ANHANG

Konzeptentwurf zur koordinierten Reaktion auf grenzüberschreitende Cybersicherheitsvorfälle und -krisen großen Ausmaßes

EINFÜHRUNG

Dieser Konzeptentwurf beschäftigt sich mit Cybersicherheitsvorfällen, die so große Störungen hervorrufen, dass der betroffene Mitgliedstaat sie allein nicht bewältigen kann, oder die so weitreichende und beträchtliche Auswirkungen von technischer oder politischer Tragweite auf zwei oder mehr Mitgliedstaaten oder EU-Organe haben, dass rasch koordinierte Maßnahmen zu treffen sind und auf Unionsebene politisch reagiert werden muss.

Solche Cybersicherheitsvorfälle von großem Ausmaß werden als „Cybersicherheitskrisen“ eingestuft.

Im Falle einer EU-weiten Krise, die auch den Cyberbereich betrifft, übernimmt der Rat die Koordinierung auf der politischen Ebene der EU und bedient sich dabei der Integrierten Regelung für die politische Reaktion auf Krisen (IPCR).

Bei der Kommission erfolgt die Koordinierung im Rahmen des Frühwarnsystems „ARGUS“.

Berührt die Krise eine wichtige externe Dimension oder eine Dimension der Gemeinsamen Sicherheits- und Verteidigungspolitik (GSVP), so wird das Krisenreaktionssystem des EAD ausgelöst.

In diesem Konzeptentwurf wird beschrieben, in welcher Form diese bewährten Krisenmechanismen die vorhandenen Cybersicherheitsstellen auf EU-Ebene ebenso wie die Kooperationsmechanismen zwischen den Mitgliedstaaten umfassend nutzen sollten.

Der Konzeptentwurf stellt auf eine Reihe von Leitprinzipien ab (Verhältnismäßigkeit, Subsidiarität, Komplementarität und Vertraulichkeit von Informationen), stellt die Kernziele der Zusammenarbeit (wirksame Reaktion, abgestimmte Lageeinschätzung, Unterrichtung der Öffentlichkeit) auf drei Ebenen (der strategisch-politischen, der operativen und der technischen Ebene) auf, stellt die Mechanismen und Akteure vor und legt die Maßnahmen dar, die zur Erreichung der genannten Kernziele ergriffen werden sollen.

Der Konzeptentwurf deckt nicht den gesamten Krisenmanagementzyklus (Prävention/Eindämmung, Vorsorge, Reaktion, Folgenbewältigung) ab, sondern stellt den Aspekt der Reaktion in den Mittelpunkt. Allerdings werden bestimmte Maßnahmen, insbesondere solche, die der abgestimmten Lageeinschätzung dienen, behandelt.

Wichtig ist, auch zu berücksichtigen, dass Cybersicherheitsvorfälle Ausgangspunkt für weiterreichende Krisen sein können, die auch andere Bereiche betreffen. Da bei den meisten Cybersicherheitskrisen davon ausgegangen werden kann, dass sie sich auf die physische Welt auswirken, bedeutet angemessene Reaktion, dass sowohl im Cyberraum als auch außerhalb eindämmende Maßnahmen zu ergreifen sind. Maßnahmen zur Reaktion auf Cyberkrisen sollten mit anderen Krisenmanagementstrukturen auf europäischer, nationaler und sektoraler Ebene koordiniert werden.

Der Konzeptentwurf berührt keine bereits bestehenden Mechanismen, Regelungen oder Instrumente für bestimmte Sektoren oder Politikbereiche, wie z. B. das europäische GNSS-Programm (Globales Satellitennavigationssystem) (1), noch soll es diese ersetzen.

Leitprinzipien

Bei der Aufstellung der Ziele, der Identifizierung der erforderlichen Maßnahmen und der Zuteilung der Rollen und Zuständigkeiten der einzelnen Akteure oder Mechanismen wurden die folgenden Leiprinzipien angewandt, die auch bei der Ausarbeitung künftiger Durchführungsleitlinien zu berücksichtigen sind.

Verhältnismäßigkeit: Die meisten Cybersicherheitsvorfälle, von denen Mitgliedstaaten betroffen sind, erreichen bei weitem nicht das Ausmaß dessen, was als nationale oder gar europäische „Krise“ eingestuft werden könnte. Die Grundlage für die Zusammenarbeit zwischen den Mitgliedstaaten bei der Bewältigung solcher Vorfälle bilden die durch die NIS-Richtlinie (2) eingerichteten Computer-Notfallteams (CSIRTs). Die nationalen CSIRTs arbeiten zusammen und tauschen täglich auf freiwilliger Basis Informationen untereinander aus, falls erforderlich auch als Reaktion auf Cybersicherheitsvorfälle, die einen oder mehrere Mitgliedstaaten betreffen, und in Übereinstimmung mit den Standardarbeitsanweisungen (SOP) des CSIRTs-Netzwerks. Der Konzeptentwurf sollte daher diese SOP umfassend nutzen; etwaige zusätzliche auf Cybersicherheitskrisen ausgerichtete Aufgaben sollten sich darin widerspiegeln.

Subsidiarität: Das Subsidiaritätsprinzip ist von zentraler Bedeutung. Bei großen Cybersicherheitsvorfällen oder -krisen sind in erster Linie die betroffenen Mitgliedstaaten für die Reaktion zuständig. Aber auch die Kommission, der Europäische Auswärtige Dienst und andere Organe, Einrichtungen und sonstige Stellen der Union spielen eine wichtige Rolle. Diese Rolle ist in der IPCR-Regelung klar definiert, leitet sich aber auch aus dem Unionsrecht oder der einfachen Tatsache ab, dass Cybersicherheitskrisen alle Bereiche des Wirtschaftslebens, die Sicherheit und die internationalen Beziehungen der Union oder auch die Organe selbst treffen können.

Komplementarität: Der Konzeptentwurf trägt bestehenden Krisenmanagementstrukturen auf EU-Ebene in vollem Umfang Rechnung, d. h. der Integrierten Regelung für die politische Reaktion auf Krisen (IPCR), ARGUS und dem Krisenreaktionssystem des EAD, und bettet die neuen Strukturen und Mechanismen der NIS-Richtlinie darin ein, insbesondere das CSIRTs-Netzwerk sowie die einschlägigen Agenturen und Einrichtungen, d. h. die Agentur der Europäischen Union für Netz- und Informationssicherheit (ENISA), das Europäische Zentrum zur Bekämpfung der Cyberkriminalität (EC3) bei Europol, das EU-Zentrum für Informationsgewinnung und -analyse (INTCEN), die Abteilung Aufklärung des Militärstabs der EU (EUMS INT) und das EU-Lagezentrum (SITROOM) im INTCEN, die im Rahmen von SIAC (Single Intelligence Analysis Capacity) zusammenarbeiten, ferner die beim INTEN angesiedelte EU-Analyseeinheit für hybride Bedrohungen und das Computer-Notfallteam für die Organe, Einrichtungen und Agenturen der EU (CERT-EU). Hierbei soll der Konzeptentwurf auch sicherstellen, dass das Zusammenwirken und die Zusammenarbeit unter Vermeidung von Überschneidungen so komplementär wie möglich werden.

Vertraulichkeit von Informationen: Der gesamte Informationsaustausch im Rahmen des Konzeptentwurfs muss mit den geltenden Sicherheits- (3) und Datenschutzvorschriften sowie mit dem Traffic Light Protocol (4) im Einklang stehen. Für den Austausch von Verschlusssachen sind unabhängig von der angewandten Geheimhaltungsregelung die verfügbaren akkreditierten Instrumente zu verwenden. (5) Bei der Verarbeitung personenbezogener Daten werden die anwendbaren EU-Vorschriften eingehalten, insbesondere die Datenschutz-Grundverordnung (6), die e-Datenschutz-Richtlinie (7) und die Verordnung zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union [und] zum freien Datenverkehr (8).

Kernziele

Die Zusammenarbeit im Rahmen des Konzeptentwurfs richtet sich nach dem oben genannten dreistufigen politischen, operativen und technischen Ansatz. Auf jeder Stufe kann die Zusammenarbeit den Informationsaustausch wie auch gemeinsame Aktionen umfassen. Verfolgt werden dabei folgende Kernziele:

—

Wirksame Reaktion: Eine wirksame Abwehr von Cybersicherheitsvorfällen kann vielfältig sein und in technischen Maßnahmen bestehen, an der sich zwei oder mehr Stellen gemeinsam an der Untersuchung der technischen Ursachen des Vorfalls (z. B. Schadsoftware-Analyse) beteiligen, oder in der Feststellung, wie Organisationen herausfinden können, ob sie betroffen sind (z. B. Indicators of compromise — IoC); ferner kann es sich um operative Entscheidungen — auf politischer Ebene — handeln, um festzulegen, wie solche technischen Maßnahmen anzuwenden sind, und somit, je nach Fall, andere Instrumente wie die „Diplomatische Reaktion der EU auf böswillige Cyberaktivitäten“ („Cyber Diplomacy Toolbox“) oder das „Protokoll der EU für das operative Vorgehen bei der Abwehr hybrider Bedrohungen“ („EU-Playbook“) zu aktivieren.

—

Abgestimmte Lageeinschätzung: Für eine koordinierte Reaktion ist ein hinreichendes Verständnis der Ereignisse seitens aller beteiligten Akteure auf allen drei Ebenen (der technischen, der operativen und der politischen Ebene) unerlässlich. Die abgestimmte Lageeinschätzung kann technische Elemente in Bezug auf die Ursachen sowie die Auswirkungen und den Ursprung des Vorfalls umfassen. Da Cybersicherheitsvorfälle die unterschiedlichsten Wirtschaftszweige (Finanz-, Energie-, Verkehrs-, Gesundheitssektor u. a.) betreffen können, müssen die richtigen Informationen im geeigneten Format alle relevanten Akteure zeitnah erreichen.

