Cyberangriffe: Rat verlängert Rahmen für Sanktionen um ein weiteres Jahr

Cyberangriffe: Rat verlängert Rahmen für Sanktionen um ein weiteres Jahr

Der Rat der Europäischen Union hat am 17.05.2021 beschlossen, die „Verordnung (EU) 2019/796 des Rates vom 17. Mai 2019 über restriktive Maßnahmen gegen Cyberangriffe, die die Union oder ihre Mitgliedstaaten bedrohen“ um ein weiteres Jahr bis zum 18.05.2022 zu verlängern.

Die Verlängerung fällt in einen Zeitraum anhaltender Cyberangriffe gegen Unternehmen weltweit. Neben Cyberangriffen auf den Betreiber der größten Öl-Pipeline der USA, die Colonial Pipeline Company, welcher die Öl-Versorgung im Osten der USA lahmlegte, wurden Anfang Juni 2021 auch die Rechenzentren der Volks- und Raiffeisenbanken Opfer eine sog. ‚Distributed-Denial-of-Service-Attacke  (DDoS)‘. Deren Folge war u. a. ein Ausfall des Onlinebankings vieler angeschlossener Banken.

Klassische Sanktionsmaßnahmen als Gegenmittel

Mit der Verordnung (EU) 2019/796 hat die Europäische Union bereits 2019 die rechtlichen Grundlagen für Sanktionsmaßnahmen gegen solche natürlichen oder juristischen Personen, Organisationen oder Einrichtungen geschaffen, die (a) für Cyberangriffe oder versuchte Cyberangriffe verantwortlich sind, (b) für solche Cyberangriffe finanzielle, technische oder materielle Unterstützung leisten oder an solchen Cyberangriffen durch Planung, Vorbereitung, Mitwirkung, Steuerung, Unterstützung oder Ermutigung beteiligt sind oder diese erleichtern oder (c) mit solchen natürlichen oder juristischen Personen, Organisationen oder Einrichtungen in Verbindung stehen.

Solche Personen sollen in Anhang I der Verordnung (EU) 2019/796 aufgenommen werden. Umgesetzt wird dies regelmäßig durch entsprechende Durchführungsverordnungen. Die Folgen einer Aufnahme in Anhang I gleichen denen anderer Sanktionsverordnungen der Europäischen Union und beinhalten das Einfrieren von Geldern und wirtschaftlichen Ressourcen sowie ein umfassendes Bereitstellungsverbot in Bezug auf Gelder und wirtschaftliche Ressourcen.  

Das Merkmal „äußere Bedrohung“

Voraussetzung für eine Sanktionierung ist jedoch, dass es sich um einen “Cyberangriff mit erheblichen Auswirkungen handelt, welcher eine äußere Bedrohung für die Union oder ihre Mitgliedstaaten darstellt“. Die Kriterien für einen solchen Cyberangriff werden ebenfalls in der Verordnung (EU) 2019/796 genannt. Entscheidend dabei ist: Der Cyberangriff muss von außerhalb der Union oder von solchen Personen, Organisationen oder Einrichtungen durchgeführt werden, die außerhalb der Union ansässig oder tätig sind bzw. muss er mit Unterstützung oder auf Anweisung von Personen, Organisationen oder Einrichtungen erfolgen, die außerhalb der Union tätig sind.  

Das Merkmal der “Bedrohung für die Union oder ihre Mitgliedstaaten“ sieht die Verordnung (EU) 2019/796 u. a. dann als erfüllt an, wenn der Cyberangriff auf Informationssysteme erfolgt, die Teil kritischer Infrastrukturen (Gesundheit und Sicherheit der Bevölkerung) sind oder für die Aufrechterhaltung wesentlicher sozialer und/oder wirtschaftlicher Tätigkeiten erforderlich sind. Dazu zählt die Verordnung (EU) 2019/796 neben dem Energiesektor auch das Bankenwesen.

Als Kriterien, anhand derer festgestellt werden soll, ob ein Cyberangriff “erhebliche Auswirkungen“ hat, nennt die Verordnung (EU) 2019/796 neben Umfang, Ausmaß, Wirkung oder Schwere der verursachten Störung u. a. die Zahl der betroffenen Personen und Mitgliedstaaten, die Höhe des wirtschaftlichen Schadens, aber auch die Art und Menge der gestohlenen Daten.  

Folgen für die interne Compliance?

Aus Compliance Sicht bedeutet eine Verlängerung der Verordnung (EU) 2019/796 um ein weiteres Jahr, dass auch weiterhin sichergestellt sein muss, dass die in deren Anhang I gelisteten Personen, Organisationen oder Einrichtungen bei der regelmäßig durchzuführenden Sanktionslisten-Prüfung berücksichtigt werden. Hier sollte unter Umständen Rücksprache mit dem Anbieter der genutzten Software zur Sanktionslisten-Prüfung gehalten werden, denn die Verordnung (EU) 2019/796 gehört sicherlich zu solchen Sanktionsverordnungen der Europäischen Union, die nur selten Gegenstand der öffentlichen Berichterstattung sind.

Links

Verordnung (EU) 2019/796 des Rates vom 17. Mai 2019 über restriktive Maßnahmen gegen Cyberangriffe, die die Union oder ihre Mitgliedstaaten bedrohen

Pressemitteilung des Rates der Europäischen Union über die Verlängerung der Cyberangriff-Verordnung vom 17.05.2021

Quellen

EUR-Lex

Europäischer Rat

 

Ihr Ansprechpartner