Compliance

Produkt-Zertifizierungen werden Pflicht

24.07.2019
Von   
Dr. Michael Rath ist Rechtsanwalt, Fachanwalt für Informationstechnologie-Recht und Partner der Luther Rechtsanwaltsgesellschaft mbH mit Sitz in Köln. Zudem ist er Certified ISO/IEC 27001 Lead Auditor. Seine Beratungsschwerpunkte sind das IT-Recht, Datenschutzrecht und der Gewerbliche Rechtsschutz. Dr. Michael Rath ist u.a. Mitglied in der Deutschen Gesellschaft für Recht und Informatik e.V. (DGRI) und akkreditierter Schlichter für IT-Streitigkeiten bei der Schlichtungsstelle der DGRI.
Das sollten Sie bezüglich Zertifizierungen nach dem Produktsicherheitsstandard IEC/EN 62368-1 und nach Cybersecurity Act (Cybersicherheitszertifikat) beachten.

Produkte und Dienstleistungen zu zertifizieren wird immer wichtiger. Ein aktuelles Beispiel ist der Sicherheitsstandard für audiovisuelle Produkte und solche aus der Informationstechnologie (ITE). Mit Einführung des Standards IEC/EN 62368-1 wandelt sich der Produktsicherheitsmaßstab für Audio-, Video- und ähnliche elektronische Geräte sowie IT-Zubehör von einem reglementierenden Ansatz zu einem risikobasierten Sicherheitsansatz. Der neue Standard löst insbesondere den bisherigen Standard IEC/EN 60950-1 ab.

Am 20 Dezember 2020 müssen Audio-, Video- und ähnliche elektronische Geräte sowie IT-Zubehör zertifiziert sein.
Am 20 Dezember 2020 müssen Audio-, Video- und ähnliche elektronische Geräte sowie IT-Zubehör zertifiziert sein.
Foto: PhuShutter - shutterstock.com

Am 20. Dezember 2020 endet in der EU die bisherige Konformitätsvermutung zugunsten solcher Produkte mit einer Zertifizierung nach dem Standard IEC/EN 60950-1. Die USA haben dieses Ablaufdatum übernommen, so dass in beiden Märkten ab dem 20. Dezember 2020 betroffene Produkte nach dem Standard UL/IEC/EN 62368-1 geprüft sein müssen. Nichtkonforme Produkte ohne eine Zertifizierung nach dem neuen Standard dürfen nach dem 20. Dezember 2020 nicht mehr in diesen Märkten verkauft werden.

EU-weite Zertifizierung für Cybersicherheit

Eine Zertifizierung wird auch mit Blick auf die Erhöhung der Cybersicherheit zur Pflicht. Zwar ist auch der Produktsicherheitsstandard IEC/EN 62368-1 wichtig für die Cybersicherheit, denn er erleichtert die Einführung neuer Technologien von Verbraucherelektronik bis hin zu Bürozubehör und bietet mehr Flexibilität beim Produktdesign.

Wo aber der Standard "nur" die Sicherheit des IKT-Produkts als solches erfasst, geht die Verordnung über die ENISA (Agentur der Europäischen Union für Cybersicherheit) und über die Zertifizierung der Cybersicherheit von Informations- und Kommunikationstechnik (kurz Cybersecurity Act) einen entscheidenden Integrationsschritt weiter.

Grenzüberschreitende Zertifizierung

Der bisher bestehende Flickenteppich aus nationalen Zertifizierungssystemen in Europa hat es den Herstellern und Anbietern im Bereich IKT in der Vergangenheit nicht leicht gemacht, ihre Waren und Dienstleistungen grenzübergreifend anzubieten. So konnte es sein, dass eine nationale Zertifizierung in einem anderen Mitgliedsstaat nicht anerkannt wurde, da Voraussetzungen und Verfahren für die jeweiligen nationalen oder brancheninternen Zertifizierungen erheblich variieren. Dies konnte es erforderlich machen, die eigenen Produkte oder Dienstleistungen in mehreren Ländern unter verschiedenen Anforderungen zu zertifizieren.

Diese aufwändigen und kostenintensiven Verfahren werden nun durch die EU-weit einheitliche Cybersicherheitszertifizierung abgelöst.

Mit Inkrafttreten des Cybersecurity Act ist nun der Weg frei für eine europaweit einheitliche Zertifizierung von Produkten, Dienstleistungen und Prozessen der Informations- und Kommunikationstechnologien. Dabei geht es (über das eigentliche Produkt hinaus) um die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit gespeicherter, übermittelter oder verarbeiteter Daten, Funktionen oder Dienste (Erwägungsgrund 75 Cybersecurity Act).

Einen vergleichbaren Zertifizierungsrahmen hat es bisher nicht gegeben. Erstmalig können Hersteller und Anbieter das Zertifikat über die Sicherheit ihrer Produkte und Dienstleistungen in allen Mitgliedstaaten der Europäischen Union anerkennen lassen.

Was macht der Cybersecurity Act?

Der Cybersecurity Act ermöglicht es, Zertifizierungsschemata zu erstellen, die einheitliche Anforderungen und Bewertungskriterien für die Cybersicherheit festlegen. Die Schemata werden von der ENISA, der Agentur der Europäischen Union für Cybersicherheit, konzipiert und bestehen aus einem umfassenden Paket von Vorschriften, technischen Anforderungen, Normen und Verfahren. Dafür wurden die personellen und finanziellen Ressourcen der Agentur erheblich aufgestockt.

Was ist ein Cybersicherheitszertifikat?

Das Cybersicherheitszertifikat wird in der Verordnung definiert als ein Dokument, in dem bescheinigt wird, dass ein bestimmtes IKT-Produkt, -Dienst oder -Prozess im Hinblick auf die Erfüllung besonderer Sicherheitsanforderungen bewertet wurde. Diese Anforderungen sind in einem europäischen Schema für die Cybersicherheitszertifizierung festgelegt

Das Zertifikat unterscheidet nach den drei Sicherheitsstufen "niedrig", "mittel" und "hoch" auf Basis einer Risikoabwägung im Hinblick auf Wahrscheinlichkeit und Auswirkungen eines Sicherheitsvorfalls. Dabei wird die beabsichtige Verwendung des Produkts, Dienstes oder Prozesses mitberücksichtigt.

Ausblick

Die Zertifizierung wird den grenzüberschreitenden Waren- und Dienstleistungsverkehr in der EU fördern und den Binnenmarkt weiter stärken. In nächster Zeit bleibt abzuwarten, wie die ENISA die Zertifizierungsschemata ausarbeiten und die konkreten Anforderungen an die Zertifizierung und die Zertifizierungsstellen festlegen wird. Zudem ist noch fraglich, wie der Übergang mit bereits bestehenden Zertifizierungen gehandhabt werden soll. (jd)