Im Jahr 2017 hat die Europäische Kommission ein Paket mit Maßnahmen vorgelegt, die in den EU-Staaten die Cybersicherheit und die Widerstandskraft gegen Cyberbedrohungen verbessern sollen. Teil des Pakets ist der EU Cybersecurity Act, der Ende Juni 2019 in Kraft getreten ist. Als Verordnung muss er von allen EU-Staaten in vollem Umfang umgesetzt werden.
Der EU Cybersecurity Act (CSA) zielt dabei auf zwei Bereiche ab: Zum einen geht es um die Schaffung eines EU-weiten Kompetenzzentrums für Cybersicherheit, dafür wird die ENISA (ehemals: European Network and Information Security Agency / Europäische Agentur für Netz- und Informationssicherheit, heute: Agentur der Europäischen Union für Cybersicherheit / European Union Agency for Cybersecurity) ausgebaut, mit erweiterten Aufgabenkomplexen betraut und den Mitteln versehen, die für die Erfüllung der Aufgaben notwendig sind. Zum anderen beschreibt der CSA den Rahmen für eine EU-weite Zertifizierung von ITK-Produkten und -Dienstleistungen.
Die ENISA und ihre Aufgaben
Zu den Aufgaben der im Jahr 2004 gegründeten ENISA gehören die Schnittstellenfunktion für die Zusammenarbeit zwischen Staaten und Organisationen bei der Cybersecurity und die Bereitstellung von Know-how und Informationen. Dabei kann es beispielsweise um Unterstützung der EU bei Gesetzesvorhaben und der Entwicklung der Cybersicherheitspolitik gehen oder um die Verhütung und Bewältigung von Cyberbedrohungen und Vorfällen in den Mitgliedstaaten. Unter anderem soll die ENISA Cybersicherheitsübungen, Sensibilisierungs- und Aufklärungskampagnen organisieren, Lageberichte, Leitlinien, Stellungnahmen, Analysen und weitere Unterlagen erarbeiten sowie neue Technologien, aber auch neue Bedrohungen analysieren und bewerten.
Zudem weist ihr der CSA wesentliche Aufgaben bei der Entwicklung und Umsetzung einer EU-weiten Cybersicherheitszertifizierung von IKT-Produkten, -Diensten und -Prozessen zu, wie die Erstellung von Zertifizierungsschemata für Informationssicherheit.
Zertifizierungsrahmen für Cybersicherheit
Mit dem CSA werden weiterhin Vorschriften für eine EU-weite IT-Sicherheitszertifizierung von IT-Produkten und Dienstleistungen eingeführt. Zentrale Anlaufstelle für die Entwicklung der sogenannten Schemata, dem Paket von Vorschriften, technischen Anforderungen, Normen und Verfahren für die Bewertung der Sicherheitseigenschaften der Produkte, ist die ENISA. Dem Zertifizierungsrahmen sollen weitgehend internationale Standards zugrunde gelegt werden.
Einheitliche Zertifizierungen für ITK-Lösungen gibt es derzeit nicht in der EU, je nach Mitgliedsstaat, in Teilen auch branchenspezifisch, müssen die Hersteller unterschiedliche Anforderungen bedienen und ihre Produkte für den jeweiligen Markt, in dem sie verkauft werden sollen, zertifizieren lassen. Eine – freiwillige – Zertifizierung auf der EU-weiten Grundlage soll für sie Anreize schaffen, in die IT-Sicherheit ihrer Produkte zu investieren, und ihnen Absatzmöglichkeit im Binnenmarkt erschließen, ohne sie mit dem Aufwand und den Kosten für Zertifizierungen für mehrere Länder zu belasten.
Vertrauen in die Produktsicherheit
Auf Verbraucherseite sollen die von allen EU-Mitgliedstaaten anerkannten Zertifikate das Vertrauen in Produkte stärken, insbesondere auch im Bereich IoT. Die Zertifikate sollen bescheinigen, dass die geprüften Lösungen bestimmte Anforderungen an die Cybersicherheit erfüllen, und die Verbraucher bei Kaufentscheidungen unterstützen. Die Vertrauenswürdigkeit der Produkte soll in drei Stufen (niedrig, mittel und hoch) eingeteilt werden. Der Einordnung liegt eine Abwägung hinsichtlich des Risikos zugrunde, wie wahrscheinlich ein Sicherheitsvorfall eintreten und wie er sich auswirken kann. Zudem schreibt der CSA für die Produkte Sicherheit durch Voreinstellungen und Technikgestaltung fest.
Die Cyberbedrohungen nehmen kontinuierlich zu. Der CSA kann mit der Stärkung der ENISA und dem Zertifizierungsangebot die Produktsicherheit erheblich verbessern und EU-weit zu höheren Security-Standards führen.
