Indignatie redactie 
Het Duitse federale kabinet heeft onlangs de cybersecurity-strategie 2021 aangenomen, waarin de actiegebieden en doelen voor de komende vijf jaar zijn vastgelegd. De beslissende factor voor succes ontbreekt echter.
Of het nu gaat om een financiële crisis, migratie of de pandemie van het coronavirus, het afgelopen decennium heeft aangetoond dat Duitsland zijn internationale doelen niet gemakkelijk kan verwezenlijken zonder de Europese Unie . Met dit feit wordt nauwelijks rekening gehouden in de Duitse cyberbeveiligingsstrategie die op 8 september is aangenomen.
De positionering van Duitsland in het Europese en internationale cyberbeveiligingsbeleid wordt vermeld als de laatste van vier prioritaire actiegebieden. Deze velden zijn grotendeels van binnenlandse aard. Dit geldt ook voor het Duitse discours over het onderwerp IT-beveiliging: vertegenwoordigers van het digitale maatschappelijk middenveld, de Association of the Internet Industry (eco) en enkele professoren in de informatica hebben kritiek op de geplande ontwikkeling van een actieve cyberdefensie, inclusief de mogelijkheid van digitale tegenaanvallen — zogenaamde hackbacks.** Ze bespreken echter voornamelijk binnenlandse federale bevoegdheid of fundamentele rechtenkwesties zoals de scheidingsvereiste.
Europese imperatieven
Er zijn vier redenen waarom de EU veel meer betrokken zou moeten zijn om de strategie te laten werken.
Ten eerste blijft het aantal ernstige cyberbeveiligingsincidenten die gevolgen hebben voor EU-diensten van algemeen belang stijgen. Diplomatiek optreden, reisbeperkingen en bevriezing van tegoeden – bijvoorbeeld Russische inlichtingenofficieren die de schuld krijgen van cyberaanvallen – zijn in het verleden omslachtig, onsamenhangend en ineffectief gebleken. Een puur nationaal perspectief betekent dat EU-lidstaten niet uniform reageren op cyberincidenten.
Ten tweede is de EU niet alleen het kader voor het Duitse beleid, maar is ze er ook onlosmakelijk mee verweven door de directe werking van het Europese recht. In de uitspraak van het Europese Hof van Justitie (HvJ) uit 2014 over het bewaren van gegevens zijn niet alleen eisen gesteld aan gegevensbescherming, maar ook aan gegevensbeveiliging. Op dezelfde manier is de EU Cybersecurity Act van 2019 een verordening en verplicht daarmee alle lidstaten om deze uit te voeren.
Het belang van het EU-recht en de jurisprudentie van het HvJ wordt in de Duitse cybersecuritystrategie echter onderschat. Toch zijn dit centrale referentiepunten voor de Duitse wetgeving. Anderzijds kan Duitsland zonder de Europese Unie geen cybersancties opleggen aan derde landen of hun zogenaamde volmachten.
Ten derde kan de Duitse regering de EU niet herleiden tot een coördinerende rol, al was het maar omdat bescherming van de interne markt ondenkbaar is zonder dat de Europese Commissie optreedt als waarborg voor EU-verdragsverplichtingen. De veiligheid en stabiliteit van de EU is niet alleen de taak van de lidstaten. Zo zal de Europese Commissie tegen 2023 een gezamenlijke cybereenheid opzetten om gezamenlijk op te treden tegen aanvallers. Een deel van de noodzakelijke investeringen zal worden verstrekt via het programma Digitaal Europa. De ontwikkeling van cyberdefensiecapaciteiten zal worden gefinancierd door het Europees Defensiefonds. In haar toestand van het adres van de Europese Unie op 15 september, de Europese Commissie-voorzitter Ursula von der Leyen ook aangekondigd een cyber veerkracht act om gemeenschappelijke normen te definiëren.
Ten vierde kan transnationale cybercriminaliteit niet effectief op puur nationaal niveau worden opgelost. Europol en het European Cybercrime Centre (EC3) worden door andere staten gezien als rolmodellen in de internationale strijd tegen cybercriminaliteit juist vanwege hun transnationale onderzoekssuccessen. De roep om een Europees opsporingsagentschap naar het voorbeeld van het Federal Bureau of Investigation wordt dan ook steeds luider in het cybersecuritybeleid.
Over het algemeen is het duidelijk dat cyberbeveiliging in de EU niet langer een nationale aangelegenheid is, maar moet worden gezien als een onderdeel van haar gedeelde soevereiniteit.
Duitsland in een mondiale context
De noodzakelijke integratie in de Duitse cyberbeveiligingsstrategie beperkt zich echter niet tot de EU. Het moet ook gepaard gaan met een sterke trans-Atlantische samenwerking tussen de Europese Unie en de VS binnen de nieuw opgerichte Trade and Technology Council. Veel te vaak wordt bij trans-Atlantische samenwerking gedacht aan nationaal bilateralisme tussen Duitsland en de Verenigde Staten .
Het eerste argument hiervoor is dat alliantiesolidariteit de Duitse regering verplicht om ook in vredestijd een actieve cyberverdediging te handhaven. Een veeleisende technische, juridische en politieke toekenning kan echter niet worden gecoördineerd zonder de Europese Dienst voor extern optreden en ook niet worden gerealiseerd zonder medewerking van de VS.
Hiervoor moet Duitsland op zijn beurt nauw samenwerken met zijn EU-partners zoals Frankrijk, Nederland, Denemarken of Zweden. De transnationale kritieke infrastructuur van Duitsland op zichzelf verhindert het in feite om het alleen te doen in cyberdefensie, niet in de laatste plaats omdat de expertise voor geavanceerde technische oplossingen niet voldoende beschikbaar is in Duitsland.
Een overtuigende beveiligingsstrategie vereist daarom nauwe samenwerking met internationale experts en kennis die op EU-niveau wordt overgedragen via Europol in coördinatie met onderzoekscentra voor cyberbeveiliging en het Agentschap van de Europese Unie voor cyberbeveiliging (ENISA). Duurzame invloed op mondiale standaarden en normstelling in de multi-stakeholder forums van internetgovernance kan ook op de lange termijn alleen succesvol zijn als democratische staten onderling afstemmen op het gebied van gegevensbescherming en gegevensbeveiligingsbeleid.
In het licht van de steeds complexere mondiale politiek moet de nieuwe Duitse regering de cyberbeveiligingsstrategie onmiddellijk Europeaniseren, zodat ze zichzelf ziet als onderdeel van de EU-cyberstrategie 2020 en, in een mondiale context, dient om samen te werken met haar democratische bondgenoten.