—

Einigung auf zentrale Botschaften zur Unterrichtung der Öffentlichkeit (9): Mitteilungen in Krisensituationen können für die Eidämmung der negativen Auswirkungen von Cybersicherheitsvorfällen und -krisen eine wichtige Rolle spielen; sie können allerdings auch genutzt werden, um das Verhalten (potenzieller) Aggressoren zu beeinflussen. Die richtige Botschaft kann auch dazu dienen, die zu erwartenden Folgen einer diplomatischen Reaktion klar zu signalisieren, um so Einfluss auf das Angreiferverhalten zu nehmen. Um die Wirksamkeit einer politischen Reaktion zu gewährleisten, müssen die Unterrichtung der Öffentlichkeit, die darauf abzielt, die negativen Auswirkungen von Cybersicherheitsvorfällen und -krisen einzudämmen, und die Unterrichtung der Öffentlichkeit zur Beeinflussung des Aggressors aufeinander abgestimmt sein. Bei der Cybersicherheit ist die Verbreitung korrekter handlungsweisender Informationen darüber, wie die Öffentlichkeit die Auswirkungen eines Cybervorfalls (durch Patches, zusätzliche Maßnahmen zur Vermeidung der Bedrohung usw.) begrenzen kann, besonders wichtig.

ZUSAMMENARBEIT ZWISCHEN DEN MITGLIEDSTAATEN UNTEREINANDER UND MIT DEN AKTEUREN DER EU AUF TECHNISCHER, OPERATIVER UND STRATEGISCH-POLITISCHER EBENE

Eine wirksame Reaktion auf Cybersicherheitsvorfälle oder -krisen von großem Ausmaß steht und fällt mit der Wirksamkeit der technischen, operativen und strategisch-politischen Zusammenarbeit.

Auf jeder der Ebenen sollten die Akteure bestimmte Maßnahmen zur Erreichung der drei Kernziele ergreifen:

—	Koordinierte Reaktion,

—	Abgestimmte Lageeinschätzung,

—	Unterrichtung der Öffentlichkeit.

Solange der Sicherheitsvorfall oder die Krise anhält, warnen, informieren und unterstützen die unteren Ebenen die höheren Ebenen und die höheren Ebenen geben den unteren Ebenen gegebenenfalls Orientierungshilfe (10) und treffen Entscheidungen.

Zusammenarbeit auf der technischen Ebene

Aktionen:

—	Bewältigung von Sicherheitsvorfällen (11) während einer Cybersicherheitskrise,

—	Beobachtung und Überwachung des Sicherheitsvorfalls einschließlich einer ständigen Analyse der Bedrohung und Risiken.

Mögliche Akteure

Auf der technischen Ebene ist der zentrale Mechanismus für die Zusammenarbeit im Rahmen des Konzeptentwurfs das CSIRTs-Netzwerk unter Leitung des Ratsvorsitzes; das Sekretariat wird von der ENISA gestellt.

—	Mitgliedstaaten: — Zuständige Behörden und die durch die NIS-Richtlinie geschaffenen zentralen Anlaufstellen, — CSIRTs.

—	Organe/Einrichtungen/Stellen der EU: — ENISA, — Europol/EC3, — CERT-EU.

—

Europäische Kommission: — Das rund um die Uhr tätige Europäische Notfallabwehrzentrum (Emergency Response Coordination Centre — ERCC) am Standort GD ECHO und die federführende Dienststelle (je nach Art des Sicherheitsvorfalls entweder GD CNECT oder GD HOME), das Generalsekretariat (ARGUS-Sekretariat), GD HR (Direktion Sicherheit), GD DIGIT (IT-Betriebssicherheit), — Für andere EU-Agenturen (12) die jeweilige übergeordnete GD der Kommission oder der EAD (erste Anlaufstelle).

—	EAD: — SIAC (Single Intelligence Analysis Capacity: EU INTCEN und EUMS INT), — EU-Lagezentrum und die benannte geografische oder thematische Dienststelle, — EU-Analyseeinheit für hybride Bedrohungen (Teil des INTCEN — Cybersicherheit im hybriden Kontext).

Abgestimmte Lageeinschätzung:

—

Als Teil der regulären Zusammenarbeit auf technischer Ebene zur Unterstützung der EU-Lageeinschätzung sollte die ENISA auf der Grundlage öffentlich verfügbarer Informationen, ihrer eigenen Analysen und anhand von Berichten, die sie (auf freiwilliger Basis) von den CSIRTs der Mitgliedstaaten oder den zentralen Anlaufstellen gemäß der NIS-Richtlinie, dem Europäischen Zentrum zur Bekämpfung der Cyberkriminalität (EC3) bei Europol und dem CERT-EU und gegebenenfalls dem EU-Zentrum für Informationsgewinnung und -analyse (INTCEN) des Europäischen Auswärtigen Dienstes (EAD) erhalten hat, regelmäßig den EU-Cybersicherheitslagebericht über Cybervorfälle und -bedrohungen erstellen. Der Bericht sollte den einschlägigen Stellen des Rates, der Kommission, der Hohen Vertreterin der Union für Außen- und Sicherheitspolitik und dem CSIRTs-Netzwerk zur Verfügung gestellt werden.

—	Im Falle eines Sicherheitsvorfalls von großem Ausmaß erstellt der Vorsitz des CSIRTs-Netzwerks mit Unterstützung der ENISA einen EU-Cybersicherheitslagebericht (13), der dem Ratsvorsitz, der Kommission und der Hohen Vertreterin über das CSIRT des amtierenden Vorsitzes vorgelegt wird.

—	Alle anderen EU-Agenturen erstatten ihren jeweiligen übergeordneten GDs Bericht; diese erstatten wiederum der federführenden Dienststelle der Kommission Bericht.

—	Das CERT-EU übermittelt dem CSIRTs-Netzwerk, den EU-Organen und -Agenturen (je nach Fall) und ARGUS (sofern aktiviert) technische Berichte.

—	Europol/EC3  (14) und das CERT-EU versorgen das CSIRTs-Netzwerk mit Fachanalysen forensischer Artefakte und anderen technischen Informationen.

—	Einheitliches Analyseverfahren (SIAC) des EAD: Die EU-Analyseeinheit für hybride Bedrohungen erstattet den zuständigen EAD-Abteilungen im Namen des INTCEN Bericht.

Reaktion:

—	Das CSIRTs-Netzwerk tauscht technische Einzelheiten und Analysen über den Vorfall (z. B. IP-Adressen, IoC (15) usw.) aus. Solche Informationen sollten der ENISA unverzüglich, spätestens aber 24 Stunden nach Feststellung des Cybervorfalls zur Verfügung gestellt werden.

—

Die Mitglieder des CSIRTs-Netzwerks arbeiten im Einklang mit den Standardarbeitsanweisungen (SOP) des Netzwerks bei der Analyse der verfügbaren forensischen Artefakte und anderer technischer Informationen im Zusammenhang mit dem Vorfall zusammen, um die Ursache festzustellen und mögliche Eindämmungsmaßnahmen zu identifizieren.

—	Die ENISA unterstützt die CSIRTs im Rahmen ihres Mandats bei ihren technischen Bemühungen mit Know-how. (16)

—	Die CSIRTs der Mitgliedstaaten koordinieren ihre technischen Reaktionsmaßnamen mit Unterstützung der ENISA und der Kommission.

—	Einheitliches Analyseverfahren (SIAC) des EAD: Die EU-Analyseeinheit für hybride Bedrohungen leitet die erste Beweissicherung im Namen des INTCEN ein.

Unterrichtung der Öffentlichkeit:

—	Die CSIRTs bieten technischen Rat (17) und geben Gefährdungswarnungen (18) heraus, die sie an ihre jeweiligen Zielgruppen und die Öffentlichkeit übermitteln, wobei sie die für den betreffenden Fall geltenden Genehmigungsverfahren beachten.

—	Die ENISA unterstützt die Erstellung und Verbreitung gemeinsamer Mitteilungen des CSIRTs-Netzwerks.

—	Die ENISA koordiniert ihre Unterrichtung der Öffentlichkeit mit dem CSIRTs-Netzwerk und dem Sprecherdienst der Kommission.

—	Die ENISA und das EC3 koordinieren ihre Unterrichtung der Öffentlichkeit auf der Grundlage der unter den Mitgliedstaaten vereinbarten abgestimmten Lageeinschätzung. Beide koordinieren ihre Unterrichtung der Öffentlichkeit mit dem Sprecherdienst der Kommission.

—	Berührt die Krise eine Dimension der Gemeinsamen Sicherheits- und Verteidigungspolitik (GSVP), so sollte die Unterrichtung der Öffentlichkeit mit dem EAD und dem Sprecherdienst der Hohen Vertreterin koordiniert werden.

Zusammenarbeit auf der operativen Ebene

Aktionen:

—	Vorbereitung der Beschlussfassung auf der politischen Ebene,

—	Koordinierung des Cyberkrisenmanagements (sofern erforderlich),

—	Bewertung der Auswirkungen und des Ausmaßes des Sicherheitsvorfalls auf EU-Ebene und Empfehlung möglicher Eindämmungsmaßnahmen.

Mögliche Akteure

—	Mitgliedstaaten: — Zuständige Behörden und die durch die NIS-Richtlinie geschaffenen zentralen Anlaufstellen, — CSIRTs, Cybersicherheitsagenturen, — Sonstige nationale Fachbehörden (bei Sicherheitsvorfällen und -krisen, die mehrere Sektoren betreffen).

—	Organe/Einrichtungen/Stellen der EU — ENISA, — Europol/EC3, — CERT-EU.

—	Europäische Kommission — Der (stellvertretende) Generalsekretär, Generalsekretariat (ARGUS-Verfahren), — GD CNECT/HOME, — Sicherheitsstelle der Kommission, — Sonstige Generaldirektionen (bei Sicherheitsvorfällen und -krisen, die mehrere Sektoren betreffen).

—	EAD — Der (stellvertretende) Generalsekretär für Krisenreaktion und SIAC (EU INTCEN und EUMS INT), — EU-Analyseeinheit für hybride Bedrohungen (EU Hybrid Fusion Cell).

