Zivile und militärische Forschung

Neues EU-Kompetenzzentrum für Cybersicherheit bleibt umstritten

Die Europäische Union will ihre „Abwehrfähigkeit, Abschreckung und Abwehr“ im Bereich der Cybersicherheit erhöhen. Ein neues Zentrum soll Maßnahmen im Bereich von Forschung und Bildung koordinieren. Die vorgeschlagene Verordnung ist aber nicht kompatibel mit bestehenden Einrichtungen und Förderprogrammen.

Eine Pflanze in einem Stormtrooper-Blumentopf
Das geplante Cybersicherheitskompetenzzentrum soll Forschungen koordinieren, darunter zum Aufbau von Hochleistungsrechnern und zu künstlicher Intelligenz. Gemeinfrei-ähnlich freigegeben durch unsplash.com Gaelle Marcel

Die Einrichtung eines Europäischen Kompetenzzentrums für Cybersicherheit (ECCC) tritt weiterhin auf der Stelle. Zwar hatten die EU-Abgeordneten und die Regierungen der Mitgliedstaaten im März ihre Positionen festgelegt und mit Verhandlungen über eine entsprechende Verordnung begonnen. Eine Einigung erfolgte jedoch nicht wie geplant in der vergangenen Legislaturperiode und ist auch mit dem neuen EU-Parlament nicht absehbar.

Vor über einem Jahr hatte die EU-Kommission eine Verordnung zur Einrichtung eines ECCC vorgelegt. Grundlage waren Schlussfolgerungen, in denen der Rat vor zwei Jahren mehr „Abwehrfähigkeit, Abschreckung und Abwehr“ für die Cybersicherheit gefordert hatte. Das dort erstmals genannte ECCC soll die Abhängigkeit der Europäischen Union von „nichteuropäischen Cybersicherheitsanbietern“ reduzieren und Anstrengungen in den Bereichen Industrie, Technologie und Forschung bündeln. Damit soll das „reibungslose Funktionieren des Binnenmarkts“ sichergestellt werden.

Nationale Koordinierungszentren und „Kompetenzgemeinschaft“

Kern der Verordnung ist die Vernetzung von nationalen Koordinierungszentren in den Mitgliedstaaten. Geplant ist außerdem die Einrichtung einer „Kompetenzgemeinschaft für Cybersicherheit“, an der sich VertreterInnen der Industrie, von Hochschulen und gemeinnützigen Forschungsorganisationen sowie öffentliche Einrichtungen beteiligen sollen.

Von Anfang an war jedoch strittig, wie sich das ECCC von bestehenden Einrichtungen abgrenzt. Mit der Agentur für Cybersicherheit (ENISA) gibt es in der Europäischen Union bereits eine Einrichtung mit ähnlicher Zielsetzung.

Das ECCC soll vor allem Forschung koordinieren und Förderungen von mehreren Milliarden Euro verwalten. Deshalb muss das Verhältnis zum Forschungsprogramm „Horizont Europa“ geklärt werden, über das Projekte für die Cybersicherheit derzeit gefördert werden. Auch im neuen Programm „Digitales Europa“ werden entsprechende Gelder vergeben, etwa zum Aufbau von Hochleistungsrechnern und zu Anwendungen künstlicher Intelligenz.

Uneinigkeit zur Rechtsform

Vorgesehen ist, dass die Ausgaben der beiden bestehenden EU-Programme zukünftig vom ECCC koordiniert werden. Nach derzeitigen Plänen würden Entscheidungen über einzelne Forschungsprojekte aber weiterhin in den zuständigen Gremien von „Horizont Europa“ und „Digitales Europa“ getroffen, das ECCC übernähme demnach nur eine Steuerungsfunktion. Allerdings ist die im Rat diskutierte Verordnung für das ECCC nicht mit den Verordnungen der beiden Programme kompatibel.

Das bemängelt auch der Juristische Dienst der Kommission. Denn in der derzeitigen Forschungsförderung müssen die Mitgliedstaaten zusätzliche Mittel zur Finanzierung von einzelnen Maßnahmen beisteuern, in „Horizont Europa“ ist beispielsweise eine Kofinanzierung von mindestens der Hälfte vorgeschrieben. Viele Mitgliedstaaten wollen das ECCC aber nicht mit weiteren Geldern kofinanzieren.

