Unterrichtung durch die Europäische Kommission
Stellungnahme der Europäischen Kommission zu dem Beschluss des Bundesrates zum Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates über die "EU-Cybersicherheitsagentur" (ENISA) und zur Aufhebung der Verordnung (EU) Nr. 526/2013 sowie über die Zertifizierung der Cybersicherheit von Informations- und Kommunikationstechnik
("Rechtsakt zur Cybersicherheit")

C(2018) 5350 final

Europäische Kommission
Brüssel, den 3.8.2018 C(2018) 5350 final

Herrn Michael MÜLLER
Präsident des Bundesrates
Leipziger Straße 3-4
10117 Berlin Deutschland

Sehr geehrter Herr Bundesratspräsident,
die Kommission dankt dem Bundesrat für seine Stellungnahme zu dem Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates über die [Agentur der Europäischen Union für Netz- und Informationssicherheit] " EU-Cybersicherheitsagentur" (ENISA) und zur Aufhebung der Verordnung (EU) Nr. 526/2013 sowie über die Zertifizierung der Cybersicherheit von Informations- und Kommunikationstechnik (, Rechtsakt zur Cybersicherheit") {COM (2017) 477 final}.

Dieser Vorschlag ist Teil eines umfassenderen Pakets ehrgeiziger Maßnahmen, mit denen die Cybersicherheit in der Union insgesamt erhöht werden soll, indem die folgenden Hauptprioritäten der Kommission in diesem Bereich umgesetzt werden: Verbesserung der Abwehrfähigkeit, Schaffung eines Binnenmarkts für Cybersicherheit, wirksame Abschreckung in der Europäischen Union vor Cyberkriminalität und verstärkte internationale Zusammenarbeit.

Der Vorschlag für ein starkes, dauerhaftes und konkretes Mandat der Agentur der Europäischen Union für Netz- und Informationssicherheit stützt sich auf die wichtigsten Errungenschaften der Agentur in den Bereichen Zusammenarbeit, Unterstützung beim Kapazitätsaufbau, Entwicklung politischer Strategien und deren Umsetzung auf Unionsebene sowie auf die rechtlichen Anforderungen der EU, insbesondere die wichtigen Aufgaben, die der Agentur der Europäischen Union für Netz- und Informationssicherheit durch die Richtlinie über die Sicherheit von Netz- und Informationssystemen' übertragen wurden. Der Vorschlag sieht ferner vor, der Agentur der Europäischen Union für Netz- und Informationssicherheit im Rahmen eines künftigen EU-Rahmens für die Zertifizierung der Cybersicherheit, der Bestandteil des Vorschlags ist, einige neue Zuständigkeiten zu übertragen.

Die Stärkung des Vertrauens der Nutzer in den digitalen Binnenmarkt durch eine Erhöhung der Transparenz der Sicherheitseigenschaften von Produkten und Dienstleistungen aus dem Bereich der Informations- und Kommunikationstechnologie steht im Mittelpunkt des von der Kommission vorgeschlagenen unionsweiten Zertifizierungsrahmens. Mit den neuen Vorschriften wird sichergestellt, dass Unternehmen in der Europäischen Union für jedes Produkt bzw. jede Dienstleistung nur einen einzigen Zertifizierungsprozess durchlaufen müssen, um eine in der gesamten Europäischen Union gültige Cybersicherheitszertifizierung zu erhalten. Dieser auf Freiwilligkeit beruhende Ansatz wird den europäischen Unternehmen zusätzliche Belastungen ersparen und in einem sich so rasch verändernden Bereich wie dem der Informations- und Kommunikationstechnologien die notwendige Flexibilität gewährleisten.

Die Kommission begrüßt, dass der Bundesrat ihre Auffassung teilt, dass auf Unionsebene Maßnahmen zum Ausbau der europäischen Kapazitäten und der Zusammenarbeit im Bereich der Cybersicherheit erforderlich sind und dass ein EU-Rahmen für die Zertifizierung der Cybersicherheit notwendig ist. Die Kommission nimmt ferner erfreut zur Kenntnis, dass der Bundesrat die übergeordneten Ziele des Vorschlags unterstützt.

