Der Bericht betont, dass es an einem einheitlichen Vorgehen der Institutionen zur Bekämpfung des Problems fehle und regelmäßige Kontrollen und Verfahren bisher unterblieben seien, wodurch zukünftig erheblicher Schaden entstehen könne. Zwischen 2018 und 2021 hat sich die Anzahl schwerer Cyberattacken auf die Institutionen der EU verzehnfacht. Dabei sei die Arbeit im Homeoffice einer der Gründe: die Mitarbeitenden seien für Cyberbedrohungen nicht ausreichend sensibilisiert und geschult. Ein Rechtsrahmen für die Informations- und Cybersicherheit in den Institutionen existiert bisher nicht.
Die Prüfenden empfehlen ein solides, einheitliches Cybersicherheitskonzept, regelmäßige Kontrollen und Sensibilisierungsprogramme, um die Cybersicherheit in einem höheren Maße zu gewährleisten. Dabei werden die EU-Institutionen aufgefordert, in diesem Bereich enger zu kooperieren und Erfahrungen auszutauschen. Auffällig seien zudem die Unterqualifizierung und Unterfinanzierung der beiden wichtigsten Institutionen zur Gewährleistung der Cybersicherheit die Agentur der Europäischen Union für Cybersicherheit (ENISA) und das Reaktionsteam für IT-Sicherheitsvorfälle (CERT-EU).
Einige der aufgezeigten Defizite werden bereits mit den Verordnungsvorschlägen der Europäischen Kommission vom 22. März 2022 adressiert. So fordert sie, neue Vorschriften zur Verbesserung und Festlegung einheitlicher Maßnahmen für die Cyber- und Informationssicherheit in den Organen, Einrichtungen, Agenturen und Ämtern der EU.
Im Vorschlag zur Cybersicherheitsverordnung schlägt die Kommission einen Rahmen für Governance, Risikomanagement und Kontrolle sowie die Einsetzung eines neuen interinstitutionellen Cybersicherheitsbeirates vor. CERT-EU soll einen Kapazitätsausbau erfahren und somit als zentrales Austausch- und Beratungsgremium für Informationen und Koordinierung von Cyberbedrohungen fungieren. Außerdem soll es in „Cybersicherheitszentrum“ umbenannt werden.
Die Informationssicherheitsverordnung der Kommission determiniert einen Mindestkatalog an Sicherheitsvorschriften und -standards für die einzelnen Einrichtungen sowie deren interinstitutionellen Informationsaustausch.
Weitere Informationen finden Sie hier. (KH)