Die Europäische Kommission, das Exekutivorgan der Europäischen Union (EU), hat neue Cybersicherheitsgesetze vorgeschlagen, die die Mitgliedstaaten dazu verpflichten würden, “Hochrisiko”-Anbieter ausländischer Anbieter aus kritischer Informations- und Kommunikationstechnologieinfrastruktur (IKT), insbesondere in Telekommunikationsnetzen, zu entfernen. Die Überarbeitung zielt darauf ab, die Verteidigung gegen Cyberbedrohungen zu stärken und Lieferketten für wichtige Infrastrukturen im gesamten Block zu sichern.
Im Rahmen des Vorschlags würde die EU gemeinsame Risikobewertungen der Lieferanten durchführen und Beschränkungen oder Verbote für Geräte und Dienstleistungen verhängen, die nationale Sicherheitsbedenken darstellen. Die neuen Regeln würden etwa 18 kritische Sektoren abdecken, darunter Mobilfunknetze, Cloud-Dienste, medizinische Geräte und Grenzsicherheitssysteme, und der Kommission die Befugnis geben, Risikobewertungen zwischen den Mitgliedstaaten zu koordinieren.
Die Gesetzgebung baut auf früheren EU-Bestrebungen wie dem 5G Security Toolbox auf, einem 2020 eingeführten freiwilligen Rahmenwerk, der die Mitgliedstaaten dazu ermutigte, die Abhängigkeit von als “Hochrisiko” eingestuften Lieferanten ohne rechtlich bindende Anforderungen zu begrenzen. Beamte haben zuvor Bedenken hinsichtlich potenzieller Risiken im Zusammenhang mit Technologieprodukten bestimmter Unternehmen aus Drittländern geäußert, obwohl im Entwurf des Textes keine konkreten Firmen genannt werden.
Telekommunikationsbetreiber und andere Infrastrukturanbieter erhalten Übergangsfristen, um als Hochrisiko-gedeutete Geräte zu entfernen oder zu ersetzen, sobald eine Lieferantenliste nach dem Gesetz festgelegt ist. In Vorschlägen, die von Nachrichtenorganisationen eingesehen werden, hätten die Mitgliedstaaten bis zu 36 Monate Zeit, solche Geräte nach der Veröffentlichung der Liste in Mobilfunknetzen auszumustern.
Die Überarbeitung würde außerdem das bestehende EU-Cybersicherheitsgesetz überarbeiten, das Cybersicherheitszertifizierungsrahmen und -rollen für die EU-Agentur für Cybersicherheit (ENISA) festlegt, und es um verpflichtende Lieferantenbeschränkungen im Rahmen umfassenderer Bemühungen zur Sicherung von IKT-Lieferketten ausweiten.
Europäische Entscheidungsträger haben die Änderungen als Teil von Bemühungen beschrieben, die “technologische Souveränität” zu stärken und die Abhängigkeit von externen Lieferanten mit potenziellen Verbindungen zu ausländischen Regierungen oder geopolitischen Risiken zu verringern. Befürworter argumentieren, dass umfassende Risikoanalysen und koordinierte Maßnahmen die Widerstandsfähigkeit gegen Cyberangriffe und Lieferkettenbelastungen verbessern werden.
Kritiker der geplanten Überarbeitung äußern Bedenken hinsichtlich möglicher Handels- und Rechtsimplikationen und weisen darauf hin, dass Beschränkungen aufgrund des Herkunftslandes nach den Regeln der Welthandelsorganisation angefochten werden könnten, sofern sie nicht auf technischen Risikonachweisen beruhen. Der Vorschlag muss vom Europäischen Parlament und den EU-Mitgliedstaaten geprüft und genehmigt werden, bevor er Gesetz wird.