Nachricht

< Partner für die Vermarktung grüner Energie
21.12.2022 14:03 Alter: 2 yrs

Schutzmechanismen für kritische Infrastrukturen dringend notwendig

Am 18. Oktober 2022 hat die EU-Kommission dem Europäischen Rat vorgeschlagen die Resilienz der kritischen Infrastruktur der EU weiter zu stärken. Es ist schon „5 nach 12“ bei der EU-weiten Koordinierung der Schutzmechanismen für kritische Infrastrukturen, so Maik Neubauer, Energieexperte und Partner bei DECOMPLEXITY Europe in einem Gastbeitrag für THEMEN!magazin.


Maik Neubauer, Partner DECOMPLEXITY Europe Foto: DECOMPLEXITY Europe

„Die kritischen Einrichtungen Europas sind in größerem Maße miteinander verbunden und voneinander abhängig, wodurch sie im Falle eines Sicherheitsvorfalls durch Kaskadeneffekte anfälliger geworden sind. Das vorhandene Regulierungsinstrumentarium ist jedoch in Anbetracht der aktuellen Sicherheits- und Bedrohungslage für Infrastrukturen nur noch ein „Relikt“ und muss daher dringend angepasst werden.“ Maik Neubauer

Die EU hatte im Jahr 2006 das Europäische Programm für den Schutz kritischer Infrastrukturen (EPSKI) aufgelegt und 2008 eine Richtlinie über europäische kritische Infrastrukturen verabschiedet, die jedoch nur für den Energie- und den Verkehrssektor galt und seitdem nicht aktualisiert wurde. Vor einigen Tagen ist die EU-Kommission zum Thema Kritische Infrastrukturen an die Öffentlichkeit getreten.

Insbesondere der Angriffskrieg Russlands gegen die Ukraine hat neue Risiken, physische Zerstörungen und Cybergefahren mit sich gebracht, die oft kombiniert als hybride Bedrohung auftreten. Die Sabotage an den Nord-Stream-Gaspipelines und andere Sicherheitsvorfälle in jüngster Zeit haben deutlich gemacht, dass die Resilienz der kritischen Infrastrukturen der EU erheblich verstärkt werden muss. Die in den vergangenen Wochen durchgeführten Angriffe auf die ukrainische Energieinfrastruktur haben zudem gezeigt, wie fragil insbesondere die Energienetze als elementarer Eckpfeiler der kritischen Infrastruktur sind.

Was hat die EU-Kommission im Rahmen der Modernisierung empfohlen?

Als zentrales Element der Arbeiten am Aufbau einer Sicherheitsunion hat die EU-Kommission bereits 2020 aktualisierte Vorschriften zur Stärkung der Resilienz kritischer Einrichtungen vorgeschlagen. Mit der kürzlich vereinbarten Richtlinie über die Resilienz kritischer Einrichtungen (die sogenannte CER-Richtlinie) und der überarbeiteten Richtlinie über die Sicherheit von Netzund Informationssystemen (die sogenannte NIS2-Richtlinie) strebt die EU einen aktualisierten und umfassenden Rechtsrahmen an, um sowohl die physische als auch die Cyberresilienz kritischer Infrastrukturen zu stärken. In Anbetracht der sich rasch ändernden Bedrohungslage soll die Umsetzung dieser neuen Vorschriften zudem erheblich beschleunigt werden. Die CER-Richtlinie wird die Richtlinie über kritische europäische Infrastrukturen aus dem Jahr 2008 ablösen.

Der Anwendungsbereich bezieht weitere Branchen ein und soll es den Mitgliedstaaten und kritischen Einrichtungen ermöglichen, gegenseitige Abhängigkeiten und mögliche Kaskadeneffekte eines Sicherheitsvorfalls besser zu steuern. Erfasst sind neben den Ursprungssektoren Energie und Verkehr jetzt auch das Bankenwesen, Finanzmarktinfrastrukturen, Gesundheit, Trinkwasser, Abwasser, digitale Infrastruktur, öffentliche Verwaltung, Raumfahrt und die Lieferketten der Lebensmittelindustrie.

Mit NIS2 noch eine zusätzliche Regulierung für digitale Infrastrukturen

Könnte man die Bereiche nicht in einer Regulierung zusammenfassen? Theoretisch ja, da beide Richtlinien die Resilienz von kritischen Infrastrukturen zum Ziel haben und ähnliche Koordinierungsmechanismen zwischen Betreibern von kritischen Infrastrukturen aber auch den Mitgliedstaaten enthalten. Praktisch würde aber die Integration dieser beiden Regelwerke eine immens hohe Komplexität bei der Auslegung und Umsetzung der Richtlinien erzeugen. Die Pakete sind bereits einzeln „schwere Kost“ und werden lange Umsetzungsprojekte in den beteiligten Sektoren aber auch in den Verwaltungsapparaten der Mitgliedstaaten nach sich ziehen - und diese sind auch nur die „Spitze des Eisbergs“.

