Brüssel verschärft den Kurs: Verbot risikoreicher chinesischer Anbieter?
Die Europäische Kommission hat ein neues Regulierungspaket zur Stärkung der Cybersicherheit vorgestellt. Der Vorschlag ebnet den Weg für ein mögliches Verbot von Technik solcher Anbieter, die als besonders risikoreich eingestuft werden, darunter Huawei Technologies und ZTE Corporation.
„Wir befinden uns mitten in einem hybriden Krieg. „Kritische Infrastruktur in Europa ist täglich Ziel von Cyberangriffen“, erklärte die Vizepräsidentin der Europäischen Kommission Henna Virkkunen bei der Vorstellung des überarbeiteten Gesetzes im Europäischen Parlament. Sie betonte, dass sichere und vertrauenswürdige 5G-Netze ein zentraler Bestandteil der europäischen Sicherheitsarchitektur seien und die bisherigen Leitlinien zur Risikominderung verbindlich werden müssten.
Von Empfehlungen zu verbindlichen Vorgaben
Bereits im Jahr 2020 hatte die EU die sogenannte 5G-Cybersecurity-Toolbox veröffentlicht und diese drei Jahre später ergänzt. Der Maßnahmenkatalog empfiehlt den Mitgliedstaaten unter anderem, Anbieter wie Huawei und ZTE aus ihren 5G-Netzen zu beschränken oder auszuschließen, sofern sie als Sicherheitsrisiko eingestuft werden.
Da diese Leitlinien bislang nicht rechtlich bindend waren, setzten die Mitgliedstaaten sie uneinheitlich um. Einige Länder verhängten vollständige Verbote, andere nutzten weiterhin chinesische Netztechnik. Virkkunen verwies darauf, dass bislang 13 der 27 EU-Staaten Maßnahmen zur Risikominderung gegenüber Hochrisiko-Anbietern eingeleitet oder bereits umgesetzt hätten.
Der aktuelle Vorschlag der Europäischen Kommission ist Teil eines umfassenderen Cybersicherheits-Pakets und soll diese Maßnahmen nun verbindlich machen. Künftig wären alle Mitgliedstaaten verpflichtet, Technik als risikoreich eingestufter Anbieter schrittweise aus ihren Telekommunikationsnetzen zu entfernen.
Reaktion von Huawei
Wie die Nachrichtenagentur Reuters berichtet, hat Huawei bereits auf den Vorstoß reagiert. Eine Sprecherin des Konzerns erklärte, der Gesetzesvorschlag knüpfe Einschränkungen oder Ausschlüsse von Anbietern aus Nicht-EU-Staaten allein an deren Herkunft. Dies geschehe nicht auf Basis konkreter Beweise oder technischer Standards.
Ein solcher Ansatz verstoße gegen grundlegende Prinzipien des EU-Rechts wie Fairness, Nichtdiskriminierung und Verhältnismäßigkeit. Zudem seien die Verpflichtungen der Europäischen Union im Rahmen der Welthandelsorganisation betroffen. Huawei werde den weiteren Verlauf des Gesetzgebungsverfahrens genau beobachten und behalte sich alle rechtlichen Schritte zum Schutz seiner Interessen vor.
Stärkere operative Rolle für ENISA
Das Maßnahmenpaket sieht zudem eine Ausweitung des Mandats der EU-Agentur für Cybersicherheit ENISA vor. Die Behörde soll künftig eine deutlich stärkere koordinierende und unterstützende Rolle bei der Analyse gemeinsamer Bedrohungen, bei der Vorsorge sowie bei der Reaktion auf Sicherheitsvorfälle übernehmen.
ENISA soll weiterhin Frühwarnmechanismen unterstützen und bei der Abwehr von Erpressungssoftware-Angriffen mitwirken. Dies gilt auch für die Zusammenarbeit mit Europol und den nationalen CSIRT-Einheiten. Zudem soll ein unionsweiter Ansatz für ein verbessertes Schwachstellenmanagement entwickelt werden.
Vereinfachter Zertifizierungsrahmen für den EU-Markt
Ein weiterer zentraler Bestandteil der Reform ist die Überarbeitung des europäischen Zertifizierungsrahmens für Cybersicherheit. Ziel ist es sicherzustellen, dass Produkte und Dienstleistungen, die auf den EU-Markt gelangen, grundlegende Anforderungen an die Cybersicherheit erfüllen.
Die Zertifizierung soll von ENISA verwaltet werden und bleibt für Unternehmen freiwillig. Sie gilt jedoch als praxisnahes Instrument zur Bestätigung der Rechtskonformität. Dadurch sollen administrative Belastungen reduziert und das Vertrauen von Unternehmen und Nutzern gestärkt werden.
Folgen für den deutschen Telekommunikationsmarkt
Sollte der Gesetzesvorschlag angenommen werden, müssten sowohl der Rat der EU als auch das Europäische Parlament dem Paket zustimmen. Nach einer möglichen Verabschiedung ist eine Übergangsfrist von drei Jahren vorgesehen, bevor die neuen Vorgaben vollständig greifen.
Für Deutschland hätte die Regelung erhebliche praktische Bedeutung. In den Mobilfunknetzen sind weiterhin Komponenten chinesischer Anbieter im Einsatz. Netzbetreiber, Industrie und Politik stünden damit vor der Aufgabe, Sicherheitsanforderungen, Kosten und Netzstabilität neu auszutarieren und die digitale Infrastruktur langfristig widerstandsfähiger aufzustellen.