—	Rat — Der Ratsvorsitz (Vorsitzender der horizontalen Gruppe „Fragen des Cyberraums“ (HWPCI) oder der AStV (19)), unterstützt durch das Generalsekretariat des Rates oder das PSK (20) und — wenn aktiviert — mit Unterstützung der IPCR-Regelung.

Lageeinschätzung:

—	Hilfe bei der Erstellung politisch-strategischer Lageberichte (z. B. ISAA im Falle einer Aktivierung der IPCR);

—	Die horizontale Ratsarbeitsgruppe „Fragen des Cyberraums“ bereitet je nach Fall die Sitzung des AStV oder des PSK vor;

—

Bei einer Aktivierung der IPCR: — Der Ratsvorsitz kann Rundtischgespräche anberaumen, um sich bei seinen AStV- oder PSK-Vorbereitungen unterstützen zu lassen, und hierzu einschlägige Interessenträger in den Mitgliedstaaten, Organen und Agenturen sowie Dritte (z. B. Nicht-EU-Länder und internationale Organisationen) einladen. Hierbei handelt es sich um Krisensitzungen, auf denen Engpässe ausgemacht und Vorschläge für bereichsübergreifende Maßnahmen eingebracht werden. — Die federführende Dienststelle der Kommission oder der EAD arbeitet als Leiter der ISAA den ISAA-Bericht mit Beiträgen der ENISA, des CSIRTs-Netzwerks, von Europol/EC3, EUMS INT, INTCEN und allen anderen Akteuren aus. Der ISAA-Bericht ist eine EU-weite Bewertung auf der Grundlage der Korrelation zwischen technischen Sicherheitsvorfällen und der Krisenbewertung (Bedrohungsanalyse, Risikobewertung, nicht-technische Folgen und Auswirkungen, nicht cyberbezogene Aspekte des Vorfalls oder der Krise usw.), die auf den Bedarf der operativen und politischen Ebenen zugeschnitten ist.

—	Bei Aktivierung von ARGUS: — CERT-EU und EC3 (21) tragen direkt zum Informationsaustausch innerhalb der Kommission bei.

—	Bei Aktivierung des Krisenreaktionssystems des EAD: — Das SIAC intensiviert seine Datenerhebung, aggregiert die Informationen aus allen Quellen und erstellt die Analyse und Bewertung des Sicherheitsvorfalls.

Reaktion (auf Anfrage der politischen Ebene):

—	Grenzüberschreitende Zusammenarbeit mit der zentralen Anlaufstelle und den zuständigen nationalen Behörden (NIS-Richtlinie) zur Eindämmung der Folgen und Auswirkungen,

—	Aktivierung aller technischen Eindämmungsmaßnahmen und Koordinierung der technischen Kapazitäten, die zur Begrenzung der Folgen der Angriffe auf die betroffenen Informationssysteme erforderlich sind,

—	Zusammenarbeit und, sofern beschlossen, Koordinierung der technischen Kapazitäten mit Blick auf eine gemeinsame oder abgestimmte Reaktion im Einklang mit den SOP des CSIRTs-Netzwerks ,

—	Prüfen des Bedarfs im Hinblick auf eine Zusammenarbeit mit Dritten,

—	Beschlussfassung im Rahmen des ARGUS-Verfahrens (sofern aktiviert),

—	Ausarbeitung von Beschlüssen und Koordinierung im Rahmen der IPCR-Regelung (sofern aktiviert),

—

Unterstützung der EAD-Beschlussfassung über das Krisenreaktionssystem des EAD (sofern aktiviert), auch in Bezug auf Kontakte mit Drittländern und internationalen Organisationen und einschließlich Maßnahmen aller Art, die auf den Schutz von GSVP-Missionen und -Operationen und EU-Delegationen abzielen.

Unterrichtung der Öffentlichkeit:

—	Einigung auf die Unterrichtung der Öffentlichkeit über den Sicherheitsvorfall,

—	Berührt die Krise eine Dimension der Gemeinsamen Sicherheits- und Verteidigungspolitik (GSVP), so sollte die Unterrichtung der Öffentlichkeit mit dem EAD und dem Sprecherdienst der Hohen Vertreterin koordiniert werden.

Zusammenarbeit auf strategisch-politischer Ebene

Mögliche Akteure

—	Für die Mitgliedstaaten, die für Cybersicherheit zuständigen Minister,

—	Für den Europäischen Rat, der Präsident,

—	Für den Rat, der amtierende Ratsvorsitz,

—	Bei Maßnahmen im Rahmen der „Cyber Diplomacy Toolbox“, das PSK und die Horizontale Gruppe,

—	Für die Europäische Kommission, der Präsident oder der stellvertretende Vizepräsident/Kommissar,

—	Die Hohe Vertreterin der Union für Außen- und Sicherheitspolitik/Vizepräsidentin der Europäischen Kommission.

Aktionen: Das strategische und politische Management sowohl der cyberbezogenen als auch der nicht cyberbezogenen Aspekte der Krise, einschließlich der Maßnahmen gemäß dem Rahmen für eine gemeinsame diplomatische Reaktion der EU auf böswillige Cyberaktivitäten.

Abgestimmte Lageeinschätzung:

—	Identifizierung der Auswirkungen der durch die Krise ausgelösten Störungen auf das Funktionieren der Union.

Reaktion:

—	Aktivierung zusätzlicher Krisenmanagementmechanismen/-instrumente je nach Art und Tragweite des Sicherheitsvorfalls. Dies kann z. B. der Katastrophenschutzmechanismus sein,

—	Maßnahmen gemäß dem Rahmen für eine gemeinsame diplomatische Reaktion der EU auf böswillige Cyberaktivitäten,

—	Bereitstellung von Notfallhilfe für betroffene Mitgliedstaaten, z. B. Aktivierung des Cybersicherheits-Notfallfonds (22), sobald dieser anwendbar ist,

—	Gegebenenfalls Zusammenarbeit und Koordinierung mit internationalen Organisationen, z. B. mit den Vereinten Nationen (VN), der Organisation für Sicherheit und Zusammenarbeit in Europa (OSZE) und insbesondere NATO,

—	Prüfung der Konsequenzen für die nationale Sicherheit und Verteidigung.

Unterrichtung der Öffentlichkeit:

Einigung auf eine gemeinsame Kommunikationsstrategie gegenüber der Öffentlichkeit.

KOORDINIERTE REAKTION MIT DEN MITGLIEDSTAATEN AUF EU-EBENE IM RAHMEN DER IPCR-REGELUNG

Gemäß dem Grundsatz der Komplementarität auf EU-Ebene werden in diesem Abschnitt die Kernziele und Aufgaben sowie die Maßnahmen der Behörden der Mitgliedstaaten, des CSIRTs-Netzwerks, der ENISA, des CERT-EU, von Europol/EC3, INTCEN, der EU-Analyseeinheit für hybride Bedrohungen und der horizontalen Gruppe „Fragen des Cyberraums“ des Rates im Rahmen des IPCR-Verfahrens behandelt. Es wird davon ausgegangen, dass die Akteure in Überstimmung mit den auf EU- oder nationaler Ebene festgelegten Verfahren agieren.

Wichtig ist, dass, wie in Abbildung 1 dargestellt, die Maßnahmen auf nationaler Ebene wie auch (gegebenenfalls) die Zusammenarbeit im Rahmen des CSIRTs-Netzwerks unabhängig von der Aktivierung der EU-Krisenmanagementmechanismen bei allen Sicherheitsvorfällen/-krisen durchgehend nach dem Subsidiaritätsprinzip und dem Verhältnismäßigkeitsgrundsatz durchgeführt werden.

Abbildung 1

Cybersicherheitsvorfall/Krisenreaktion auf EU-Ebene

Alle oben beschriebenen Maßnahmen sind in Überstimmung mit den Standardarbeitsanweisungen/-regeln der betreffenden Kooperationsmechanismen und gemäß den festgelegten Mandaten und Zuständigkeiten der einzelnen Akteure und Einrichtungen durchzuführen. Diese Verfahren/Regeln müssen unter Umständen ergänzt oder angepasst werden, damit eine bestmögliche Zusammenarbeit und wirksame Reaktion auf Cybersicherheitsvorfälle und -krisen von großem Ausmaß erreicht werden können.

Möglicherweise müssen nicht alle nachstehend genannten Akteure bei einem bestimmten Sicherheitsvorfall aktiv werden. Dennoch sollten der Konzeptentwurf und die einschlägigen Standardarbeitsanweisungen der Kooperationsmechanismen die Möglichkeit ihrer Mitwirkung vorsehen.

Angesichts der unterschiedlichen Auswirkungen, die Cybersicherheitsvorfälle und -krisen auf die Gesellschaft haben können, ist bei der Einbeziehung branchenspezifischer Akteure auf allen Ebenen ein hoher Grad an Flexibilität erforderlich, und jegliche angemessene Reaktion wird stets sowohl cyberbezogene wie auch nicht cyberbezogene Maßnahmen umfassen.

Cybersicherheitskrisenmanagement — Integration der Cybersicherheit in das IPCR-Verfahren

Die IPCR-Regelung, die in den IPCR-SOP (23) beschrieben ist, umfasst nacheinander die nachstehend beschriebenen Stufen (einige dieser Stufen sind situationsabhängig).

Auf jeder Stufe werden cybersicherheitsspezifische Maßnahmen und Akteure festgelegt. Aus Gründen der Übersichtlichkeit wird bei jeder Stufe zunächst der Wortlaut der IPCR-SOP wiedergegeben; anschließend werden die Maßnahmen gemäß dem Konzeptentwurf genannt. Bei diesem stufenweisen Ansatz lässt sich das aktuelle Defizit bei den erforderlichen Kapazitäten und Verfahren, das eine wirksame Reaktion auf Cybersicherheitskrisen behindert, klar feststellen.

In Abbildung 2 (24) ist das IPCR-Verfahren grafisch dargestellt. Die neuen Elemente sind blau unterlegt.

