Verbesserung der Cybersicherheit oder Beseitigung "unerwünschter" Marken

Damals im Februar 2023. Das Europäische Parlament hat im Rahmen eines Briefings die Richtlinie 2022/2555 der Europäischen Union, besser bekannt als NIS2, geprüft und unterzeichnet, die das Ziel hat, die Cybersicherheit in der Union zu erhöhen. Die wichtigsten Bestimmungen der Richtlinie umfassen die folgenden Schlüsselaspekte:

1. Erweiterter Geltungsbereich: Die NIS2 erweitert die Kategorien von Organisationen, die unter die Richtlinie fallen. Dazu gehören nun sowohl "wesentliche" als auch "lebenswichtige" Organisationen. Zu den wesentlichen Organisationen gehören Energieunternehmen, Verkehrsdienste, Banken, Finanzmarktinfrastruktur, Gesundheitswesen, digitale Infrastruktur und Regierungsbehörden. Zu den wichtigen Organisationen gehören Postdienste, die chemische Industrie, die Lebensmittelindustrie, Hersteller von medizinischen Geräten und andere.
2. Obligatorische Mindestsicherheitskontrollen: NIS2 verlangt von allen Organisationen die Umsetzung von mindestens 10 grundlegenden Sicherheitselementen, einschließlich der Behandlung von Zwischenfällen, der Sicherheit der Lieferkette, der Verwendung von Kryptographie, der Geschäftskontinuität und grundlegender Cyber-Hygiene (wie Multi-Faktor-Authentifizierung und Mitarbeiterschulung)(Infoblox Blog)(DataGuard).
3. Meldung von Cybervorfällen: Die Richtlinie sieht ein abgestuftes Meldesystem für Vorfälle mit strengen Fristen vor. Organisationen müssen ihrem CSIRT (Computer Security Incident Response Team) oder der zuständigen Behörde innerhalb von 24 Stunden nach Entdeckung eines Vorfalls wesentliche Vorfälle melden, gefolgt von 72 Stunden für die Benachrichtigung und, falls erforderlich, für die Zwischenberichterstattung.
4. Risikomanagement: Organisationen sollten regelmäßig Risikobewertungen ihrer IT-Systeme durchführen, potenzielle Bedrohungen und Schwachstellen ermitteln und Maßnahmen zu deren Abschwächung ergreifen. Dazu gehört auch die Ausarbeitung von Plänen zur Aufrechterhaltung des Geschäftsbetriebs und zur Wiederherstellung von Zwischenfällen, um Ausfallzeiten zu minimieren und die Kontinuität wichtiger Dienste zu gewährleisten.
5. Sanktionen und Durchsetzungsmaßnahmen: Die nationalen Behörden haben das Recht, zusätzliche Maßnahmen zu ergreifen, wie z. B. Anordnungen zur Aussetzung oder Einschränkung der Aktivitäten einer Organisation, um die Sicherheit von Netzen und Informationssystemen zu schützen(DataGuard).

Was bedeutet das im Klartext? Es bedeutet, dass nicht mehr jedes Gerät von Internet-Diensteanbietern (ISP) und Telefondiensteanbietern bereitgestellt werden kann, sondern nur noch Geräte, die bestimmte Anforderungen und Zertifizierungen erfüllen.
Und Geräte bekannter chinesischer Unternehmen wie Huawei und ZTE fallen in diese Risikozone (obwohl in den Dokumenten keine Namen von Ländern oder Unternehmen genannt werden). Im Zusammenhang mit Geräten chinesischer Unternehmen beziehen sich die Hauptbedenken auf die Sicherheitsaspekte der Lieferketten und die Risiken der Verwendung von Geräten und Technologien aus Ländern außerhalb der EU, einschließlich China. Dies bedroht alle bereits installierten Geräte dieser chinesischen Marken. Denjenigen, die als kritisch und wichtig eingestuft werden, wird eine Frist von sieben Jahren eingeräumt, um diese Hardware oder Software zu entfernen. Telekommunikationsbetreiber, deren Jahresumsatz aus Telekommunikationstätigkeiten im vorangegangenen Geschäftsjahr 10 Mio. PLN überstieg, müssen dies jedoch innerhalb von vier Jahren tun - eine Bestimmung, die für Geräte gilt, die für die Netzsicherheit kritische Dienste erbringen. Die Umsatzschwelle von 10 Mio. PLN wurde bereits von vielen mittelgroßen lokalen Internetanbietern überschritten, was bedeutet, dass nicht nur die größten Telekommunikationsunternehmen, die z. B. 5G-Netze aufbauen, unter die Regelung fallen werden.

Wie Sie wissen, haben die USA aus Gründen der nationalen Sicherheit ein Verbot für die Nutzung von Netzwerkausrüstung chinesischer Unternehmen wie Huawei und ZTE verhängt. Die US-amerikanische Federal Communications Commission (FCC) hat beschlossen, die Lizenzierung und Nutzung der Geräte dieser Unternehmen zu verbieten, weil sie als Bedrohung der nationalen Sicherheit angesehen werden. Der Schritt war Teil der Umsetzung des SAFE Equipment Act von 2021, der darauf abzielt, Risiken im Zusammenhang mit dem Einsatz ausländischer Ausrüstung in kritischen Infrastrukturen zu verhindern(Federal Communications Commission).