Die Kommission nimmt die vom Bundesrat geäußerten Bedenken in Bezug auf die Achtung des Subsidiaritätsprinzips und des Verhältnismäßigkeitsgrundsatzes ernst. Sie hebt hervor, dass die gegenseitigen Abhängigkeiten zwischen Netzen und Informationssystemen so groß sind, dass die Bedrohungen, die Risiken sowie die möglichen Auswirkungen von Cybersicherheitsvorfällen allein mit Einzelmaßnahmen der Mitgliedstaaten meist nicht bewältigt werden können. Die wichtigsten Zielsetzungen des Vorschlags - Erhöhung der Abwehrfähigkeit der Union gegenüber Cyberangriffen und Stärkung des Nutzervertrauens in den digitalen Binnenmarkt - sind zugleich Themen von gemeinsamem Interesse für die Union.

Der Geltungsbereich des Vorschlags beschränkt sich auf das Funktionieren des Binnenmarkts, wobei Fragen im Zusammenhang mit der nationalen Sicherheit, die in die ausschließliche Zuständigkeit der Mitgliedstaaten fallen, von vornherein ausdrücklich ausgenommen sind. Die Kommission betont ferner, dass ihr Vorschlag auf den bisherigen positiven Erfahrungen und Kompetenzen auf nationaler und europäischer Ebene aufbaut, die auch in Zukunft eine grundlegende Rolle spielen werden.

Die Stellungnahme des Bundesrats wurde den Vertretern der Kommission im Rahmen der laufenden Verhandlungen mit den gesetzgebenden Organen, dem Europäischen Parlament und dem Rat, übermittelt und wird in die Beratungen einfließen. Angesichts der konstruktiven Gespräche mit den gesetzgebenden Organen ist die Kommission nach wie vor zuversichtlich, dass noch vor Ablauf ihres derzeitigen Mandats im Jahr 2019 eine Einigung erzielt wird.

Hinsichtlich der fachlicheren Anmerkungen aus der Stellungnahme verweist die Kommission auf den beigefügten Anhang.

Mit freundlichen Grüßen
Elzbieta Bierikowska
Mitglied der Kommission

Anhang

Die Kommission hat alle in der Stellungnahme des Bundesrates dargelegten Bedenken sorgfältig geprüft und merkt dazu Folgendes an:

Was die in der Stellungnahme dargelegten Bedenken des Bundesrats hinsichtlich der Rolle betrifft, die der Agentur der Europäischen Union für Netz- und Informationssicherheit im Zusammenhang mit einer möglichen Senkung der nationalen Sicherheitsstandards zugewiesen wurde, so bleiben die Zuständigkeiten der Mitgliedstaaten im Bereich der Cybersicherheit sowie auf jeden Fall deren Tätigkeiten in Bezug auf die öffentliche Sicherheit, die Landesverteidigung, die nationale Sicherheit und das staatliche Handeln im strafrechtlichen Bereich [Artikel 3 Absatz 3 des Vorschlags] vom Mandat der Agentur der Europäischen Union .für Netz- und Informationssicherheit unberührt. Darüber hinaus steht der vorgeschlagene Rahmen .für die Zertifizierung der Cybersicherheit nicht im Widerspruch zu den derzeitigen Praktiken, stellt diese nicht infrage und führt auch nicht zu einer Senkung der bestehenden Standards. Die Mitgliedstaaten behalten das Recht, das Sicherheitsniveau für bestimmte Produkt- und Dienstleistungskategorien, die nicht unter eine europäische Regelung fallen, selbst zu regeln.