Erreichen die Maßnahmen einen wirklichen Schutz von kritischen Assets?

Eine oft gestellte Frage ist, ob die Maßnahmen einen wirklichen Schutz von kritischen Assets erreichen und so die Bevölkerung in Gefährdungssituationen optimal schützen. Aufgrund der Funktion der EU-Kommission kann sie nur grobe Leitlinien zum Schutz der kritischen Infrastrukturen entwerfen. Sie muss dafür Sorge tragen, dass die wesentlichen Sektoren berücksichtigt werden, wichtige Schaltstellen und Sabotageziele klar identifiziert sind und ein Netz von Frühwarnsystemen und Indikatoren in den Mitgliedstaaten aufgebaut werden, die dann im Ernstfall auch einen europäischen Datenaustausch und eine Koordinierung sowie schnelle Wiederherstellung von Systemen und Versorgungsprozessen ermöglichen.

Viele Mitgliedstaaten und Regierungen fliegen immer noch im „Schönwettermodus“. Der Ausfall von kritischen Systemen und Lieferketten sowie potenzielle Kaskadeneffekte wurden bislang nicht ausreichend analysiert und risikotechnisch abgesichert. Bislang ist es glücklicherweise in Europa kaum zu flächendeckenden Ausfällen von Strom- oder anderen Versorgungsnetzen gekommen. Viele Staaten wiegen sich daher immer noch in hoher, aber trügerischer Sicherheit. Die verschärften Vorschläge der Kommission kommen leider viel zu spät, sie sind aber eine solide Basis, um integrierte Frühwarnsysteme aufzubauen.

Was jetzt umgesetzt werden sollte

Zunächst einmal werden die Mitgliedstaaten aufgefordert eine nationale Strategie aufzusetzen und regelmäßig Risikobewertungen durchführen, um zu ermitteln, welche Einrichtungen als kritisch oder lebenswichtig für Gesellschaft und Wirtschaft zu betrachten sind. Kritische Branchen und Betreiber von Einrichtungen müssen zudem eigene Risikobewertungen vornehmen, technische und organisatorische Maßnahmen ergreifen, um ihre Widerstandsfähigkeit zu erhöhen und Sicherheitsvorfälle melden.

Kritische Einrichtungen, die in der EU in den erfassten Sektoren tätig sind und in sechs oder mehr Mitgliedstaaten wesentliche Dienste erbringen, erhalten eine zusätzliche Beratung darüber, wie sie ihren Verpflichtungen zur Risikobewertung und zur Ergreifung von Maßnahmen zur Stärkung der Widerstandsfähigkeit am besten nachkommen können.

Zudem soll eine neue Koordinationsgruppe für die Resilienz kritischer Einrichtungen die Zusammenarbeit zwischen den Mitgliedstaaten und den Austausch von Informationen und bewährten Verfahren erleichtern.

Grafik: DECOMPLEXITY Europe

Der Schutz der kritischen Infrastrukturen innerhalb der Mitgliedstaaten obliegt eben den nationalen Regierungen und entsprechenden Institutionen. Hier liegt aber ein erheblicher Großteil der Arbeit, um Systeme und Prozesse zu schützen und letztendlich die Bevölkerung vor längeren Ausfällen und Schäden zu bewahren.

Maßnahmen nicht ausreichend, um kurzfristiges Gefahrenpotential zu mindern

Um ein kurzfristiges Gefahrenpotential zu mindern, werden die Maßnahmen nicht ausreichen. Denn die neuen Vorschläge werden erst in 2023 in Kraft treten und die Umsetzung wird auf EU-Ebene bereits viele Monate dauern - wenn die Beteiligten schnell sind. Bis diese Maßnahmen in den Zielbranchen und betroffenen Unternehmen ankommen und in funktionierende Prozesse umgesetzt sind, wird es viele Jahre dauern.

Es bleibt nur zu hoffen, dass die Betreiber von kritischen Infrastrukturen, beispielsweise die Stromnetzbetreiber bis dahin keinen schwerwiegenden Cyberoder Sabotageangriffe abwehren müssen, für die sie derzeit noch nicht ausreichend vorbereitet sind. Auch eine Umsetzung der NIS2 oder auch des für die Energie- und Netzwirtschaft spezifischen Network Code für Cybersicherheit wird an dieser Situation nicht viel ändern, da die Unternehmen die Gefährdungen immer noch nicht ernst genug nehmen und meistens erst in einem akuten Bedrohungsszenario nachhaltig aktiv werden.