Im Rahmen der neuen Gesetzgebung müssen sich US-Unternehmen von Ausrüstungen chinesischer Unternehmen trennen, die als Bedrohung für die nationale Sicherheit eingestuft wurden. Zu den Maßnahmen gehören der Austausch vorhandener Ausrüstung und das Verbot ihres weiteren Erwerbs und ihrer Nutzung(Orrick).

Aufgrund der instabilen politischen Lage in der Welt, in der sich China mehr dem Osten zuwendet, sehen viele Länder ihre Technologien als Bedrohung durch China an und versuchen daher, die Verwendung chinesischer Ausrüstung für kritische Infrastrukturen zu begrenzen (aus Angst vor Spionage oder Sabotage).

Spanien hat bereits mehr als 500 Mio. EUR für die Entwicklung von 5G-Netzen in ländlichen Gebieten bereitgestellt, hat aber erklärt, dass einige als"risikoreich" eingestufte Anbieter von dem Programm ausgeschlossen werden. Die spanische Tochtergesellschaft von Huawei hat eine sogenannte. "Verwaltungsbeschwerde" eingelegt und behauptet, dass der Ausschluss einzelner Anbieter "unverhältnismäßig", "politisch motiviert" und schlichtweg illegal sei. Seit Juni 2023. Die Europäische Kommission übt Druck auf die EU-Länder aus und fordert sie auf, Huawei- und ZTE-Geräte abzugeben. Gleichzeitig sind Deutschland und in geringerem Maße auch Spanien stärker als andere EU-Länder auf Geräte bestimmter chinesischer Hersteller angewiesen, was die EU als "inakzeptabel" bezeichnet. Deutschland erwägt bereits, auf solche Geräte zu verzichten, und die chinesische Botschaft hat erklärt, dass die VR China solchen unfreundlichen Schritten "nicht gleichgültig gegenüberstehen wird".

In Spanien sind 38 % der 5G-Netze ab Dezember 2022 mit Huawei-Geräten ausgestattet, in Deutschland sind es 59 % (17 % in Frankreich und 51 % in Italien). Es ist bekannt, dass Huawei in Portugal bereits Berufung gegen eine Entscheidung eingelegt hat, die es lokalen Betreibern verbietet, die Ausrüstung des Unternehmens für den Aufbau von 5G-Netzen zu verwenden.

Was bedeuten all diese modischen Schlagworte über Cybersicherheit für den durchschnittlichen Internetnutzer und was wird sich für ihn ändern? Ja, im Grunde wird sich nichts ändern, denn all diese Gesetze und Änderungen gehen auf die Kappe der Internet- und Kommunikationsanbieter. Wenn das Gesetz jedoch in Kraft tritt und Ihr Anbieter die Geräte nicht umrüstet oder einfach nicht darauf vorbereitet ist, wird Ihr Internet zu Hause wahrscheinlich verschwinden, Ihr mobiles Internet wird verschwinden und Ihre 5G-Verbindung wird unterbrochen werden. Und das Schlimmste daran ist, dass der Durchschnittsnutzer nichts ändern kann, sondern nur darauf warten muss, dass der Betreiber die notwendigen Maßnahmen ergreift, um die aktuelle Situation schnell zu beheben. Und wenn der Betreiber keine Ersatzgeräte hat, kann die Unterbrechung der Kommunikation und des Internets nicht nur ein paar Stunden, sondern auch mehrere Tage oder sogar Monate dauern.

Die NIS2-Richtlinie der Europäischen Union setzt ehrgeizige Ziele für die Verbesserung der Cybersicherheit, indem sie den Kreis der erfassten Organisationen erweitert und strenge Sicherheits- und Meldeanforderungen festlegt. Eine wichtige Folge dieser Maßnahmen ist die Verschärfung der Anforderungen an die von Internetdienstleistern und Telekommunikationsunternehmen verwendeten Geräte, was angesichts der derzeitigen Beschränkungen für Geräte chinesischer Hersteller wie Huawei und ZTE von besonderer Bedeutung ist. Diese Änderungen könnten sich erheblich auf die Struktur des Telekommunikationsmarktes in Europa auswirken, indem sie die Aufrüstung der Netzausrüstung beschleunigen und das Gesamtniveau der Cyber-Resilienz in strategisch wichtigen Branchen erhöhen. Gleichzeitig stärkt die Richtlinie die Position der Europäischen Union in der globalen Cybersicherheitsarena, indem sie eine stärkere Kontrolle über die Quellen potenzieller Bedrohungen ermöglicht und die Sicherheitsanforderungen an führende globale Standards anpasst.
Die Richtlinie kann auch erhebliche Auswirkungen auf die ISP-Ausrüstung auf dem polnischen Telekommunikationsmarkt haben. ISPs und Telekommunikationsbetreiber hoffen, dass der Minister für Digitalisierung nicht versucht, chinesische Unternehmen als Hochrisikoanbieter zu stigmatisieren, und dass die Vorschriften nur eine Bedrohung darstellen werden. Es ist jedoch immer zu bedenken, dass die Politik und die internationale Lage die polnische Regierung dazu bringen können, noch schneller zu handeln und konkrete Entscheidungen zu treffen.

Autor:
Aliaksandr Roslikau