Die Verordnung über die Zertifizierung der Cybersicherheit von Informations- und Kommunikationstechnik (kurz: Cybersecurity Act) ist am 27. Juni 2019 in Kraft getreten. Sie trägt der herausragenden Bedeutung der Digitalisierung in der modernen Gesellschaft Rechnung und hat zum Ziel, die Sicherheit von Informations- und Kommunikationstechnologien (IKT) zu fördern. Als Teil der Reform der Cybersicherheit in Europa soll die Verordnung dazu beitragen die Cybersicherheit zu stärken.
Reform der NIS-Richtlinie
Das Reformpaket zur Cybersicherheit wurde im September 2017 von der Europäischen Kommission vorgelegt. Ziel ist es, Bedrohungen durch Cyberangriffe zu mindern und Chancen neuer Technologien zu nutzen. Zu diesem Paket gehört (neben dem Cybersecurity Act) auch die Richtlinie zur Netz- und Informationssicherheit (NIS-Richtlinie), welche die Mitgliedsstaaten unter anderem verpflichtet, eine Strategie zur Bewältigung von Bedrohungen durch Cyberkriminalität festzulegen.
Aufgrund der steigenden Anzahl von Cyberangriffen und Sicherheitsvorfällen gilt die Reform als erforderlich. Hintergrund dazu bildet unter anderem eine Meinungsumfrage der Europäischen Kommission im Juni 2017. Demnach gehen 86 Prozent der befragten Europäer davon aus, dass das Risiko, Opfer von Cyberkriminalität zu werden, steigt. Gerade weil digitale Vernetzung immer wichtiger wird, sieht die Kommission dringenden Handlungsbedarf im Bereich Cybersecurity.
Mehr Kompetenzen für die ENISA
Die 2004 gegründete Agentur der Europäischen Union für Cybersicherheit (ENISA) verfügte bisher nur über ein vorübergehendes Mandat und begrenzte Ressourcen. Sie unterstützte die Europäische Kommission und die Mitgliedsstaaten mit Leitlinien zu technischen Aspekten der Netz- und Informationssicherheit. Nach der neuen Verordnung dient sie jetzt als Bezugspunkt für Beratung und Sachkenntnis im Bereich Cybersicherheit.
Als Kompetenzzentrum wird sie hauptsächlich beratend und unterstützend tätig, soll aber auch die Umsetzung der Unionspolitik und des Unionsrechts auf dem Gebiet der Cybersicherheit fördern. Dafür soll sie Stellungnahmen abgeben, Leitlinien herausgeben sowie Beratung und bewährte Verfahren zu Themen wie Risikomanagement, Meldung von Sicherheitsvorfällen und Informationsaustausch anbieten. Die Verordnung regelt Ziele, Aufgaben und organisatorische Aspekte der ENISA, erteilt ihr ein dauerhaftes Mandat und erweitert die Kompetenzen und Ressourcen.
Zertifizierungen für Cybersecurity
Der zweite Regelungskomplex des Cybersecurity Act bildet einen Rahmen für EU-weite Zertifizierungen für Produkte, Dienstleistungen und Prozesse der Informations- und Kommunikationstechnologien. Nach Ansicht der Europäischen Kommission spielen Zertifizierungen eine entscheidende Rolle bei der Stärkung des Vertrauens und der Sicherheit in Produkte und Dienstleistungen, welche für den digitalen Binnenmarkt von zentraler Bedeutung sind.
Bisher waren Zertifizierungen für IKT-Produkte und -Dienste nicht gängig, es bestand jedoch die Möglichkeit, sich in einzelnen Mitgliedsstaaten oder im Rahmen brancheneigener Programme zertifizieren zu lassen. Diese aufwändigen und kostenintensiven Verfahren sollen nun abgelöst werden durch eine EU-weit einheitliche Cybersicherheitszertifizierung. Damit sollen Unternehmen ihre Produkte und Dienstleistungen ohne Hindernisse am Europäischen Markt anbieten können. Den Rahmen für diese Cybersicherheitszertifizierung soll die ENISA aufbauen und pflegen.
Das Cybersicherheits-Zertifikat im Detail
Das neue Zertifizierungsschema wird unionsweit einheitliche Anforderungen und Bewertungskriterien für die Cybersicherheit aufstellen. Es besteht aus einem umfassenden Paket von Vorschriften, technischen Anforderungen, Normen und Verfahren. Das Cybersicherheitszertifikat wird bescheinigen, dass die geprüften Produkte, Dienstleistungen und Prozesse bestimmte Anforderungen an die Cybersicherheit erfüllen. Zudem wird es deren Vertrauenswürdigkeit anhand der Stufen "niedrig", "mittel" oder "hoch" kategorisieren. Die Einordnung anhand der Sicherheitsstufen ist das Ergebnis einer Risikoabwägung im Hinblick darauf, wie wahrscheinlich ein Sicherheitsvorfall eintritt und wie er sich auswirkt. Dabei wird auch berücksichtigt, wie des Produkt, der Dienstes oder der Prozess verwendet werden soll.
Auf der Stufe "niedrig" soll gewährleistet sein, dass die bekannten grundlegenden Risiken für Sicherheitsvorfälle und Cyberangriffe möglichst geringgehalten werden. Hier ist es auch möglich, dass ein Hersteller oder Anbieter seine Konformität selbst und alleinverantwortlich bewertet..
Mit der Stufe "mittel" zertifizierte Produkte, Dienstleistungen und Prozesse sollen bekannten Cybersicherheitsrisiken standhalten können. Darunter fällt auch das Risiko von Cybersicherheitsvorfällen und Cyberangriffen seitens Akteuren mit begrenzten Fähigkeiten und Ressourcen.
Auf der Stufe "hoch" soll zertifiziert werden, dass Cyberangriffe auf dem neuesten Stand der Technik durch Akteure mit umfangreichen Fähigkeiten und Ressourcen abgewehrt werden können. Die Erwägungsgründe des Cybersecurity Act stellen jedoch klar, dass auch ein Produkt, Dienst oder Prozess mit einem Zertifikat auf hohem Niveau nicht völlig sicher ist.
Blick in die Zukunft
Die Einführung einer unionsweiten Zertifizierung soll den grenzüberschreitenden Waren- und Dienstleistungsverkehr in der EU fördern und den Binnenmarkt weiter stärken. Zudem können festgelegte gemeinsame Standards die Cybersicherheit erhöhen.
In nächster Zeit bleibt abzuwarten, wie die ENISA die Zertifizierungsschemata ausarbeiten wird. Dabei gilt es auch, die konkreten Anforderungen an die Zertifizierung und die Zertifizierungsstellen festzulegen. Zudem ist noch fraglich, wie der Übergang mit bereits bestehenden Zertifizierungen gehandhabt werden soll. Einzelne Artikel der Verordnung werden erst zum 28. Juni 2021 in Kraft treten. Dies betrifft Regelungen unter anderem zu nationalen Behörden für die Cybersicherheitszertifizierung, Konformitätsbewertungsstellen, das Beschwerderecht und Sanktionen.
Nachdem die Kompetenzen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) auf nationaler Ebene in den letzten Jahren erweitert wurden, ist mit der Stärkung der ENISA ein zunehmender Trend zu einem stärkeren staatlichen Engagement bei der Regulierung von Informations- und Kommunikationstechnologien zu beobachten. Die Bemühungen der EU auf dem Gebiet der Cybersecurity könnten der Grundstein für höhere Standards und möglicherweise sogar für eine größere EU-Cyberbehörde sein. (jd)