cepMonitor: Cybersicherheit – Teil 1: ENISA-Reform (Verordnung)
Verordnung über die „EU-Cybersicherheitsagentur“ (ENISA)
Zuletzt aktualisiert am 02. Januar 2019
04.10.2017 Verordnungsvorschlag COM(2017) 477 |
08.06.2018 Rat: Allgemeine Ausrichtung |
10.07.2018 EP-Auschuss: Bericht |
10.12.2018 Kommission, Rat und EP: Trilogergebnis |
|
---|---|---|---|---|
Name | Die ENISA trägt den Titel „EU-Cybersicherheitsagentur“. |
Die ENISA trägt den Titel „Agentur der Europäischen Union für Cybersicherheit". |
Die ENISA trägt den Titel „Agentur der Europäischen Union für Netz- und Informationssicherheit“. |
Wie Rat. |
Entfristung des Mandats der ENISA | Das Mandat der ENISA wird entfristet (Art. 57 Abs. 4). |
Wie Kommission. |
Wie Kommission. |
Wie Kommission. |
Sitz der ENISA | – |
– |
Der Sitzstaat der ENISA sieht für die ENISA einen einzigen Ort vor (Art. 41 Abs. 2). |
– |
Organisation der ENISA | Die ENISA hat (Art. 12)
– – – – – – – – – – Die Amtszeit des Exekutivdirektors beträgt fünf Jahre (Art. 33 Abs. 5). Die ENISA kann künftig durch Beschluss des Exekutivdirektors in einzelnen Mitgliedstaaten Außenstellen einrichten (Art. 19 Abs. 5). Die Kommission, der Verwaltungsrat und der betroffene Mitgliedstaat müssen der Einrichtung der Außenstelle zustimmen (Art. 19 Abs. 5). – – Der Exekutivrat, der den Verwaltungsrat unterstützt, kann für diesen künftig in dringenden Fällen vorläufige Beschlüsse fassen, „vor allem“ in Verwaltungs- und Haushaltsangelegenheiten (Art. 12 lit. b, Art. 18). |
Die ENISA hat (Art. 12)
Das „Netz nationaler Verbindungsbeamten“ wird vom Verwaltungsrat auf Vorschlag des Exekutivdirektors eingerichtet. Es soll den Austausch von Informationen zwischen der ENISA und den Mitgliedstaaten erleichtern. Es besteht aus je einem Vertreter aus jedem Mitgliedstaat. (Art. 20a) – – – – – – – – – – Die Amtszeit des Exekutivdirektors beträgt vier Jahre (Art. 33 Abs. 5). Die ENISA kann künftig durch Beschluss des Exekutivdirektors in einzelnen Mitgliedstaaten eine oder mehrere Außenstellen einrichten (Art. 19 Abs. 5). Die Kommission und der Verwaltungsrat müssen der Einrichtung der Außenstelle zustimmen. Der Exekutivdirektor muss zudem die Meinung der betroffenen Mitgliedstaaten einholen, inklusive Griechenlands als Sitzstaat der ENISA. (Art. 19 Abs. 5). Sind sich der Exekutivdirektor und die betroffenen Mitgliedstaaten nicht einig, soll der Rat darüber diskutieren (Art. 19 Abs. 5). Die Zahl der Mitarbeiter, die in den Außenstellen arbeiten, darf maximal 40% der Mitarbeiter ausmachen, die in Griechenland als dem Sitzstaat der ENISA arbeiten. In einem einzelnen Mitgliedstaat dürfen maximal 10% der Mitarbeiter arbeiten (Art. 19 Abs. 5). Vom Rat gestrichen. |
Die ENISA hat (Art. 12 und Art. 20a)
– Die „Zertifizierungsgruppe der Interessengruppe“ wird vom Exekutivdirektor eingesetzt (Art. 20a). – Der Exekutivdirektor wählt die Mitglieder aus (Art. 20a). Potentielle Mitglieder sind Sachverständige von einschlägigen Interessenträgern (Art. 20a). Die Zertifizierungsgruppe (Art. 20a)
