Die Verantwortung für die Sicherheit kritischer Infrastrukturen verschiebt sich.

Wer genau für die Sicherung kritischer Infrastrukturen verantwortlich ist, wird sich nach der Unterzeichnung einer Verfügung durch Präsident Trump ändern.

Die Verfügung weist den Assistenten des Präsidenten für nationale Sicherheitsangelegenheiten (APNSA), eine Position, die jetzt Michael Waltz innehat, an, zu prüfen, wie die Verantwortung für die Sicherung kritischer Infrastrukturen im Rahmen einer formellen nationalen Resilienzstrategie, die innerhalb von 90 Tagen nach der Unterzeichnung der Verfügung am 19. März festgelegt wird, stärker auf die staatlichen und lokalen Regierungen übertragen werden kann.

Innerhalb von 180 Tagen nach der Unterzeichnung der Verfügung wird die APNSA außerdem angewiesen, in Abstimmung mit dem Direktor des Office of Science and Technology Policy und anderen Leitern relevanter Behörden alle Richtlinien für kritische Infrastrukturen zu überprüfen und Empfehlungen für Überarbeitungen, Abänderungen und Ersetzungen auszusprechen, die notwendig sind, um eine widerstandsfähigere Haltung zu erreichen. Der Kern dieses Übergangs ist eine Verlagerung hin zu einem „risikoinformierten Ansatz“ im Gegensatz zu dem, was der Präsident als den derzeitigen „Alle-Gefahren-Ansatz“ bezeichnete. Insbesondere schließt die Verfügung alle aktuellen Richtlinien aus, die sich auf angebliche „Fehlinformationen“, „Desinformationen“ oder „Malinformationen“ oder die sogenannte „kognitive Infrastruktur“ beziehen. Dieser letzte Satz schließt die künstliche Intelligenz (KI) ein und entspricht damit früheren Verfügungen, die Einführung dieser Technologien durch den Abbau von Vorschriften zu beschleunigen.

Innerhalb von 240 Tagen nach dem Datum der Verfügung wird die APNSA in Abstimmung mit den Leitern der zuständigen Behörden angewiesen, alle nationalen Bereitschafts- und Reaktionsstrategien zu überprüfen und die notwendigen Überarbeitungen, Aufhebungen und Ersetzungen zu empfehlen, um den Prozess und die Maßstäbe für die Zuständigkeit der Bundesbehörden neu zu formulieren, um vom derzeitigen Alle-Gefahren-Ansatz wegzukommen.

Schließlich wird die APNSA angewiesen, innerhalb von 240 Tagen nach der Unterzeichnung der Verfügung in Abstimmung mit dem Direktor des Office of Management and Budget und den Leitern der zuständigen Behörden die Entwicklung eines nationalen Risikoregisters zu koordinieren, um die Risiken für die nationale Infrastruktur der USA, die damit verbundenen Systeme und ihre Nutzer zu identifizieren, zu beschreiben und zu quantifizieren.

In der Tat hat die Trump-Regierung, ähnlich wie viele andere Unternehmen es bereits getan haben, beschlossen, einigen Cybersicherheitsrisiken Vorrang vor anderen einzuräumen. Es gibt natürlich immer noch viele heftige Debatten darüber, was eine Bedrohung für kritische Infrastrukturen darstellt und welche Infrastrukturen tatsächlich als kritisch angesehen werden können. Sicher ist nur, dass in relativ kurzer Zeit ein gewaltiger Wandel ansteht. Die Wahrscheinlichkeit, dass Gegner in dieser Zeit Cyberangriffe starten, um beispielsweise kritische Infrastrukturen in Städten und Gemeinden mit begrenzten finanziellen Ressourcen lahmzulegen, war noch nie so groß.

Unternehmen sollten daher entsprechend planen. Während ein Cyberangriff direkt auf ein Unternehmen abzielt, könnte der sogenannte Explosionsradius eines Cyberangriffs, der beispielsweise auf Stromleitungen, Wassersysteme oder eine Gaspipeline abzielt, wochenlang alle Menschen in einer Region betreffen. Unternehmen aller Größenordnungen sind daher gut beraten, ihre Notfallwiederherstellungspläne entsprechend zu überprüfen. Schließlich waren die meisten der zuvor von Unternehmen erstellten Leitfäden angesichts der Abhängigkeit von Unternehmen von einer Vielzahl miteinander verbundener Systeme nie dafür ausgelegt, mit einem Cyberangriff auf kritische Infrastrukturen fertig zu werden, auf dessen Bewältigung die meisten Kommunalverwaltungen möglicherweise nie wirklich vorbereitet sind.