Abbildung 2

Cybersicherheitsspezifische Elemente in der IPCR

Hinweis: Die EU muss über Maßnahmen zur Prävention und zur Stärkung der Abwehrbereitschaft verfügen, um auf hybride Bedrohungen im Cyberraum reagieren zu können, die dazu bestimmt sind, unterhalb der Schwelle einer erkennbaren Krise zu liegen. Es ist die Aufgabe der EU-Analyseeinheit für hybride Bedrohungen, rasch relevante Sicherheitsvorfälle zu analysieren und die geeigneten Koordinierungsstrukturen zu informieren. Die regelmäßige Berichterstattung der EU-Analyseeinheit kann durch Unterrichtung der sektorspezifischen Entscheidungsträger zu einer besseren Abwehrbereitschaft beitragen.

—

Stufe 1 — Regelmäßige sektorspezifische Überwachung und Warnung: Die vorhandenen regelmäßigen sektorspezifischen Lageberichte und Warnungen geben dem Ratsvorsitz Hinweise auf eine sich anbahnende Krise und ihre mögliche Entwicklung. — Identifiziertes Defizit: Derzeit gibt es keine regelmäßigen, koordinierten Cybersicherheitslageberichte und -warnungen im Hinblick auf Cybersicherheitsvorfälle (und -bedrohungen) auf EU-Ebene. — Konzeptentwurf: EU-Cybersicherheitsüberwachung/-Berichterstattung — Die ENISA wird auf der Grundlage öffentlich verfügbarer Informationen, ihrer eigenen Analysen und anhand von Berichten, die sie (auf freiwilliger Basis) von den CSIRTs der Mitgliedstaaten oder den zentralen Anlaufstellen gemäß der NIS-Richtlinie, dem Europäischen Zentrum zur Bekämpfung der Cyberkriminalität (EC3) bei Europol und dem CERT-EU, und gegebenenfalls dem EU-Zentrum für Informationsgewinnung und -analyse (INTCEN) des Europäischen Auswärtigen Dienstes (EAD) erhalten hat, einen regelmäßigen technischen EU-Cybersicherheitslagebericht über Cybervorfälle und -bedrohungen ausarbeiten. Der Bericht sollte den einschlägigen Stellen des Rates, der Kommission und dem CSIRTs-Netzwerk zur Verfügung gestellt werden. — Im Namen des SIAC sollte die EU-Analyseeinheit für hybride Bedrohungen einen operativen EU-Cybersicherheitslagebericht erstellen. Mit dem Bericht wird ferner der Rahmen für eine gemeinsame diplomatische Reaktion der EU auf böswillige Cyberaktivitäten unterstützt. — Beide Berichte werden an die Interessenträger in der EU und den Mitgliedstaaten übermittelt, um zu deren Lageeinschätzung beizutragen, die Beschlussfassung zu untermauern und die grenzüberschreitende regionale Zusammenarbeit zu fördern.

Nach Feststellung eines Sicherheitsvorfalls

—

Stufe 2 — Analyse und Beratung: Auf der Grundlage der verfügbaren Überwachung und Warnung unterrichten sich die Kommissionsdienststellen, der EAD und das Generalsekretariat des Rates gegenseitig über mögliche Entwicklungen, um den Vorsitz in Bezug auf eine mögliche (vollständige oder auf den Informationsaustausch beschränkte) Aktivierung der IPCR beraten zu können. — Konzeptentwurf: — Für die Kommission: GD CNECT, GD HOME, GD HR.DS und GD DIGIT, mit Unterstützung von ENISA, EC3 und CERT-EU; — EAD: Die EU-Analyseeinheit für hybride Bedrohungen, die auf die Arbeit des SITROOM und auf nachrichtendienstliche Quellen zurückgreift, liefert die Lageeinschätzung der tatsächlichen und potenziellen hybriden Bedrohungen (einschließlich der Cyberbedrohungen) der EU und ihrer Partner. Ergibt die Analyse und Bewertung der EU-Analyseeinheit für hybride Bedrohungen, dass eine mögliche Bedrohung für einen Mitgliedstaat, ein Partnerland oder eine Partnerorganisation besteht, benachrichtigt das INTCEN im Einklang mit den vorgeschriebenen Verfahren (in erster Instanz) die operative Ebene. Die operative Ebene arbeitet daraufhin Empfehlungen für die politisch-strategische Ebene aus und veranlasst unter Umständen die Aktivierung der Krisenmanagementregelungen (z. B. des EAD-Krisenreaktionssystems oder die IPCR-Überwachungswebsite); — Der Vorsitz des CSIRTs-Netzwerks erstellt mit Unterstützung der ENISA einen EU-Cybersicherheitslagebericht (25), der dem Ratsvorsitz, der Kommission und der Hohen Vertreterin über das CSIRT dem amtierenden Vorsitz vorgelegt wird.

—

Stufe 3 — Bewertung/Beschluss zur IPCR-Aktivierung: Der Vorsitz beurteilt, ob politische Koordinierung, Informationsaustausch oder Beschlussfassung auf EU-Ebene erforderlich ist. Zu diesem Zweck kann der Ratsvorsitz eine informelle Rundtischsitzung einberufen. Der Ratsvorsitz identifiziert zunächst die Bereiche, in denen der AStV oder der Rat zu beteiligen ist. Dies stellt die Grundlage für Leitlinien zur Erstellung der Berichte der Unterstützungsfähigkeit „Integrierte Lageeinschätzung und -auswertung“ (ISAA) dar. Der Vorsitz wird in Anbetracht der Merkmale der Krise, ihrer möglichen Folgen und der diesbezüglichen politischen Notwendigkeiten entscheiden, ob es angemessen ist, die einschlägigen Ratsgruppen und/oder den AStV und/oder das PSK einzuberufen. — Konzeptentwurf: — Teilnehmer der Rundtischgespräche: — Die Kommissionsdienststellen und der EAD beraten den Vorsitz in Bezug auf ihre jeweiligen Zuständigkeitsbereiche; — Die Mitglieder der Mitgliedstaaten in der horizontalen Gruppe „Fragen des Cyberraums“, unterstützt durch die Sachverständigen aus den Hauptstädten (CSIRTs, für die Cybersicherheit zuständige Behörden, sonstige); — Politisch-strategische Orientierung für die ISAA-Berichte auf der Grundlage des aktuellen EU-Cybersicherheitslageberichts und weiterer, von den Rundtischteilnehmern zur Verfügung gestellten Informationen; — Einschlägige Arbeitsgruppen und Ausschüsse: — Horizontale Gruppe „Fragen des Cyberraums“ des Rates. Die Kommission, der EAD und das Generalsekretariat des Rates können in völligem Einvernehmen und unter Beteiligung des Vorsitzes außerdem beschließen, die IPCR durch Anlegen einer Krisenwebsite im „Informationsaustausch-Modus“ zu aktivieren, um die Voraussetzungen für eine eventuelle vollständige Aktivierung zu schaffen.

—

Stufe 4 — IPCR-Aktivierung/Einholung und Austausch von Informationen: Im Falle der (vollständigen oder auf den Informationsaustausch beschränkten) Aktivierung wird auf der IPCR-Web-Plattform eine Krisenwebsite erstellt, die den spezifischen Informationsaustausch über Aspekte ermöglicht, die an die ISAA weitergegeben werden und der Vorbereitung der Debatte auf politischer Ebene dienen. Welche Dienststelle in der ISAA federführend ist (eine Kommissionsdienststelle oder der EAD), hängt vom Einzelfall ab.

—

Stufe 5 — ISAA-Erstellung: Beginn der Ausarbeitung der ISAA-Berichte. Die Kommission/der EAD erstellt ISAA-Berichte gemäß den ISAA-SOP und kann des Weiteren den Informationsaustausch über die IPCR-Web-Plattform fördern oder besondere Informationsanfragen herausgeben. Die ISAA-Berichte sind auf den Bedarf auf politischer Ebene (d. h. AStV oder Rat) — der vom Ratsvorsitz festgelegt und in seinen Leitlinien erläutert wird — ausgelegt und ermöglichen sowohl einen strategischen Überblick über die Lage als auch eine fundierte Erörterung der vom Ratsvorsitz angesetzten Tagesordnungspunkte. Im Einklang mit den ISAA-SOP wird es von der Art der Cybersicherheitskrise abhängen, ob der ISAA-Bericht von einer Kommissionsdienststelle (GD CNECT, GD HOME) oder vom EAD erstellt wird. Nach der Aktivierung der IPCR wird der Ratsvorsitz die Schwerpunkte der ISAA darlegen, um so das politische Koordinierungs- und/oder Beschlussfassungsverfahren im Rat zu unterstützen. Der Ratsvorsitz wird nach Rücksprache mit den Kommissionsdienststellen/dem EAD auch den Zeitpunkt des Berichts festlegen. — Konzeptentwurf: — Der ISAA-Bericht umfasst die Beiträge der einschlägigen Dienststellen, u. a. — des CSIRTs-Netzwerks in Form des EU-Cybersicherheitslageberichts; — des EC3, des SITROOM, der EU-Analyseeinheit für hybride Bedrohungen und des CERT-EU; die EU-Analyseeinheit für hybride Bedrohungen unterstützt die federführende ISAA-Dienststelle und gegebenenfalls den IPCR-Rundtisch; — der sektorspezifischen EU-Agenturen und -einrichtungen, je nach betroffenen Sektoren; — der Behörden der Mitgliedstaaten (außer CSIRTs). — Input für die ISAA (26): — Kommission und EU-Agenturen: Das ARGUS-IT-System stellt das interne Backbone-Netzwerk für die ISAA. Die EU-Agenturen übermitteln ihre Beiträge an die einzelnen zuständigen Generaldirektionen, die ihrerseits ARGUS die relevanten Informationen zuleiten. Die Kommissionsdienststellen und die Agenturen tragen Informationen aus den bestehenden sektorspezifischen Netzen, an denen die Mitgliedstaaten und internationalen Organisationen beteiligt sind, und aus anderen relevanten Quellen zusammen. — Für den EAD: Das EU-Lagezentrum (SITROOM) stellt mit Unterstützung der übrigen einschlägigen EAD-Abteilungen das interne Backbone-Netzwerk und ist die zentrale Anlaufstelle für die ISAA. Der EAD trägt die Informationen aus Drittländern und von einschlägigen internationalen Organisationen zusammen.