Wie Kommission. Wie Kommission. Wie Kommission. Wie Kommission. Wie Kommission. Wie Kommission. |
Die ENISA hat (Art. 12 und Art. 20a)
Wie Rat. Es wird eine „Zertifizierungsgruppe der Interessengruppe“ geschaffen (Art. 20a). Die Zertifizierungsgruppe wird gemeinsam von der Kommission und der ENISA geleitet (Art. 20a). Die Kommission wählt die Mitglieder auf Vorschlag der ENISA aus (Art. 20a). Im Wesentlichen wie Kommission. Die Zertifizierungsgruppe (Art. 20a)
Wie Kommission. Wie Rat. Wie Rat. Wie Rat. Wie Rat. Der Exekutivrat, der den Verwaltungsrat unterstützt, kann für diesen künftig in dringenden Fällen vorläufige Beschlüsse fassen, „vor allem“ in Verwaltungs- und Haushaltsangelegenheiten. Dies gilt nicht für Beschlüsse, die einer 2/3-Mehrheit im Verwaltungsrat bedürfen. (Art. 12 lit. b, Art. 18). |
Entwicklung und Umsetzung der EU-Politik und des EU-Rechts | Die ENISA trägt wie bisher zur Entwicklung und Umsetzung der EU-Politik und des EU-Rechts zur Cybersicherheit bei durch Beratung, Vorbereitungsarbeiten und Analysen (Art. 5). Künftig tut sie dies auch durch
|
Wie Kommission. |
Die ENISA trägt wie bisher zur Entwicklung und Umsetzung der EU-Politik und des EU-Rechts zur Cybersicherheit bei durch Beratung, Vorbereitungsarbeiten und Analysen (Art. 5). Künftig tut sie dies auch durch
|
Die ENISA trägt wie bisher zur Entwicklung und Umsetzung der EU-Politik und des EU-Rechts zur Cybersicherheit bei durch Beratung, Vorbereitungsarbeiten und Analysen (Art. 5). Künftig tut sie dies auch durch
|
Aufbau von Fähigkeiten und Kompetenzen gegen Cybersicherheitsvorfälle | Die ENISA unterstützt EU-Einrichtungen und Mitgliedstaaten wie bisher bei der „Verhütung, Erkennung und Analyse“ von Cybersicherheitsvorfällen und bei der „Stärkung ihrer Kapazitäten“. Die Mitgliedstaaten müssen diese Unterstützung bisher beantragen. Künftig kann die ENISA ihnen gegenüber von sich aus tätig werden. (Art. 6 Abs. 1 lit. a und b) Die ENISA unterstützt künftig die Mitgliedstaaten auf deren Antrag beim Aufbau nationaler Computer-Notfallteams (CSIRTs), die Sicherheitsvorfälle auf nationaler Ebene überwachen, Frühwarnungen herausgeben und auf sie reagieren. Ferner unterstützt sie die Mitgliedstaaten auf deren Antrag hin bei der Entwicklung nationaler Strategien für die Sicherheit von Netz- und Informationssystemen und fördert deren EU-weite Verbreitung. (Art. 6 Abs. 1 lit. c und d i.V.m. Art. 7 Abs. 2 und Art. 9 Abs. 5 der NIS-Richtlinie) Für „Betreiber wesentlicher Dienste“ gelten besondere Anforderungen an die Sicherheit ihrer Netz- und Informationssysteme; insbesondere müssen sie Sicherheitsvorfälle an ihre zuständige Behörde oder ihr CSIRT melden (Art. 14 der NIS-Richtlinie). Die Mitgliedstaaten legen jeweils die „Betreiber wesentlicher Dienste“ in ihrem Hoheitsgebiet fest (Art. 8 der NIS-Richtlinie). Die ENISA unterstützt die Mitgliedstaaten künftig im Rahmen der Kooperationsgruppe durch den Austausch bewährter Verfahren bei der Ermittlung der „Betreiber wesentlicher Dienste“ (Art. 6 Abs. 1 lit. i i.V.m. Art. 11 Abs. 3 lit. l der NIS-Richtlinie). Die ENISA fördert künftig den Aufbau von sektorspezifischen Informationsaustausch- und -analysezentren (ISACs), insbesondere für Sektoren mit Betreibern wesentlicher Dienste (Art. 6 Abs. 2). |