Auch die Rechtsform des ECCC ist nach wie vor ungeklärt. Die Kommission schlägt vor, es nicht als Agentur, sondern als „gemeinsamen Ansatz der EU“ zu installieren. Solche „institutionalisierten europäischen Partnerschaften“ und „Strukturen“ sind in den Artikeln 173, 185 und 187 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV) bestimmt. Sie ermöglichen gemeinsame Aktivitäten der Mitgliedstaaten ohne eine verpflichtende Kofinanzierung, sondern nur mit freiwilligen Eigenanteilen für bestimmte Projekte.

Regierungen fürchten Einfluss der Kommission

Würde das ECCC tatsächlich eine „institutionalisierte europäische Partnerschaft“ oder „Struktur“ der Europäischen Union, müsste es von einer Generaldirektion der Kommission verwaltet werden. Damit hätte die Kommission automatisch ein Vetorecht im Verwaltungsrat des ECCC. Diesen Machtzuwachs lehnen zahlreiche Mitgliedstaaten ab.

Möglich wäre auch, die Verwaltung des ECCC an die Gemeinsame EU-Forschungsstelle (JRC) zu übertragen. Dann könnten aber keine „gemeinsamen Aktivitäten“ gemäß den Artikeln 185 und 187 AEUV durchgeführt werden.

Hinzu kommt, dass wegen der noch offenen Rechtsform auch die zukünftigen Aufgaben und auch die Zusammensetzung des Verwaltungsrats unklar sind. Als „institutionalisierte Partnerschaft“ würde der Verwaltungsrat beispielsweise das Arbeitsprogramm des ECCC festlegen. Ohne eine Kofinanzierung durch die Mitgliedstaaten bliebe dies jedoch weiter den Gremien von „Horizont Europa“ und „Digitales Europa“ vorbehalten. Zu den wohl kleineren Problemen des Rates gehört, dass das EU-Parlament einen Beobachterstatus im Verwaltungsrat fordert.

Zivil-militärische Zusammenarbeit

Schließlich schlägt die Kommission in ihrer Verordnung vor, dass das ECCC die Zusammenarbeit zwischen ziviler und militärischer Forschung koordiniert. Das ECCC soll dem Vorschlag zufolge „Synergien“ bei der „Cyberabwehr“ herstellen. Militärische Projekte zur Cybersicherheit sollen über den umstrittenen Verteidigungsfonds finanziert werden, der allerdings noch nicht beschlossen ist.

Genannt werden hierzu „Technologien und Anwendungen mit doppeltem Verwendungszweck“ sowie die Bereiche Bildung, Schulung und Übungen.

Das alte EU-Parlament hat mit dieser zivil-militärischen Zusammenarbeit kein grundsätzliches Problem, forderte aber eine Definition von „Cyberabwehr“. Für die Nutzung des zukünftigen Verteidigungsfonds für Maßnahmen des ECCC gaben die Abgeordneten grünes Licht.

Zahlreiche Detailfragen unklar

Vorgesehen war, dass das ECCC im Januar 2021 mit der Arbeit beginnt. Wegen der vielen zu klärenden Fragen wird daraus vermutlich nichts. Offen ist zudem der Standort des Zentrums. Einige Mitgliedstaaten haben Interesse an der Ansiedlung des ECCC geäußert. Die Kommission will es jedoch in Brüssel installieren, um auf bereits vorhandenes Personal der Programme „Horizont Europa“ und „Digitales Europa“ zurückgreifen zu können.

Auf Ebene der Mitgliedstaaten wird die Verordnung zur Einrichtung eines ECCC in der Ratsarbeitsgruppe „Horizontale Fragen der Cyberpolitik“ beraten, zu einem späteren Zeitpunkt wird die Ratsarbeitsgruppe „Forschung“ einbezogen. Im Parlament liegt das Dossier im Ausschuss für Industrie, Forschung und Energie (ITRE). Berichterstatterin war die Piratin Julia Reda, im neuen EU-Parlament übernimmt dies der Grüne Rasmus Andresen.

Sollten die Regierungen und das Parlament sich zum ECCC einigen, müssen anschließend die Aufgaben und Kompetenzen der Nationalen Koordinierungszentren bestimmt werden. Sie könnten ebenfalls in die Diskussion über das jährliche Arbeitsprogramm eingebunden werden, außerdem obliegt ihnen die Steuerung einzelner Projekte. Hierzu muss aber definiert werden, welche Anforderungen ein solches Koordinierungszentrum überhaupt erfüllen muss und wie sich private Firmen daran beteiligen dürfen.

0 Ergänzungen

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.