—

Stufe 6 — Vorbereitung der informellen Rundtischsitzung des Ratsvorsitzes: Der Ratsvorsitz legt mit Unterstützung des Generalsekretariats des Rates den Zeitpunkt, die Tagesordnung, die Teilnehmer und das erwartete Resultat der Rundtischsitzung (mögliche Ergebnisse) fest. Das Generalsekretariat gibt relevante Informationen auf der IPCR-Web-Plattform im Namen des Ratsvorsitzes weiter und gibt insbesondere die Einberufung der Sitzung bekannt.

—

Stufe 7 — Rundtischsitzung des Ratsvorsitzes/Vorbereitende Maßnahmen für die politische EU-Koordinierung/-beschlussfassung: Der Ratsvorsitz beruft eine informelle Rundtischsitzung zur Prüfung der Lage ein und zur Vorbereitung und Überprüfung von Tagesordnungspunkten, die an den AStV oder den Rat herangetragen werden sollen. Die informelle Rundtischsitzung des Ratsvorsitzes ist auch das Forum, in dem alle Maßnahmenvorschläge, die dem AStV/Rat vorgelegt werden sollen, ausgearbeitet, geprüft und debattiert werden. — Konzeptentwurf: — Die horizontale Gruppe „Fragen des Cyberraums“ des Rates bereitet den AStV oder das PSK vor.

—

Stufe 8 — Politische Koordinierung und Beschlussfassung beim AStV/Rat: Die Ergebnisse der AStV-/Ratssitzungen betreffen die Koordinierung der Reaktionsmaßnahmen auf allen Ebenen, die Beschlüsse über außerordentliche Maßnahmen, politische Erklärungen usw. Diese Beschlüsse stellen auch eine aktualisierte politisch-strategische Orientierung für weitere ISAA-Berichte dar. — Konzeptentwurf: — Die politische Entscheidung über die Koordinierung der Reaktion auf die Cybersicherheitskrise wird über die in Abschnitt 1 beschriebenen (von den jeweiligen Akteuren durchgeführten) Maßnahmen „Zusammenarbeit auf der strategisch-politischen, der operativen und der technischen Ebene“ in Bezug auf die Reaktion und die Unterrichtung der Öffentlichkeit durchgeführt. — Die ISAA-Erstellung wird auf der Grundlage der Zusammenarbeit auf der technischen, operativen und politisch-strategischen Ebene in Bezug auf die ebenfalls in Abschnitt 1 beschriebene Lagebeurteilung fortgesetzt.

—

Stufe 9 — Überwachung der Auswirkungen: Die federführende Dienststelle der ISAA wird mit Unterstützung der ISAA-Beteiligten Informationen über die Entwicklung der Krise und die Auswirkungen der bisherigen politischen Entscheidungen bereitstellen. Dieses kontinuierliche Feedback unterstützt einen laufenden Prozess und unterstützt die Entscheidung des Ratsvorsitzes über eine weitere Einbeziehung der politischen Ebene der EU oder die Ausphasung der IPCR.

—

Stufe 10 — Ausphasung: Wie bei der Aktivierung kann der Ratsvorsitz eine informelle Rundtischsitzung einberufen, um zu beraten, ob die IPCR aktiviert bleiben soll oder nicht. Der Ratsvorsitz kann beschließen, die Aktivierung zu beenden oder herunterzufahren. — Konzeptentwurf: — Die ENISA kann ersucht werden, im Einklang mit ihrem Mandat nachträglich eine technische Untersuchung des Sicherheitsvorfalls durchzuführen oder einen Beitrag zu einer solchen Untersuchung zu leisten.

---

(1)  Beschluss 2014/496/GASP.

(2)  Richtlinie (EU) 2016/1148.

(3)  Beschluss (EU, Euratom) 2015/443 der Kommission vom 13. März 2015 über Sicherheit in der Kommission (ABl. L 72 vom 17.3.2015, S. 41) und Beschluss (EU, Euratom) 2015/444 der Kommission vom 13. März 2015 über Sicherheitsvorschriften zum Schutz von Verschlusssachen der EU (ABl. L 72 vom 17.3.2015, S. 53); Beschluss der Hohen Vertreterin der Union für Außen und Sicherheitspolitik vom 19. April 2013 über die Sicherheitsvorschriften für den Europäischen Auswärtigen Dienst (ABl. C 190 vom 29.6.2013, S. 1); Beschluss 2013/488/EU des Rates vom 23. September 2013 über die Sicherheitsvorschriften für den Schutz von EU-Verschlusssachen (ABl. L 274 vom 15.10.2013, S. 1).

(4)  https://www.first.org/tlp/

(5)  Im Juni 2016 gehörten zu diesen Übertragungskanälen CIMS (Classified Information Management System), ACID (Verschlüsselungsalgorithmus) und RUE (sicheres System für die Erstellung, den Austausch und die Speicherung von Dokumenten des Geheimhaltungsgrads RESTREINT UE/EU RESTRICTED) und SOLAN. Andere Mittel zur Übertragung von Verschlusssachen sind z. B. PGP und S/MIME.

(6)  Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1).

(7)  Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation) (ABl. L 201 vom 31.7.2002, S. 37).

(8)  Die Verordnung (EG) Nr. 45/2001 des Europäischen Parlaments und des Rates vom 18. Dezember 2000 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe und Einrichtungen der Gemeinschaft und zum freien Datenverkehr (ABl. L 8 vom 12.1.2001, S. 1) sollte Anwendung finden.

(9)  Wichtig ist, dass es sich bei der Unterrichtung der Öffentlichkeit sowohl um die Unterrichtung der gesamten Öffentlichkeit über den Sicherheitsvorfall oder aber um die eher technische und operative Unterrichtung kritischer Sektoren und/oder Betroffener handeln kann. Hierzu müssen möglicherweise vertrauliche Verbreitungskanäle oder besondere Tools/Plattformen genutzt werden. In jedem Fall ist die Kommunikation mit Betreibern und mit der breiteren Öffentlichkeit in einem Mitgliedstaat Sache des jeweiligen Mitgliedstaats. Deshalb liegt die Verantwortung für die Informationen, die in einem bestimmten Hoheitsgebiet bzw. an die Bedarfsträger verbreitet werden, — im Einklang mit dem oben genannten Subsidiaritätsprinzip — letztlich bei den Mitgliedstaaten und den nationalen CSIRTs.

(10)  „Handlungsbefugnis“: Bei einer Cybersicherheitskrise sind kurze Reaktionszeiten unerlässlich, damit angemessene Eindämmungsmaßnahmen eingeleitet werden können. Zu diesem Zweck können Mitgliedstaaten einander freiwillig „Handlungsbefugnis“ erteilen; hierbei erhält der betreffende Mitgliedstaat die Erlaubnis, unverzüglich zu handeln, ohne zuvor höhere Ebenen oder EU-Organe konsultieren und alle normalerweise erforderlichen offiziellen Kanäle durchlaufen zu müssen, sofern sich dies bei einem bestimmten Sicherheitsvorfall als nicht notwendig erweist. (So müsste ein CSIRT z. B. nicht die höheren Ebenen konsultieren, um wertvolle Informationen an ein CSIRT eines anderen Mitgliedstaats weitergeben zu können).

(11)  „Bewältigung von Sicherheitsvorfällen“ sind alle Verfahren zur Unterstützung der Erkennung, Analyse und Eindämmung von Sicherheitsvorfällen sowie die Reaktion darauf.

(12)  Je nach Art des Sicherheitsvorfalls und seinen Auswirkungen auf die verschiedenen Sektoren (Finanzen, Verkehr, Energie, Gesundheit usw.) werden die einschlägigen EU-Agenturen bzw. -einrichtungen eingebunden.

(13)  Bei dem EU-Cybersicherheitslagebericht handelt es sich um eine Synthese der von den nationalen CSIRTs vorgelegten nationalen Berichte. Das Format des Berichts sollte in den SOP des CSIRTs-Netzwerks beschrieben sein.

(14)  Im Einklang mit und gemäß den im Rechtsrahmen des EC3 festgelegten Bedingungen und Verfahren.

(15)  In der Computerforensik ist ein Indicator of compromise (IoC) ein Artefakt in einem Netzwerk oder Betriebssystem, das mit hoher Wahrscheinlichkeit auf einen unbefugten Computerzugriff hindeutet. Typische IoC sind Virensignaturen und IP-Adressen, MD5-Hashes in Schadsoftware oder URLs bzw. Domainnamen von Botnetz-Command-und-Control-Servern.

(16)  Vorschlag für eine Verordnung über die Agentur der Europäischen Union für Netz- und Informationssicherheit und zur Aufhebung der Verordnung (EU) Nr. 526/2013 und über die Zertifizierung der Cybersicherheit von Informations- und Kommunikationstechnologien („Rechtsakt zur Cybersicherheit“), 13. September 2017.

(17)  Technischer Rat hinsichtlich der Ursachen des Sicherheitsvorfalls und möglicher Eindämmungsmaßnahmen.

(18)  Informationen zur Größe der technischen Schwachstelle, die zur Gefährdung der IT-Systeme ausgenutzt wird.

(19)  Der Ausschuss der Ständigen Vertreter oder AStV (Artikel 240 des Vertrags über die Arbeitsweise der Europäischen Union — AEUV) trägt die Verantwortung, die Arbeiten des Rates der Europäischen Union vorzubereiten.

(20)  Das Politische und Sicherheitspolitische Komitee (in Artikel 38 des Vertrags über die Europäische Union genannt) ist ein Ausschuss des Rates der Europäischen Union, der sich mit Fragen der Außen- und Sicherheitspolitik (GASP) beschäftigt.