In Bezug auf das überarbeitete Mandat der Agentur der Europäischen Union für Netz-und Informationssicherheit, insbesondere im Bereich der operativen Zusammenarbeit, ermöglicht der Vorschlag es der Agentur, die Bemühungen der Mitgliedstaaten und der Organe der Europäischen Union im Hinblick auf eine kollektive Abwehrfähigkeit der Union zu unterstützen. So bauen die der Agentur im Bereich der operativen Zusammenarbeit übertragenen Aufgaben auf den Bestimmungen der Richtlinie über die Sicherheit von Netz- und Informationssystemen2 auf DerVorschlag sieht vor, der Agentur der Europäischen Union für Netz- und Informationssicherheit das Sekretariat des Netzwerks von Computer-Notfallteams sowie die Zuständigkeit für die Bestimmungen der aktuellen Verordnung über die Agentur der Europäischen Union für Netz- und Informationssicherheit3 zu übertragen, in der bereits die Möglichkeit der Mitgliedstaaten und der Organe der Europäischen Union vorgesehen ist, bei einem schwerwiegenden Verstoß gegen die Sicherheitsvorschriften Unterstützung zu beantragen, und für die neuen politischen Initiativen auf Unionsebene. Durch diese Aufgaben werden die Aufgaben und Zuständigkeiten der Mitgliedstaaten weder ersetzt noch überlagert. Sie zielen vielmehr darauf ab, die Mitgliedstaaten dabei zu unterstützen, ihre Fähigkeiten zur Verhütung, Erkennung und Bewältigung von Sicherheitsvorfällen zu verbessern, und zur operativen Zusammenarbeit auf Unionsebene beizutragen, insbesondere bei grenzüberschreitenden Angelegenheiten.

Was die Funktion der Mitgliedstaaten im geplanten Zertifizierungsrahmen betrifft, so werden diese sowohl im Rahmen der im Vorschlag vorgesehenen Europäischen Gruppe für die Cybersicherheitszertifizierung eine grundlegende Rolle spielen, indem sie der Kommission die Ausarbeitung der Zertifizierungssysteme vorschlagen und die Agentur der Europäischen Union für Netz- und Informationssicherheit bei der Ausarbeitung und Überprüfung der Zertifizierungssysteme unterstützen, als auch am Prüfterfahren für Durchführungsrechtsakte zur Einrichtung der einzelnen Systeme beteiligt sein. Wenngleich die Agentur der Europäischen Union für Netz- und Informationssicherheit an der Ausarbeitung der Zertifizierungssysteme beteiligt sein wird, wird der Betrieb der Systeme, einschließlich der Erprobung von Produkten in Laboratorien, der Ausstellung von Zertifizierungen sowie Aufsichts- und Durchsetzungstätigkeiten, weiterhin in die Zuständigkeit der Mitgliedstaaten fallen und auf nationaler Ebene erfolgen.

Des Weiteren hat die Kommission sorgfältig geprüft, ob ein verbindliches oder ein freiwilliges Zertifizierungssystem eingeführt werden sollte. Obwohl der Vorschlag klare Bestimmungen für die Einführung von Zertifizierungssystemen sowie ein System zur Sanktionierung von Verstößen umfasst, wurde in Anbetracht der Vielzahl der potenziell betroffenen Bereiche sowie Produkte und Dienstleistungen der Informations- und Kommunikationstechnologie beschlossen, dass die Umsetzung der Zertifizierungssysteme auf freiwilliger Basis erfolgen sollte. Sollte das Unionsrecht jedoch für bestimmte Bereiche oder Produktkategorien anderslautende Bestimmungen enthalten, so ist es möglich, die Umsetzung der in diesem Rahmen festgelegten Regelungen verbindlich anzuordnen.

Was die Bedenken hinsichtlich der unzureichenden Koordinierung mit anderen politischen Maßnahmen der Europäischen Union betrifft, so wird in dem Vorschlag betont, dass in anderen Rechtsakten der Union festgelegte spezifische Bestimmungen in Bezug auf eine freiwillige oder verbindliche Zertifizierung, wie die Richtlinie über Radioausrüstung, die Verordnung über die elektronische Identifizierung und Vertrauensdienstes oder die Datenschutz-Grundverordnung6, vom vorgeschlagenen Zertifizierungsrahmen unberührt bleiben.

In der Gemeinsamen Mitteilung an das Europäische Parlament und den Rat -"Abwehrfähigkeit, Abschreckung und Abwehr: die Cybersicherheit in der EU wirksam erhöhen" (JOIN(201 7) 450 final) betonte die Kommission zudem, dass derzeit Arbeiten unternommen werden, um die spezifischen Herausforderungen hinsichtlich der Haftung, die sich im Zusammenhang mit den digitalen Technologien ergeben, sowie die möglichen Auswirkungen auf den aktuellen Rechtsrahmen zu prüfen. In dieser Hinsicht wird die Kommission auch die Ergebnisse der Bewertung der Richtlinie über die Haftung für fehlerhafte Produkte' sowie der Richtlinie über Maschinens berücksichtigen.