Der neue Rechtsakt zur Cybersicherheit ist Teil eines Maßnahmenpaketes, welche die Europäische Kommission 2017 vorgelegt hat, um Mitgliedstaaten besser bei der Bewältigung von Bedrohungen und Angriffen im Cyberspace zu unterstützen. Am 27. Juni 2019 ist der Cybersecurity Act (CSA) in Kraft getreten. Die unmittelbar in der EU geltende Verordnung soll dazu beitragen, dass IT-Produkte, -Dienste und -Prozesse zukünftig bereits in der Phase von Konzeption und Entwicklung Anforderungen an die Cybersicherheit berücksichtigen und umsetzen. Die unionsweite Zertifizierung soll den grenzüberschreitenden Waren- und Dienstleistungsverkehr in der EU fördern und den Binnenmarkt weiter stärken. Zudem können festgelegte gemeinsame Standards die Cybersicherheit weiter erhöhen.

Zu diesem Zweck wird einerseits die Agentur für Cybersicherheit (ENISA) implementiert und mit einem dauerhaften Mandat ausgestattet sowie andererseits Regeln zum Thema IT-Sicherheitszertifizierungen definiert.

Ziel der Regelungen ist, dass Verbraucher Geräten des Internets der Dinge besser vertrauen können, Unternehmen durch einen einheitlichen Zertifizierungsrahmen und eine Anlaufstelle Kosten einsparen, weil sie nicht Zertifikate in mehreren Ländern beantragen müssen und Anreize für Unternehmen geschaffen werden, in die Cybersicherheit ihrer Produkte zu investieren.

Stärkung der ENISA

Zu diesem Zweck wird die Rolle der Agentur der Europäischen Union für Cybersicherheit (ENISA) gestärkt. Die ENISA wurde bereits 2004 als die „Europäische Agentur für Netz- und Informationssicherheit“ gegründet. Ihre Tätigkeitsfelder werden nun erweitert und die Agentur mit mehr finanziellen Mitteln ausgestattet. Der Aufgabenbereich umfasst beispielsweise die Unterstützung der Mitgliedstaaten, Einrichtungen und sonstigen Stellen der EU bei der Verbesserung der Cybersicherheit. Gleichzeitig soll die ENISA bei Gesetzesvorhaben und bei der Entwicklung der Unionspolitik unterstützen. Des Weiteren werden Cybersicherheitsübungen durchgeführt, Wissen vermittelt und Informationen in Form von Handreichungen und Stellungnahmen bereitgestellt. Als wesentliche neue Aufgabe soll die ENISA Schemata für Cybersicherheitszertifizierungen vorbereiten, deren Elemente in der Verordnung beschrieben werden.

Zertifizierungen für Cybersecurity

Der zweite Regelungskomplex des Cybersecurity Act bildet einen Rahmen für EU-weite Zertifizierungen für Produkte, Dienstleistungen und Prozesse der Informations- und Kommunikationstechnologien (IKT). Bisher sind Zertifizierungen für diese Produkte und -Dienste nicht einheitlich geregelt, es bestand lediglich die Möglichkeit, sich in einzelnen Mitgliedsstaaten oder im Rahmen brancheneigener Programme zertifizieren zu lassen. Diese teils aufwändigen und kostenintensiven Verfahren sollen nun durch eine EU-weit einheitliche Cybersicherheitszertifizierung abgelöst werden.

Das neue Cybersicherheitszertifikat wird bescheinigen, dass die geprüften Produkte, Dienstleistungen und Prozesse bestimmte Anforderungen an die Cybersicherheit erfüllen. Deren Vertrauenswürdigkeit wird anhand der Stufen „niedrig“, „mittel“ oder „hoch“ kategorisiert. Die Einordnung anhand der Sicherheitsstufen erfolgt auf Basis einer Risikoabwägung im Hinblick darauf, wie wahrscheinlich ein Sicherheitsvorfall eintritt und wie er sich auswirkt.

  • Stufe „niedrig“: Die grundlegenden Risiken für Sicherheitsvorfälle und Cyberangriffe werden möglichst geringgehalten. Auf dieser Stufe ist es auch möglich, dass ein Hersteller seine Konformität selbst und alleinverantwortlich bewertet.
  • Stufe „mittel“:  Zertifizierte Produkte, Dienstleistungen und Prozesse sollen bekannten Cybersicherheitsrisiken standhalten können.
  • Stufe „hoch“: Cyberangriffe können auf dem neuesten Stand der Technik gegen Angreifer mit umfangreichen Fähigkeiten und Ressourcen abgewehrt werden.

Die Erwägungsgründe des Cybersecurity Act stellen aber auch klar, dass selbst ein Produkt, Dienst oder Prozess mit einem Zertifikat der höchsten Stufe nicht hundertprozentig sicher ist.

Die Zertifizierungen sind grundsätzlich freiwillig. Die EU-Kommission wird regelmäßig prüfen, ob Cybersicherheitszertifizierungen als verbindlich vorgeschrieben werden sollten. Denkbar wäre eine Verpflichtung zur Zertifizierung beispielsweise für Unternehmen im Energie-, Banken- oder Gesundheitswesen.

Es bleibt abzuwarten, wie die ENISA die Zertifizierungsschemata konkret ausarbeiten wird. Durch das erweiterte und dauerhafte Mandat ist zu erwarten, dass sich die ENISA in Zukunft häufiger zu Fragen der Cybersicherheit äußern und positionieren wird. Ihre Tätigkeit wird daher in Zukunft maßgeblich zur Meinungsbildung im Bereich Cybersecurity beitragen.