(21)  Im Einklang mit den im Rechtsrahmen des EC3 festgelegten Bedingungen und Verfahren.

(22)  Der Cybersicherheits-Notfallfonds ist eine im Rahmen der Gemeinsamen Mitteilung „Abwehrfähigkeit, Abschreckung und Abwehr: die Cybersicherheit in der EU wirksam erhöhen“, JOIN(2017) 450/1, vorgeschlagene Maßnahme.

(23)  Aus dem Dokument „Standardarbeitsanweisungen zur IPCR“ (12607/15), vereinbart von der Gruppe der Freunde des Vorsitzes und vom AStV im Oktober 2015 zur Kenntnis genommen.

(24)  Dieselbe Abbildung im Großformat befindet sich in der Anlage.

(25)  Bei dem EU-Cybersicherheitslagebericht handelt es sich um eine Synthese der von den nationalen CSIRTs vorgelegten nationalen Berichte. Das Format des Berichts sollte in den SOP des CSIRTs-Netzwerks beschrieben sein.

(26)  Standardarbeitsanweisungen der ISAA.

ANLAGE

1.   KRISENMANAGEMENT, KOOPERATIONSMECHANISMEN UND AKTEURE AUF EU-EBENE

Mechanismen zur Krisenbewältigung

Integrierte Regelung für die politische Reaktion auf Krisen (IPCR): Die vom Rat am 25. Juni 2013 gebilligte integrierte Regelung für die politische Reaktion auf Krisen (IPCR) (1) soll im Falle einer schweren Krise die zeitnahe Koordinierung und Reaktion auf der politischen Ebene der EU erleichtern. Die IPCR unterstützt auch die Koordinierung der Reaktion auf politischer Ebene auf die Geltendmachung der Solidaritätsklausel (Artikel 222 AEUV) gemäß der Festlegung im Beschluss 2014/415/EU des Rates vom 24. Juni 2014 über die Vorkehrungen für die Anwendung der Solidaritätsklausel durch die Union. Die Standardarbeitsanweisungen (2) (SOP) zur IPCR beschreiben den Aktivierungsprozess und die zu ergreifenden Maßnahmen.

ARGUS: ARGUS ist ein von der Europäischen Kommission 2005 geschaffenes Krisenkoordinierungssystem und beinhaltet ein spezifisches Koordinierungsverfahren, das im Falle einer schweren Krise, die mehrere Sektoren betrifft, eingeleitet wird. Unterstützt wird es durch ein allgemeines Frühwarnsystem (IT-Instrument) mit derselben Bezeichnung. ARGUS umfasst zwei Phasen, wobei in Phase II (bei größeren sektorenübergreifenden Krisen) Sitzungen des Krisenkoordinierungsausschusses (CCC) stattfinden, die unter der Aufsicht des Präsidenten der Kommission oder eines Kommissionsmitglieds, dem die Verantwortung übertragen wurde, stehen. Der CCC setzt sich aus Vertretern der zuständigen Generaldirektionen der Kommission, der Kabinette und anderer Dienststellen der EU zusammen, um die Reaktion der Kommission auf die Krise zu leiten und zu koordinieren. Unter dem Vorsitz des stellvertretenden Generalsekretärs bewertet der CCC die Lage, prüft Optionen und fasst handlungsweisende Beschlüsse in Bezug auf die unter der Verantwortung der Kommission stehenden Werkzeuge und Instrumente der EU und sorgt für die Umsetzung dieser Beschlüsse (3)  (4).

Krisenreaktionssystem des EAD: Das Krisenreaktionssystem des EAD ist ein strukturiertes System, das es dem EAD ermöglicht, auf Krisen und Notsituationen externer Art oder mit erheblicher externer Dimension (einschließlich hybrider Bedrohungen), die den Interessen der EU oder der Mitgliedstaaten potenziell oder tatsächlich schaden, zu reagieren. Durch die Teilnahme zuständiger Beamter der Kommission und des Ratssekretariats an den Sitzungen fördert das Krisenreaktionssystem Synergien zwischen den Anstrengungen in den Bereichen Diplomatie, Sicherheit und Abwehr und den von der Kommission verwalteten Finanz-, Handels- und Kooperationsinstrumenten. Der Krisenstab kann für die Dauer der Krise einberufen werden.

Kooperationsmechanismen

CSIRTs-Netz: Im Netz der Computer-Notfallteams (Computer Security Incident Response Teams, CSIRTs) sind alle nationalen und staatlichen CSIRTs sowie das EU-Notfallteam CERT-EU vertreten. Ziel des Netzes ist es, zwischen den CSIRTs den Austausch von Informationen über Bedrohungen und Vorfälle im Bereich der Cybersicherheit zu ermöglichen und zu verbessern und auf Cybersicherheitsvorfälle und -krisen gemeinsam zu reagieren.

Horizontale Gruppe „Fragen des Cyberraums“ des Rates: Die Gruppe wurde eingerichtet, um für die strategische und horizontale Koordinierung politischer Fragen des Cyberraums im Rat zu sorgen, und kann sowohl an legislativen wie auch nichtlegislativen Tätigkeiten mitwirken.

Akteure

ENISA: Die Agentur der Europäischen Union für Netz- und Informationssicherheit (ENISA) wurde 2004 errichtet. Die Agentur arbeitet eng mit den Mitgliedstaaten und dem Privatsektor zusammen, um zu Fragen wie europaweiten Übungen zur Cybersicherheit, der Entwicklung nationaler Strategien zur Cybersicherheit, Zusammenarbeit der CSIRTs und Kapazitätsaufbau Beratung zu leisten und Lösungen anzubieten. Die ENISA kooperiert unmittelbar mit den CSIRTs in der gesamten EU und fungiert als Sekretariat des CSIRTs-Netzes.

ERCC: Das Zentrum für die Koordination von Notfallmaßnahmen der Kommission (unter Leitung der Generaldirektion Europäischer Katastrophenschutz und Humanitäre Hilfe, GD ECHO) unterstützt und koordiniert täglich rund um die Uhr ein breites Spektrum von Tätigkeiten auf den Gebieten Prävention, Vorsorge und Reaktion. Es nahm 2013 seine Arbeit auf und fungiert als Drehscheibe für die Krisenreaktion der Kommission (Verbindung zu anderen Krisenstellen der EU) sowie als zentrale IPCR-Kontaktstelle mit 24-Stunden-Dienstbereitschaft.

Europol/EC3: Das Europäische Zentrum zur Bekämpfung der Cyberkriminalität (EC3) wurde 2013 innerhalb von Europol eingerichtet und unterstützt die Reaktion der Strafverfolgungsbehörden auf Cyberkriminalität in der EU. Das EC3 leistet operative und analytische Unterstützung für Ermittlungen der Mitgliedstaaten und dient als zentrales Drehkreuz für kriminalpolizeiliche Informationen und Erkenntnisse zur Unterstützung der Operationen und Ermittlungen der Mitgliedstaaten durch operative Analyse, Koordinierung und Expertise sowie hochspezialisierte technische und digitale forensische Unterstützungsfähigkeiten.

CERT-EU: Das Computer-Notfallteam für die Organe, Einrichtungen und Agenturen der EU (Computer Emergency Response Team, CERT-EU) hat den Auftrag, den Schutz der Organe, Einrichtungen und Agenturen der EU vor Cyberbedrohungen zu verbessern. Das CERT-EU gehört dem CSIRTs-Netz an. Das CERT-EU hat mit der „Computer Incident Response Capability“ der NATO (NCIRC), mit bestimmten Drittstaaten und bedeutenden kommerziellen Akteuren im Bereich der Cybersicherheit technische Vereinbarungen über den Austausch von Informationen über Cyberbedrohungen geschlossen.

Zu den Nachrichtendiensten der EU (Intelligence Community) zählen das EU-Zentrum für Informationsgewinnung und -analyse (INTCEN) und die Abteilung „Aufklärung“ des Militärstabs der EU (EUMS INT) im Rahmen der Vereinbarung über ein einheitliches Analyseverfahren (Single Intelligence Analysis Capacity, SIAC). SIAC dient der Erstellung von nachrichtendienstlichen Analysen, Frühwarnmeldungen und Lagebewertungen für die Hohe Vertreterin der Europäischen Union für Außen- und Sicherheitspolitik und den Europäischen Auswärtigen Dienst (EAD). SIAC-Dienste werden den verschiedenen Entscheidungsgremien der EU in den Bereichen Gemeinsame Außen- und Sicherheitspolitik (GASP), Gemeinsame Sicherheits- und Verteidigungspolitik (GSVP) und Terrorismusbekämpfung (CT) wie auch den Mitgliedstaaten zur Verfügung gestellt. EUMS INT und EU INTCEN sind keine operativen Stellen und verfügen über keine eigenen Fähigkeiten zur Informationssuche. Das operationelle Niveau der Nachrichtendienste liegt in der Verantwortung der Mitgliedstaaten. SIAC ist allein mit der strategischen Auswertung befasst.

EU-Analyseeinheit für hybride Bedrohungen (EU Hybrid Fusion Cell): In der Gemeinsamen Mitteilung für die Abwehr hybrider Bedrohungen von April 2016 wird die sogenannte EU Hybrid Fusion Cell (EU HFC) als Kontaktstelle für die Analyse sämtlicher Quellen bezüglich hybrider Bedrohungen in der EU benannt. Ihr Mandat wurde im Dezember 2016 von der Kommission im Rahmen einer dienststellenübergreifenden Konsultation gebilligt. Die EU Hybrid Fusion Cell befindet sich im INTCEN. Als Teil von SIAC kooperiert sie mit der EUMS INT und verfügt über ein auf Dauer abgestelltes Mitglied des Militärs. „Hybrid“ bezeichnet die absichtliche Verwendung einer Kombination aus mehreren verdeckten und offenen, zivilen und militärischen Instrumenten und Hebeln durch staatliche oder nichtstaatliche Akteure. Dazu zählen beispielsweise Cyber-Angriffe, Desinformationskampagnen, Spionagetätigkeiten, wirtschaftlicher Druck, der Einsatz von Stellvertreterkräften oder andere subversive Tätigkeiten. Die EU HFC kooperiert mit einem ausgedehnten Netz von Kontaktstellen sowohl in der Kommission als auch in den Mitgliedstaaten im Hinblick auf eine integrierte Reaktion und einen behördenübergreifenden Ansatz („Whole of Government-Approach“), die für die Bewältigung unterschiedlicher Herausforderungen erforderlich sind.

