Reihe von Kontrollen in Anlehnung an die CIS Controls 7.1, einen vom Centre for Internet Security geschaffenen Rahmen für bewährte Verfahren.
23 Implementierungsgruppe 1 (IG1) der CIS Controls.
24 ISACA, Auditing Cyber Security: Evaluating Risk and Auditing Controls, 2017.
25 Beschluss 46/2017 über die Sicherheit von Kommunikations- und Informationssystemen in der Europäischen Kommission.
26 Artikel 7 der interinstitutionellen Vereinbarung (IIV), die am 20.12.2017 unterzeichnet wurde.
27 Europäische Kommission, The European Commission Cloud Strategy, 2019.
28 Die Aufgaben der ENISA sind in Kapitel II (Artikel 5-12) der Verordnung (EU) 2019/881 aufgeführt.
29 Verordnung (EU) Nr. 526/2013 des Europäischen Parlaments und des Rates; zu den Aufgaben der ENISA im Rahmen dieser Verordnung siehe Artikel 3.
30 Artikel 6 der Verordnung (EU) 2019/881.
31 Artikel 14 des Rechtsakts zur Cybersicherheit.
32 Artikel 18 des Rechtsakts zur Cybersicherheit.
33 Pressemitteilung der Europäischen Kommission: "Höhere Netzsicherheit in den EU-Institutionen nach erfolgreichem Pilotprojekt".
34 Artikel 3 Absatz 3 der interinstitutionellen Vereinbarung (IIV), die am 20.12.2017 unterzeichnet wurde.
35 Artikel 3 Absatz 2 der interinstitutionellen Vereinbarung (IIV).
36 Erwägungsgrund 7 der interinstitutionellen Vereinbarung (IIV).
37 EWSA und AdR werden als eine einzige EU-OESS gezählt.
Kontakt
EUROPÄISCHER RECHNUNGSHOF
12, rue Alcide De Gasperi
1615 Luxemburg
LUXEMBURG
Tel. +352 4398-1
Kontaktformular: eca.europa.eu/de/Pages/ContactForm.aspx
Website: eca.europa.eu
Twitter: @EUAuditors
Zahlreiche weitere Informationen zur Europäischen Union sind verfügbar über Internet, Server Europa (https://europa.eu).
Luxemburg: Amt für Veröffentlichungen der Europäischen Union, 2022
ISBN 978-92-847-7592-7 | ISSN 1977-5644 | doi:10.2865/844163 | QJ-AB-22-003-DE-N | |
HTML | ISBN 978-92-847-7571-2 | ISSN 1977-5644 | doi:10.2865/26051 | QJ-AB-22-003-DE-Q |
URHEBERRECHTSHINWEIS
© Europäische Union, 2022
Die Weiterverwendung von Dokumenten des Europäischen Rechnungshofs wird durch den Beschluss Nr. 6-2019 des Europäischen Rechnungshofs über die Politik des offenen Datenzugangs und die Weiterverwendung von Dokumenten geregelt.
Sofern nicht anders angegeben (z. B. in gesonderten Urheberrechtshinweisen), werden die Inhalte des Hofes, an denen die EU die Urheberrechte hat, im Rahmen der Lizenz Creative Commons Attribution 4.0 International (CC BY 4.0) zur Verfügung gestellt. Dies bedeutet, dass die Weiterverwendung mit ordnungsgemäßer Nennung der Quelle und unter Hinweis auf Änderungen im Allgemeinen gestattet ist. Personen, die Inhalte des Hofes weiterverwenden, dürfen die ursprüngliche Bedeutung oder Botschaft nicht verzerrt darstellen. Der Hof haftet nicht für etwaige Folgen der Weiterverwendung.
Eine zusätzliche Genehmigung muss eingeholt werden, falls ein bestimmter Inhalt identifizierbare Privatpersonen zeigt, z. B. Fotos von Mitarbeitern des Hofes, oder Werke Dritter enthält.
Wird eine solche Genehmigung eingeholt, so hebt diese die oben genannte allgemeine Genehmigung auf und ersetzt sie; auf etwaige Nutzungsbeschränkungen wird ausdrücklich hingewiesen.
Um Inhalte zu verwenden oder wiederzugeben, an denen die EU keine Urheberrechte hat, kann es erforderlich sein, eine Genehmigung direkt bei den Urheberrechtsinhabern einzuholen.
Software oder Dokumente, die von gewerblichen Schutzrechten erfasst werden, wie Patente, Marken, eingetragene Muster, Logos und Namen, sind von der Weiterverwendungspolitik des Hofes ausgenommen.
Die Websites der Organe der Europäischen Union in der Domain "europa.eu" enthalten mitunter Links zu von Dritten betriebenen Websites. Da der Hof keinerlei Kontrolle über diese Websites hat, sollten Sie deren Bestimmungen zum Datenschutz und zum Urheberrecht einsehen.
Verwendung des Logos des Hofes
Das Logo des Europäischen Rechnungshofs darf nur mit vorheriger Genehmigung des Hofes verwendet werden.
DIE EU KONTAKTIEREN
Besuch
In der Europäischen Union gibt es Hunderte von „Europe-Direct“-Informationsbüros. Über diesen Link finden Sie ein Informationsbüro in Ihrer Nähe: https://europa.eu/european-union/contact_de
Telefon oder E-Mail
Der Europe-Direct-Dienst beantwortet Ihre Fragen zur Europäischen Union. Kontaktieren Sie Europe Direct
- über die gebührenfreie Rufnummer: 00 800 6 7 8 9 10 11 (manche Telefondienstanbieter berechnen allerdings Gebühren),
- über die Standardrufnummer: +32 22999696 oder
- per E-Mail über: https://europa.eu/european-union/contact_de
INFORMATIONEN ÜBER DIE EU
Im Internet
Auf dem Europa-Portal finden Sie Informationen über die Europäische Union in allen Amtssprachen: https://europa.eu/european-union/index_de
EU-Veröffentlichungen
Sie können – zum Teil kostenlos – EU-Veröffentlichungen herunterladen oder bestellen unter https://op.europa.eu/de/publications. Wünschen Sie mehrere Exemplare einer kostenlosen Veröffentlichung, wenden Sie sich an Europe Direct oder das Informationsbüro in Ihrer Nähe (siehe https://europa.eu/european-union/contact_de).
Informationen zum EU-Recht
Informationen zum EU-Recht, darunter alle EU-Rechtsvorschriften seit 1951 in sämtlichen Amtssprachen, finden Sie in EUR-Lex: http://eur-lex.europa.eu
Offene Daten der EU
Über ihr Offenes Datenportal (http://data.europa.eu/de) stellt die EU Datensätze zur Verfügung. Die Daten können zu gewerblichen und nichtgewerblichen Zwecken kostenfrei heruntergeladen werden.