Bewertung nationaler Cyber-Sicherheitsstrategien

ENISA veröffentlicht das erste Rahmenwerk

[datensicherheit.de, 28.11.2014] ENISA bringt heute, 28.11.2014,  ein Bewertungsrahmenwerk zur nationalen Cyber-Sicherheitsstrategie (NCSS) heraus, das sich an Regelwerksexperten und Regierungsbeamte richtet, die eine NCSS entwerfen, implementieren und evaluieren müssen. Das Rahmenwerk entspricht strikt der von der Europäischen Union vorgeschriebenen EU CSS, der EU Cyber Security Strategy und soll den Mitgliedstaaten dabei helfen, im Bereich der NCSS Fähigkeiten und Möglichkeiten zu entwickeln.

Das hierzu entwickelte Rahmenwerk ist ein flexibler und pragmatischer Ansatz, der auf den bewährten Praktiken führender NCSS-Experten aus 18 EU NCSS und acht außereuropäischen NCSS beruht. Es lässt sich je nach dem bereits erreichten Reifegrad im Lebenszyklus einer NCSS leicht an die Erfordernisse und Bedürfnisse eines einzelnen Mitgliedsstaates anpassen.

Das Rahmenwerk empfiehlt eine schrittweise Herangehensweise und präsentiert ein Set an praktischen Schlüsselleistungsindikatoren (key performance indicators – KPIs). Darüber hinaus macht es Vorschläge zur korrekten Implementierung des Rahmenwerkes.

Der Bericht baut auf früheren Arbeiten der ENISA zur NCSS auf. 2012 führte die ENISA ein Handbuch zu bewährten Praktiken bei der Implementierung einer NCSS auf der Grundlage eines wohldefinierten Lebenszyklus ein. Das Handbuch enthielt unter anderem eine Analyse dazu, wie man den Privatsektor in den Prozess einbeziehen kann, wie sich politische, betriebliche und gesetzliche Ziele miteinander vereinbaren lassen und wie Fähigkeiten und Möglichkeiten in Bezug auf Cybersicherheitsfragen zu entwickeln sind.

Udo Helmbrecht kommentierte das Projekt folgendermaßen: „Die nationale Cyber-Sicherheitsstrategie ist ein wichtiger Schritt, der es den Mitgliedsstaaten der EU erlaubt, Cybersicherheitsrisiken und die damit einhergehenden Herausforderungen anzugehen. Es handelt sich dabei um einen fortlaufenden Prozess, der eine korrekte Evaluierung erfordert, damit er sich den ständig neuen Bedürfnissen der Gesellschaft, Technologie und Wirtschaft anpassen kann. Mit dieser Arbeit liefert die ENISA ein systematisches und praktisches Bewertungsrahmenwerk, das den EU-Mitgliedsstaaten die Möglichkeit gibt, ihre Fähigkeiten bei der Erarbeitung einer eigenen NCSS zu verbessern.“

Der Bericht wurde am 27. November 2014 anlässlich des von der ENISA organisierten ersten Workshops zu Nationalen Cybersicherheitsstrategien in Brüssel präsentiert. Führende Experten aus allen EU-Mitgliedsstaaten stellten ihre nationalen Aktionspläne zur Cybersicherheit vor und nahmen teil an Diskussionsforen zur Infrastruktur bei kritischen Informationen, zu öffentlich-privaten Partnerschaften und zu nationalen Entwicklungsmöglichkeiten im Bereich der Cybersicherheit. Im Laufe des Workshops wurde von allen Seiten betont, wie wichtig die Anwendung eines pragmatischen Evaluierungsrahmenwerks angesichts eines ständig wachsenden Bedarfs und hoher Priorität desselben ist.

Die ENISA unterhält auf ihrer Webseite eine nach Ländern sortierte aktuelle Liste mit EU- und außereuropäischen NCSS. Hier haben öffentliche und private Interessenvertreter die Möglichkeit,sich über den aktuellen Stand zu NCSS-Fragen zu informieren und sich relevantes Material herunterzuladen.

Die Veröffentlichung folgt auf den NCSS-Bericht und den Good Practice Guide on NCSS von 2012.

Weitere Informationen zum Thema:

ENISA – European Union Agency for Network and Information Security
Vollständigen Bericht

datensicherheit.de, 23.01.2014
ENISA fordert Tauglichkeitsprüfungen für industrielle Steuerungssysteme auf EU-Ebene