EU-LAGEZENTRUM: Das EU-Lagezentrum (SITROOM) ist Teil des EU-Zentrums für Informationsgewinnung und -analyse (EU INTCEN) und verschafft dem Europäischen Auswärtigen Dienst (EAD) operative Fähigkeiten, um unverzüglich und wirksam auf Krisen reagieren zu können. Es handelt sich um ein ständiges zivil-militärisches Gremium in Dauerbereitschaft, das täglich rund um die Uhr eine weltweite Krisenüberwachung und Lageerfassung sicherstellt.

Einschlägige Instrumente

Rahmen für eine gemeinsame diplomatische Reaktion der EU auf böswillige Cyberaktivitäten: Der im Juni 2017 vereinbarte Rahmen ist Teil des Ansatzes der EU für die Cyberdiplomatie, die zur Konfliktverhütung, zur Eindämmung von Cyberbedrohungen und zu größerer Stabilität in den internationalen Beziehungen beiträgt. Dabei wird in vollem Umfang von den Maßnahmen im Rahmen der Gemeinsamen Außen- und Sicherheitspolitik, darunter nötigenfalls auch restriktive Maßnahmen, Gebrauch gemacht. Der Einsatz der Maßnahmen in diesem Rahmen soll die Zusammenarbeit fördern, zur Eindämmung unmittelbarer und langfristiger Bedrohungen beitragen und auf lange Sicht Einfluss auf das Verhalten verantwortlicher Täter und potenzieller Angreifer nehmen.

2.   KOORDINIERUNG VON CYBERKRISEN IM RAHMEN DER IPCR — HORIZONTALE KOORDINATION UND POLITISCHE ABSTUFUNG

Die IPCR kann (wie in der Vergangenheit bereits geschehen) zur Lösung technischer und operativer Probleme eingesetzt werden, allerdings immer aus politischer/strategischer Perspektive.

Die IPCR kann je nach Ausmaß der Krise stufenweise aktiviert werden, wobei vom „Überwachungsmodus“ über den „Informationsaustausch-Modus“, der die erste IPCR-Aktivierungsstufe darstellt, zur vollständigen Aktivierung („IPCR full activation“) übergegangen werden kann.

Die Entscheidung über eine vollständige Aktivierung liegt in Händen des turnusmäßig wechselnden EU-Ratsvorsitzes. Die Kommission, der EAD und das Generalsekretariat des Rates können veranlassen, die IPCR im „Informationsaustausch-Modus“ zu aktivieren. Der Überwachungs- und der Informationsaustausch-Modus lösen jeweils unterschiedliche Stufen des Informationsaustauschs aus, wobei im „Informationsaustausch-Modus“ integrierte Lageeinschätzungs- und -auswertungsberichte (ISAA) angefordert werden. Bei vollständiger Aktivierung umfasst das Instrumentarium auch IPCR-Rundtischsitzungen unter Beteiligung des Vorsitzes (in der Regel der Präsident des AStV II oder ein Sachverständiger auf Ebene der Ständigen Vertreter; in Ausnahmefällen finden Sitzungen aber auch auf Ministerebene statt).

Akteure

Die Leitung hat der turnusmäßig wechselnde Ratsvorsitz (i. d. R. der Präsident des AStV);

Für den Europäischen Rat: das Kabinett des Präsidenten;

Für die Europäische Kommission: stellvertretender Generalsekretär/GD und/oder Experten;

Für den EAD: stellvertretender Generalsekretär/geschäftsführender Direktor und/oder Experten;

Für das Generalsekretariat des Rates: das Kabinett des Generalsekretärs, das IPCR-Team und zuständige GD.

Umfang der Tätigkeiten: Verschaffung eines gemeinsamen Überblicks über die Lage, Stärkung des Bewusstseins für Engpässe oder Mängel auf jeder einzelnen der drei Stufen, um auf politischer Ebene Abhilfe zu schaffen, Beschlüsse zu fassen, soweit sie den Zuständigkeitsbereich der Teilnehmer betreffen, oder Maßnahmenvorschläge auszuarbeiten, die dem AStV II und dem Rat übergeben werden.

Abgestimmte Lageeinschätzung:

(inaktiv): Möglichkeit der Generierung von IPCR-Überwachungsseiten zur Verfolgung von Entwicklungen, die sich zu einer Krise mit Folgen für die EU ausweiten können.

(IPCR-Informationsaustausch): Erstellung integrierter Lageeinschätzungs- und -auswertungsberichte (ISAA) auf der Grundlage von Beiträgen der Kommissionsdienststellen, des EAD und der Mitgliedstaaten (IPCR-Fragebögen).

(Vollständige IPCR-Aktivierung): Zusätzlich zu den Lageeinschätzungs- und -auswertungsberichten finden informelle Rundtischsitzungen statt, in denen u. a. verschiedene betroffene Akteure der Mitgliedstaaten, die Kommission, der EAD und die beteiligten Agenturen zusammenkommen, um Mängel und Engpässe zu erörtern.

Zusammenarbeit und Reaktion:

Aktivierung/Synchronisierung zusätzlicher Krisenmanagementmechanismen/-instrumente, je nach Art und Auswirkungen des Vorfalls. Dies sind beispielsweise das Katastrophenschutzverfahren, der Rahmen für eine gemeinsame diplomatische Reaktion der EU auf böswillige Cyberaktivitäten oder der „Gemeinsame Rahmen für die Abwehr hybrider Bedrohungen“.

Krisenkommunikation:

Das IPCR-Netz der Krisenbeauftragten kann vom Vorsitz nach Rücksprache mit den zuständigen Dienststellen der Kommission, dem Generalsekretariat des Rates und dem EAD aktiviert werden, um die Abfassung gemeinsamer Mitteilungen zu unterstützen oder die wirksamsten Kommunikationsmittel zu erörtern.

3.   CYBERSICHERHEITSKRISENMANAGEMENT MIT ARGUS — INFORMATIONSAUSTAUSCH IN DER EUROPÄISCHEN KOMMISSION

Konfrontiert mit unerwarteten Krisen, die ein Handeln auf EU-Ebene erforderten (die Terroranschläge in Madrid (März 2004), die Tsunami-Katastrophe in Südostasien (Dezember 2004) und die Terroranschläge in London im Juli 2005) errichtete die Kommission 2005 das Koordinierungssystem ARGUS, das durch ein allgemeines Frühwarnsystem gleichen Namens unterstützt wird (5)  (6). Es sieht im Falle einer schweren Krise, die mehrere Sektoren betrifft, ein spezifisches Krisenbewältigungsverfahren vor, um den Austausch krisenrelevanter Informationen in Echtzeit zu ermöglichen und zügige Entscheidungsprozesse zu gewährleisten.

Je nach Schwere des Ereignisses sind in ARGUS zwei Phasen definiert:

Phase I dient dem „Informationsaustausch“ im Fall einer Krise von begrenztem Umfang. Aktuelle Beispiele für die Phase I sind die Waldbrände in Portugal und Israel, der Terroranschlag in Berlin 2016, die Überschwemmungen in Albanien, der Wirbelsturm Matthew in Haiti und die Dürre in Bolivien. Jede GD kann die Phase I aktivieren, wenn sie eine in ihre Zuständigkeit fallende Situation als so ernst einstuft, dass sie den Austausch von Informationen für gerechtfertigt oder nützlich hält. Beispielsweise kann die Phase I von der GD CNECT oder GD HOME ausgelöst werden, wenn eine Cybersituation für so bedrohlich gehalten wird, dass der Austausch von Informationen gerechtfertigt oder nützlich erscheint.

Phase II wird bei einer schweren sektorenübergreifenden Krise oder einer absehbaren bzw. unmittelbar bevorstehenden Bedrohung für die Union ausgelöst. In Phase II wird ein besonderes Koordinierungsverfahren aktiviert, das es der Kommission ermöglicht, auf höchster Ebene ihres Zuständigkeitsbereichs und in Abstimmung mit den anderen Organen Entscheidungen zu treffen und auf koordinierte und kohärente Weise rasch zu reagieren. Phase II ist für schwere sektorenübergreifende Krisen oder absehbare bzw. unmittelbar bevorstehende derartige Bedrohungen vorgesehen. Konkrete Beispiele für Ereignisse der Phase II sind die Migrations- und Flüchtlingskrise (seit 2015), die Dreifachkatastrophe von Fukushima (2011) und der Ausbruch des Vulkans Eyjafjallajökull in Island (2010). Die Phase II wird entweder vom Präsidenten auf dessen Initiative oder auf Ersuchen eines Kommissionsmitglieds aktiviert. Der Präsident kann die politische Verantwortung für die Reaktion der Kommission einem Kommissionsmitglied zuweisen, der für die von der Krise am stärksten betroffene Dienststelle zuständig ist, oder entscheiden, die Verantwortung selbst zu übernehmen. In Phase II sind Dringlichkeitssitzungen des Krisenkoordinierungsausschusses (CCC) vorgesehen. Sie werden unter der Verantwortung des Präsidenten oder eines Kommissionsmitglieds, dem die Verantwortung übertragen wurde, einberufen. Die Organisation erfolgt durch das Generalsekretariat über das ARGUS-IT-Instrument. Der CCC ist ein spezifisches operatives Krisenbewältigungsgremium, das zur Leitung und Koordinierung der Krisenbewältigungsmaßnahmen der Kommission eingesetzt wird und sich aus Vertretern aller zuständigen Generaldirektionen der Kommission, der Kabinette und anderer Dienststellen der EU zusammensetzt. Unter dem Vorsitz des stellvertretenden Generalsekretärs bewertet der CCC die Lage, prüft Optionen, fasst Beschlüsse und sorgt dafür, dass Beschlüsse und Maßnahmen umgesetzt werden. Gleichzeitig gewährleistet er die Einheitlichkeit und Kohärenz der Krisenbewältigungsmaßnahmen. Der CCC wird vom Generalsekretariat unterstützt.