Im Wesentlichen wie Kommission. Wie Kommission. Wie Kommission. Die ENISA fördert künftig den Austausch von Informationen innerhalb und zwischen Sektoren, insbesondere für Sektoren mit Betreibern wesentlicher Dienste (Art. 6 Abs. 2). |
Wie Kommission. Wie Kommission. Wie Kommission. Wie Kommission. Die ENISA unterstützt die Mitgliedstaaten und die EU-Institutionen u.a. bei der Festlegung und Umsetzung koordinierter Maßnahmen zur Offenlegung von Schwachstellen (Art. 6 Abs. 1 lit. aa). Die ENISA erleichtert in Zusammenarbeit mit dem Europäischen Forschungsrat (ERC), dem Europäischen Innovations- und Technologieinstitut (EIT) und in Bezug auf die Forschungsprogramme der EU die Einrichtung und den Start eines EU-Projekts für die IT-Sicherheit (Art. 6 Abs. 1 lit. ab). |
Im Wesentlichen wie Kommission. Wie Kommission. Wie Kommission. Wie Rat. Im Wesentlichen wie EP-Ausschuss. – |
Operative Zusammenarbeit auf EU-Ebene | Die ENISA „organisiert“ künftig „jährlich“ EU-weite Übungen und unterstützt die Mitgliedstaaten und EU-Institutionen auf deren Antrag bei der Organisation von Übungen (Art. 7 Abs. 6). Die jährlichen Übungen auf EU-Ebene müssen technische, operationelle und strategische Elemente enthalten (Art. 7 Abs. 6). Die Übungen dienen der Vorbereitung von gemeinsamen Reaktionen auf „massive, grenzüberschreitende Cybersicherheitsvorfällen“ (Art. 7 Abs. 6). – Die ENISA führt künftig das Sekretariat des Netzwerks der nationalen CSIRTs (Art. 7 Abs. 3 i.V.m. Art. 12 Abs. 2 der NIS-Richtlinie). Sie unterstützt die Mitgliedstaaten innerhalb des Netzes dabei, (Art. 7 Abs. 4)
Die ENISA unterstützt oder unternimmt künftig technische Ex-post-Untersuchungen von gemeldeten Sicherheitsvorfällen mit „beträchtlichen oder erheblichen Auswirkungen“, wenn mindestens (Art. 7 Abs. 5)
Die ENISA erstellt künftig regelmäßig einen „technischen Lagebericht“ zur Cybersicherheit in der EU (Art. 7 Abs. 7). |
Die ENISA „organisiert“ künftig „regelmäßig“ EU-weite Übungen und unterstützt die Mitgliedstaaten und EU-Institutionen auf deren Antrag bei der Organisation solcher Übungen (Art. 7 Abs. 6). Die regelmäßigen Übungen auf EU-Ebene können technische, operationelle und strategische Elemente enthalten (Art. 7 Abs. 6). Vom Rat gestrichen. Die ENISA organisiert alle zwei Jahre eine großangelegte Übung, die technische, operationelle und strategische Elemente enthalten muss (Art. 7 Abs. 6). Die ENISA führt künftig das Sekretariat des Netzwerks der nationalen CSIRTs (Art. 7 Abs. 3 i.V.m. Art. 12 Abs. 2 der NIS-Richtlinie). Sie unterstützt die Mitgliedstaaten innerhalb des Netzes auf deren Antrag dabei, (Art. 7 Abs. 4)
