Der EU Cybersecurity Act, auch bekannt als Verordnung (EU) 2019/881, stärkt die Rolle der Europäischen Agentur für Cybersicherheit (ENISA) und schafft ein umfassendes Rahmenwerk für die Zertifizierung der Cybersicherheit von Produkten, Dienstleistungen und Prozessen. Ziel der Verordnung ist es, die Cybersicherheit in der gesamten EU zu verbessern und einen einheitlichen digitalen Binnenmarkt zu schaffen.
ENISA: Die EU-Agentur für Cybersicherheit
ENISA hat durch den Cybersecurity Act ein erweitertes Mandat erhalten, das ihr mehr Ressourcen und neue Aufgaben zuweist. Die Hauptaufgaben von ENISA sind:
- Entwicklung und Pflege des europäischen Cybersecurity-Zertifizierungsrahmenwerks: ENISA bereitet den technischen Rahmen für spezifische Zertifizierungsschemen vor.
- Öffentlichkeitsarbeit: ENISA informiert die Öffentlichkeit über Zertifizierungsschemen und ausgestellte Zertifikate über eine spezielle Website.
- Unterstützung bei der Bewältigung von Cybervorfällen: ENISA fördert die Zusammenarbeit auf EU-Ebene und unterstützt Mitgliedstaaten bei der Bewältigung von Cybervorfällen und koordiniert die Reaktion auf großangelegte grenzüberschreitende Cyberangriffe und -krisen.
Rahmenwerk für Cybersicherheits-Zertifizierungen
Das Rahmenwerk für die Zertifizierung der Cybersicherheit (“European cybersecurity certification framework”) standardisiert die Cybersicherheitspraktiken in der gesamten EU durch die Festlegung von Sicherheitsstandards für ITK-Produkte, -Dienstleistungen und -Prozesse, um ein einheitliches Schutzniveau zu gewährleisten. Der Rahmen unterteilt die Zertifizierung in drei Zuverlässigkeitsstufen und umreißt die Rolle der ENISA sowie die Mechanismen zur Einhaltung der Marktvorschriften. Er betont auch die Zusammenarbeit mit den Interessenvertretern, ist auf internationale Standards abgestimmt und kann an die sich entwickelnde Cybersicherheitslandschaft angepasst werden.
Europäisches Framework für Cybersecurity-Zertifizierungen
Das Framework für Cybersecurity-Zertifizierungen der EU zielt darauf ab, Vertrauen und Sicherheit in Bezug auf Produkte, Dienstleistungen und Prozesse im Bereich der Informations- und Kommunikationstechnologie (IKT) zu schaffen. