Bernd Schütze

EU Cybersecurity Act verabschiedet

Am 7. Juni 2019 wurde der Cybersecurity Act (EU Verordnung 2019/881 über die ENISA und über die Zertifizierung der Cybersicherheit von Informations- und Kommunikationstechnik)  am im EU Amtsblatt veröffentlicht, zu finden bei Eur-Lex unter https://eur-lex.europa.eu/legal-content/DE/TXT/?qid=1560103639487&uri=CELEX%3A32019R0881

Die Verordnung besteht aus 110 Erwägungsgründe und 69 Artikel, ist also schon recht umfangreich. Insbesondere findet sich unter den Regelungen:

  • In Art. 2 finden sich diverse Begriffsbestimmungen, z.B. Cybersicherheit oder Cyberbedrohung, so dass künftig auf diese Definitionen zurückgegriffen werden kann, was das allgemeine Verständnis in diesem Umfeld erleichtern dürfte.
  • Artt. 2 und 3 widmen sich ENISA (Agentur der Europäischen Union für Cybersicherheit). Zu den Zielen, die ENISA jetzt verfolgen muss, gehört z.B. (Art. 4 Abs. 7): „Die ENISA fördert ein hohes Maß der Sensibilisierung für die Cybersicherheit, einschließlich der Cyberhygiene und der Cyberkompetenz von Bürgern, Organisationen und Unternehmen.“
  • Die Aufgabenbeschreibung der ENISA findet sich in Art. 5, ENISA wird damit vermutlich politisch mehr „Gewicht“ bekommen.
  • ENISA wird bzgl. Cybersicherheitszertifizierung aktiv (Art. 8); diese Zertifizierung berühren nicht die Zertifizierungen nach Art. 42 DS-GVO (siehe Erwägungsgrund 74)
  • Zur ENISA-Beratungsgruppe gehören auch Datenschutz-Aufsichtsbehörden (Art. 21 Abs. 1)
  • Nach Art. 41 unterliegt ENISA der EU Verordnung 2018/1725 um Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union, zum freien Datenverkehr
  • Entsprechend Erwägungsgrund 40 soll ENISA „einfache Empfehlungen in Bezug auf mehrstufige Authentifizierung, Patching, Verschlüsselung, Anonymisierung und Datenschutz“ geben.

Auch für die Arbeitsweise von ENISA wird sich einiges ändern (müssen). Bisher veröffentlichte ENISA englischsprachige Texte. Laut Art. 40 gilt jetzt für ENISA auch die Verordnung Nr. 1 zur Regelung der Sprachenfrage für die Europäische Wirtschaftsgemeinschaft, d.h. Schriftstücke von allgemeiner Geltung müssen mindestens in den vier Amtssprachen Deutsch, Französisch, Italienisch und Niederländisch abgefasst werden.

Da IT-Sicherheit und Datenschutz viele Überschneidungen aufweisen, ist es somit auch für uns Datenschutzbeauftragte sinnvoll, einen Blick in die Verordnung 2019/881 hinein zu werfen.  Und wer noch Zeit hat, kann ja mal einen Blick auf die bisherigen Publikationen von ENISA werfen.

Autor: Bernd Schütze

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.