EU-Expertengremium soll Standards für NIS2-Umsetzung definieren

Auf Grundlage der jüngsten europäischen Cybersicherheits-Richtlinie (NIS-2) will die EU-Kommission bis Ende des Jahres ein neues Forum für beteiligte Branchen und Experten einsetzen. Das sogenannte „Multi-Stakeholder-Forum zur Einführung von Internetstandards“ soll die praktische Umsetzung der NIS-2-Standards für den sicheren Betrieb von Netzen, Routing, E-Mails und Domains voranbringen.

Neben der Bestimmung der besten verfügbaren Standards sollen die technischen Experten Zeitpläne für die Umsetzung entwerfen und mögliche Schwierigkeiten auf dem Weg dahin adressieren. Damit sollen die allgemein formulierten NIS-2-Bestimmungen für mehr Cybersicherheit konkret ausgestaltet werden.

EU-Kommission bei der IETF

„Wir glauben, dass die Multi-Stakeholder-Natur des Prozesses die Akzeptanz der Standards über die von der NIS verpflichteten hinaus verbessern kann“, sagte Rüdiger Martin von der Generaldirektion Kommunikationsnetze der EU-Kommission.

Auf dem am Freitag zu Ende gehenden Treffen der Internet Engineering Task Force (IETF) in Madrid erläuterte die Kommission den versammelten Entwicklern das geplante Gremium. Vier Arbeitsgruppen sollen sich um die Themen Netzwerkprotokolle, E-Mail, DNS und Routing kümmern. Für jedes Team gibt es eine Redaktionsgruppe, außerdem eine übergeordnete Koordinationsgruppe für den gesamten Prozess und vierteljährliche Plenumssitzungen ab Ende 2026.

Die Arbeiten der Gruppe sollen bis zum vierten Quartal 2027 abgeschlossen sein. Bis dahin soll der NIS-2-Standardkanon stehen. Wie auf dynamische Entwicklungen im Bereich Sicherheit und auch Standardisierung reagiert werden soll, bleibt offen. Ein dauerhaftes Mandat gibt es für die Gruppe vorerst nicht.

Laut Martin will die Kommission nach der Sommerpause einen Aufruf zur Mitarbeit veröffentlichen. Zugleich werde man einen ersten Entwurf dazu vorlegen, wie man sich die Verfahrensregeln für das neuartige Gremium vorstellt.

Offen für alle?

Im Vergleich zu klassischen EU-Expertengruppen gebe es erst einmal keine Begrenzung der Teilnehmerzahl, sagte Martin. Entscheidendes Kriterium sei die „technische Expertise“. Experten könnten von Firmen oder Organisationen benannt werden oder auch individuell teilnehmen.

Dass auch Experten aus Nicht-Mitgliedsstaaten zugelassen werden, schlossen die Kommissionsvertreter nicht grundsätzlich aus. Vor allem will man sich aber an von den 32022L2555:NIS2-Bestimmungen Betroffene wenden. Auch gegen die Beteiligung technischer Experten von NGOs spreche nichts.

Die Kommission ist auf Tour und macht Werbung für das neue Gremium. Vor der IETF waren Kommissionsvertreter bei der IP-Adressvergabestelle RIPE und bei der von der Internet Society unterstützten MANRS-Gruppe, die sich um „Mutually Agreed Norms for Routing Security“ kümmert. „Und das ist noch nicht das Ende“, sagte Martin. Auf der Liste stehen neben den mit Sicherheit befassten EU-Institutionen (EUIBA) und zuständigen Behörden der Mitgliedsstaaten auch Telcos, Hersteller und die ICANN.

„Patt aufheben“

Noch nicht restlos klar wurde in Madrid, was im neuen NIS-Multi-Stakeholder-Forum als „Konsens“ gelten soll beziehungsweise wie am Ende über die in den Gruppen erarbeiteten Vorschläge zu Umsetzungsfristen oder Standards entschieden wird.

Die Gruppe sei anders als übliche EU–Expertengruppen, versicherte Martin. Es gehe nicht darum, Vorschläge für Arbeiten der Kommission zu entwickeln, sondern die praktische Umsetzung zu gestalten. Während man grundsätzlich auf konsensuale Entscheidungen hofft, müsse man „ein Patt aufheben, sollte es das geben“, sagte Martin.

(vbr)