Die ENISA unterstützt die Mitgliedstaaten auf deren Antrag künftig dabei technische Ex-post Untersuchungen von gemeldeten Sicherheitsvorfällen mit „beträchtlichen oder erheblichen Auswirkungen“ Auswirkungen vorzunehmen (Art. 7 Abs. 4). Die ENISA erstellt künftig regelmäßig in enger Zusammenarbeit mit den Mitgliedstaaten einen „technischen Lagebericht“ zur Cybersicherheit in der EU (Art. 7 Abs. 7). |
Die ENISA „organisiert“ künftig „regelmäßig“ zumindest „jährlich“ EU-weite Übungen und unterstützt die Mitgliedstaaten und EU-Institutionen auf deren Antrag bei der Organisation solcher Übungen (Art. 7 Abs. 6). Die regelmäßigen, zumindest jährlichen Übungen auf EU-Ebene müssen technische, operationelle und strategische Elemente enthalten (Art. 7 Abs. 6). Wie Kommission. – Die ENISA führt künftig das Sekretariat des Netzwerks der nationalen CSIRTs (Art. 7 Abs. 3 i.V.m. Art. 12 Abs. 2 der NIS-Richtlinie). Sie unterstützt die Mitgliedstaaten innerhalb des Netzes dabei, (Art. 7 Abs. 4)
Die ENISA unterstützt oder unternimmt künftig technische Ex-post-Untersuchungen von gemeldeten Sicherheitsvorfällen mit „beträchtlichen oder erheblichen Auswirkungen“, wenn mindestens (Art. 7 Abs. 5)
Die ENISA erstellt künftig regelmäßig in einen detaillierten „technischen Lagebericht“ zur Cybersicherheit in der EU, dessen Ergebnisse der Exekutivdirektor ggfs. dem Europäischen Parlament darlegen muss (Art. 7 Abs. 7). Die ENISA trägt ggfs. und nach Zustimmung der Kommission zur Cyber-Zusammenarbeit mit dem NATO Cooperative Cyber Defence Centre of Excellence und der NATO Communications and Information (NCI) Academy bei (Art. 7 Abs. 7a). |
Wie Rat. Wie Rat. Im Trilog gestrichen. Die ENISA organisiert alle zwei Jahre eine großangelegte Übung (Art. 7 Abs. 6). Die ENISA führt künftig das Sekretariat des Netzwerks der nationalen CSIRTs (Art. 7 Abs. 3 i.V.m. Art. 12 Abs. 2 der NIS-Richtlinie). Sie unterstützt die Mitgliedstaaten innerhalb des Netzes auf Antrag eines oder mehrerer Mitgliedstaaten dabei, (Art. 7 Abs. 4)
Die ENISA unterstützt die Mitgliedstaaten Antrag eines oder mehrerer Mitgliedstaaten künftig dabei technische Ex-post Untersuchungen von gemeldeten Sicherheitsvorfällen mit „beträchtlichen oder erheblichen Auswirkungen“ Auswirkungen vorzunehmen (Art. 7 Abs. 4). Die ENISA erstellt künftig regelmäßig in enger Zusammenarbeit mit den Mitgliedstaaten einen detaillierten „technischen Lagebericht“ zur Cybersicherheit in der EU (Art. 7 Abs. 7). – |
Technische Fähigkeiten der ENISA | – |
– |
Die ENISA muss technische Fähigkeiten entwickeln, um (Art. 7a)
|
– |
Zentrale Kontaktstelle der ENISA | – |
– |
Die ENISA muss eine zentrale Kontaktstelle einrichten, an die das Europäische Parlament, der Rat, die Kommission und zuständige nationale Stellen Beratungs- und Unterstützungsanfragen richten können (Art. 21a). |
– |
Nächste Schritte im EU-Gesetzgebungsverfahren:
Das Gesetzgebungsverfahren ist abgeschlossen.