Zum Hauptinhalt

Sicherheit bei der Kommission

Die Gewährleistung der Sicherheit von Personen, Vermögenswerten und Informationen machen die Kommission zu einem sicheren und geschützten Arbeitsumfeld.

Neue Vorschriften zur Informationssicherheit

Vorschlag für eine Verordnung über die Informationssicherheit in den Organen, Einrichtungen und sonstigen Stellen der Union

Hintergrund

Aufgrund der ständig wachsenden Menge an vertraulichen, nicht als Verschlusssache eingestuften und als EU-Verschlusssachen eingestuften Informationen („EU-VS“), die die Institutionen, Einrichtungen, sonstigen Stellen und Agenturen der EU untereinander austauschen müssen, und angesichts der dramatischen Entwicklung der Bedrohungslage ist die europäische Verwaltung in allen ihren Tätigkeitsbereichen Angriffen ausgesetzt. Die von unseren Institutionen, Einrichtungen und sonstigen Stellen verarbeiteten Informationen sind ein lohnendes Ziel für unterschiedlichste Angreifer und bedürfen eines angemessenen Schutzes.

Unsere Institutionen wurden von den Mitgliedstaaten bereits zu solchen Maßnahmen aufgefordert. Ein zentrales Element der vom Europäischen Rat im Juni 2019 angenommenen Strategischen Agenda für 2019–2024 ist der Schutz unserer Gesellschaft vor Bedrohungen, die sich gegen Informationen in Händen der europäischen Verwaltung richten. In seinen Schlussfolgerungen ersuchte der Europäische Rat „die EU-Institutionen, zusammen mit den Mitgliedstaaten Maßnahmen auszuarbeiten, um die Resilienz zu stärken und die Sicherheitskultur der EU hinsichtlich Cyberbedrohungen und hybrider Bedrohungen von außerhalb der EU zu verbessern und die Kommunikations- und Informationsnetze der EU sowie ihre Entscheidungsprozesse besser vor böswilligen Aktivitäten aller Art zu schützen“.

Im Juli 2020 nahm die Kommission ihre EU-Strategie für eine Sicherheitsunion an, in der sie sich verpflichtete, die Maßnahmen der Mitgliedstaaten im Bereich der Sicherheit zu ergänzen. Teil dieses Engagements ist die Initiative zur Harmonisierung der internen Rechtsrahmen für die Informationssicherheit in allen Institutionen, Einrichtungen und sonstigen Stellen der Union.

Ziele

Dieser Vorschlag soll Standardvorschriften für eine hohe Informationssicherheit in allen Organen, Einrichtungen und sonstigen Stellen der Union schaffen, um einen verbesserten und kohärenten Schutz ihrer Informationen vor den sich wandelnden Bedrohungen zu gewährleisten.

Darunter fallen vier konkrete Ziele:

  • Festlegung harmonisierter und umfassender Informationskategorien nach dem Grad ihrer Vertraulichkeit
  • Ermittlung von Sicherheitslücken und Umsetzung der erforderlichen Maßnahmen
  • Einrichtung eines wirksamen Forums für die Informationssicherheit in den Institutionen, Einrichtungen und sonstigen Stellen der Union
  • Modernisierung der Informationssicherheitspolitik unter Berücksichtigung aktueller Trends wie digitaler Wandel und Telearbeit

 

Fragen und Antworten

Warum schlägt die Kommission eine Verordnung über die Informationssicherheit in den Organen, Einrichtungen und sonstigen Stellen der Union vor?

Die Organe, Einrichtungen und sonstigen Stellen der Union verfügen derzeit über uneinheitliche Vorschriften für die Informationssicherheit oder haben keine erlassen. Die Fragmentierung des geltenden Rechtsrahmens hat zu erheblichen Unterschieden zwischen den Sicherheitsniveaus geführt, die diese Organisationen für ihre verarbeiteten Informationen gewährleisten können. Diese Situation erhöht die Gefahr, dass Angreifer an der schwächsten Stelle ansetzen und diese als Ausgangspunkt für weitere Angriffe auf andere Organe oder Einrichtungen nutzen.

Durch die Schaffung eines einheitlichen Regelwerks für die Informationssicherheit in allen Organen, Einrichtungen und sonstigen Stellen der Union schlägt die Kommission eine gemeinsame Grundlage für hohe Standards zum Schutz der verarbeiteten Informationen vor. Darüber hinaus werden die harmonisierten Vorschriften den Informationsaustausch zwischen den Organen, Einrichtungen und sonstigen Stellen sowie auch mit den Mitgliedstaaten erleichtern.

Für wen gilt die vorgeschlagene Verordnung?