4.   KRISENREAKTIONSSYSTEM DES EAD

Das Krisenreaktionssystem (Crisis Response Mechanism, CRM) des EAD wird bei Eintreten einer ernsten Lage oder Notsituation aktiviert, die die externe Dimension der EU betrifft oder in irgendeiner Weise beeinflusst. Das CRM wird vom stellvertretenden Generalsekretär für Krisenreaktion nach Absprache mit der Hohen Vertreterin/Vizepräsidentin oder dem Generalsekretär aktiviert. Die Hohe Vertreterin/Vizepräsidentin, der Generalsekretär, ein anderer stellvertretender Generalsekretär oder geschäftsführender Direktor können den stellvertretenden Generalsekretär für Krisenreaktion auch auffordern, das Krisenreaktionssystem zu aktivieren.

Im Rahmen der Sicherheitsstrategie leistet das Krisenreaktionssystem einen Beitrag zur kohärenten Krisenbewältigung der EU. Insbesondere fördert das CRM die Schaffung von Synergien zwischen den Anstrengungen in den Bereichen Diplomatie, Sicherheit und Abwehr und den von der Kommission verwalteten Finanz-, Handels- und Kooperationsinstrumenten.

Das CRM ist mit dem allgemeinen Frühwarnsystem (ARGUS) der Kommission und der Integrierten Regelung für die politische Reaktion auf Krisen (IPCR) der EU verknüpft, um bei zeitgleicher Aktivierung Synergien nutzen zu können. Das EAD-Lagezentrum dient als Kommunikationsdrehscheibe zwischen dem EAD und den Notfallsystemen im Rat und in der Kommission.

Bei Aktivierung des CRM findet in der Regel als Erstes ein Krisentreffen statt, zu dem von der Krise unmittelbar betroffenes Führungspersonal des EAD, der Kommission und des Rates einberufen wird. Dabei werden die kurzfristigen Auswirkungen der Krise eingeschätzt und gegebenenfalls Sofortmaßnahmen vereinbart. Unter Umständen wird auch der Krisenstab oder eine Krisenplattform einberufen. Diese Stufen können in beliebiger zeitlicher Abfolge erfolgen.

Der Krisenstab ist eine kleine Operationseinheit, in der Vertreter der an der Krisenbewältigung beteiligten Dienststellen des EAD, der Kommission und des Rates zur fortlaufenden Beobachtung der Lage zusammenkommen, um die Entscheidungsträger in der EAD-Zentrale zu unterstützen. Der Krisenstab ist nach seiner Aktivierung täglich rund um die Uhr in Bereitschaft.

Die Krisenplattform vereinigt die beteiligten Dienststellen des EAD, der Kommission und des Rates, um die mittel- bis langfristigen Auswirkungen von Krisen zu beurteilen und sich über die zu ergreifenden Maßnahmen abzustimmen. Den Vorsitz führt die Hohe Vertreterin/Vizepräsidentin, der Generalsekretär oder der stellvertretende Generalsekretär für Krisenreaktion. Die Krisenplattform bewertet die Wirksamkeit der EU-Maßnahmen zur Bewältigung der Krise in dem betreffenden Land oder der Region, entscheidet über Änderungen oder zusätzliche Maßnahmen und erörtert Vorschläge für Maßnahmen des Rates. Die Krisenplattform kommt nur zu Ad-hoc-Treffen zusammen und befindet sich somit nicht in Dauerbereitschaft.

Die Taskforce setzt sich aus Vertretern der an der Krisenbewältigung beteiligten Dienststellen zusammen und kann aktiviert werden, um die Durchführung der entsprechenden EU-Maßnahmen zu verfolgen und zu erleichtern. Die Kommission bewertet die Auswirkungen der EU-Maßnahmen, erstellt politische Dokumente und Erläuterungen von Optionen, trägt zur Ausarbeitung des politischen Rahmens für einen Ansatz zur Krisenbewältigung (Political Framework for Crisis Approach, PFCA) sowie zur Kommunikationsstrategie bei und erlässt alle sonstigen Regelungen, die bei der Umsetzung der Krisenreaktion der EU hilfreich sein können.

5.   REFERENZDOKUMENTE

Nachstehend sind die Dokumente aufgeführt, die zur Erstellung des Entwurfs herangezogen wurden:

—	European Cyber Crisis Cooperation Framework (Europäischer Rahmen für die Zusammenarbeit im Fall von Cyberkrisen), Version 1, 17. Oktober 2012

—	Report on Cyber Crisis Cooperation and Management (Bericht über Zusammenarbeit und Management im Fall von Cyberkrisen), ENISA, 2014

—	Actionable Information for Security Incident Response (Handlungsweisende Informationen für die Reaktion auf Cybersicherheitsvorfälle), ENISA, 2014

—	Common practices of EU-level crisis management and applicability to cyber crises (Gemeinsame Verfahren für das Krisenmanagement auf EU-Ebene und deren Anwendbarkeit auf Cyberkrisen), ENISA, 2015

—	Strategies for Incident Response and Cyber Crisis Cooperation (Reaktionsstrategien und Zusammenarbeit im Fall von Cyberkrisen), ENISA, 2016

—	EU Cyber Standard Operating Procedures (EU-Standardarbeitsanweisungen für die Cybersicherheit), ENISA, 2016

—	A good practice guide of using taxonomies in incident prevention and detection (Leitfaden für gute Praxis bei der Verwendung von Schemata im Bereich der Verhütung und Aufdeckung von Vorfällen), ENISA, 2017

—	Mitteilung über die Stärkung der Abwehrfähigkeit Europas im Bereich der Cybersicherheit und Förderung einer wettbewerbsfähigen und innovativen Cybersicherheitsbranche, COM(2016) 410 final vom 5. Juli 2016

—	Schlussfolgerungen des Rates zur Stärkung der Abwehrfähigkeit Europas im Bereich der Cybersicherheit und Förderung einer wettbewerbsfähigen und innovativen Cybersicherheitsbranche — Schlussfolgerungen des Rates vom 15. November 2016, 14540/16

—	Beschluss 2014/415/EU des Rates vom 24. Juni 2014 über die Vorkehrungen für die Anwendung der Solidaritätsklausel durch die Union (ABl. L 192 vom 1.7.2014, S. 53)

—	Abschluss der CCA-Überprüfung: die Integrierte EU-Regelung für die politische Reaktion auf Krisen (IPCR), 10708/13, 7. Juni 2013

—	Integrierte Lageeinschätzung und -auswertung (ISAA) — Standardarbeitsanweisungen, DS 1570/15, 22. Oktober 2015

—	Bestimmungen der Kommission zum allgemeinen Frühwarnsystem „ARGUS“, KOM(2005) 662 endg. vom 23. Dezember 2005

—	Beschluss 2006/25/EG, Euratom der Kommission vom 23. Dezember 2005 zur Änderung ihrer Geschäftsordnung (ABl. L 19 vom 24.1.2006, S. 20)

—	ARGUS Modus Operandi, Europäische Kommission, 23. Oktober 2013

—	Schlussfolgerungen des Rates über einen Rahmen für eine gemeinsame diplomatische Reaktion der EU auf böswillige Cyberaktivitäten („Cyber Diplomacy Toolbox“), Dok. 9916/17

—	Gemeinsames Protokoll der EU für das operative Vorgehen bei der Abwehr hybrider Bedrohungen („EU Playbook“), Dok. SWD(2016) 227

—	EEAS Crisis Response Mechanism (EAD-Krisenreaktionssystem), 8. November 2016 [Ares(2017)880661]. Arbeitsunterlage der Kommissionsdienststellen: Protokoll der EU für das operative Vorgehen bei der Abwehr hybrider Bedrohungen („EU Playbook“), SWD(2016) 227 final, 5. Juli 2016

—	Gemeinsame Mitteilung an das Europäische Parlament und den Rat: Gemeinsamer Rahmen für die Abwehr hybrider Bedrohungen — eine Antwort der Europäischen Union, JOIN(2016) 18 final vom 6. April 2016

—	Arbeitsunterlage des Europäischen Auswärtigen Dienstes — EU Hybrid Fusion Cell — Terms of Reference (Mandat der EU-Analyseeinheit für hybride Bedrohungen), EEAS(2016) 1674

6.   CYBERSICHERHEITSSPEZIFISCHE ELEMENTE DES IPCR-PROZESSES

---

(1)  Abschluss der CCA-Überprüfung: die Integrierte EU-Regelung für die politische Reaktion auf Krisen (10708/13), gebilligt vom Rat am 24. Juni 2013

(2)  Standardarbeitsanweisungen zur IPCR (12607/15), vereinbart von der Gruppe der Freunde des Vorsitzes und vom AStV im Oktober 2015 zur Kenntnis genommen

(3)  Bestimmungen der Kommission zum allgemeinen Frühwarnsystem „ARGUS“, KOM(2005) 662 endg. vom 23. Dezember 2005

(4)  Beschluss 2006/25/EG, Euratom der Kommission vom 23. Dezember 2005 zur Änderung ihrer Geschäftsordnung (ABl. L 19 vom 24.1.2006, S. 20) über die Einrichtung des allgemeinen Frühwarnsystems „ARGUS“.

(5)  Mitteilung der Kommission an das Europäische Parlament, den Rat, den Europäischen Wirtschafts- und Sozialausschuss und den Ausschuss der Regionen — Bestimmungen der Kommission zum allgemeinen Frühwarnsystem „ARGUS“, KOM(2005) 662 endg. vom 23. Dezember 2005.

(6)  Beschluss 2006/25/EG, Euratom.