Dieser Vorschlag enthält Vorschriften für die EU-Verwaltung (Organe, Einrichtungen, Ämter und Agenturen). Im Rahmen dieses Vorschlags können mittelbar jenen Personen Verpflichtungen auferlegt werden, die Aufgaben im Namen dieser Verwaltung oder auf vertraglicher Grundlage erfüllen (dies gilt nicht für die Kommissionsmitglieder, die im Rat handelnden Vertreter der Mitgliedstaaten, die Mitglieder des Europäischen Parlaments, die Richter/innen der Gerichte der Union oder die Mitglieder des Europäischen Rechnungshofs).

Die vorgeschlagene Verordnung gilt nicht für die Mitgliedstaaten.

Welche Kategorien von Informationen fallen unter die vorgeschlagene Verordnung?

Dieser Vorschlag betrifft nicht als Verschlusssache eingestufte Informationen und EU-Verschlusssachen und gilt für die folgenden Vertraulichkeitsgrade:

  • nicht als Verschlusssache eingestufte Informationen der drei Stufen: für die Öffentlichkeit bestimmte Informationen, normale Informationen und nicht als Verschlusssache eingestufte vertrauliche Informationen;
  • EU-Verschlusssachen der vier Stufen: RESTREINT UE/EU RESTRICTED, CONFIDENTIEL UE/EU CONFIDENTIAL, SECRET UE/EU SECRET, TRES SECRET UE/EU TOP SECRET.

Werden die vorgeschlagenen Vorschriften überprüft?

Alle fünf Jahre nach Inkrafttreten bewertet die Kommission die Verordnung hinsichtlich ihrer tatsächlichen Auswirkungen und der Notwendigkeit weiterer Maßnahmen.

Zudem legt die Kommission dem Europäischen Parlament und dem Rat regelmäßig einen Bericht über die Durchführung dieser Verordnung vor.

Was sind die nächsten Schritte?

Der Vorschlag der Kommission wird nun das ordentliche Gesetzgebungsverfahren im Europäischen Parlament und im Rat durchlaufen.

Auf der informellen Konferenz der Telekommunikationsminister/innen in Nevers am 9. März 2022 wurden die Organe, Einrichtungen und sonstigen Stellen der EU aufgefordert, ihre Cyber- und Informationssicherheit weiter zu stärken, da die EU zu einer wichtigen strategischen Akteurin auf internationaler Ebene geworden ist, die ihre Daten und Netze gegen Cyberbedrohungen schützen muss.

Dokumente

Impact analysis accompanying the proposal

JRC study on information security in the age of EU institutions digitalisation

Weiterführende Links

Pressemitteilung

Text of the proposal

The EU Security Union Strategy: European Security Union

Kommissionsbeschlüsse

EU-Strategie für die Sicherheitsunion: Europäische Sicherheitsunion | Europäische Kommission (europa.eu)

Sicherheitsmaßnahmen sollen die Kommission zu einem sicheren und geschützten Arbeitsumfeld machen. Daher muss die Kommission die Sicherheit von Personen, Vermögenswerten und Informationen in der Kommission auf der Grundlage des Beschlusses (EU, Euratom) 2015/443 der Kommission über die Sicherheit in der Kommission und des Beschlusses (EU, Euratom) 2015/444 der Kommission über die Sicherheitsvorschriften für den Schutz von EU-Verschlusssachen gewährleisten. Dazu gehören insbesondere die physische Unversehrtheit von Personen und Vermögenswerten, die Integrität, Vertraulichkeit und Verfügbarkeit von Informationen und Kommunikations- und Informationssystemen sowie reibungslose Arbeitsabläufe innerhalb der Kommission.

In diesem Zusammenhang muss die Kommission möglicherweise personenbezogene Daten verarbeiten. Eine solche Verarbeitung erfolgt gemäß der Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates vom 23. Oktober 2018 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union, zum freien Datenverkehr und zur Aufhebung der Verordnung (EG) Nr. 45/2001 und des Beschlusses Nr. 1247/2002/EG.

Folgende Datenschutzerklärungen betreffen sicherheitsrelevante Verfahren:

Documents

  • 19. APRIL 2022
Privacy statement on security - European Commission Physical Access Control System (PACS)

  • 6. MAI 2020
Privacy statements on security - European Commission Video Surveillance Policy (CCTV)

  • 19. APRIL 2022
Privacy statement - Security Investigations

  • 2. MAI 2020
Privacy statement on security - Counter-Intelligence - Counter-Terrorism/Extremism - Threats against the Commission

  • 7. APRIL 2022
Privacy statements on security - Background Checks for Contractor staff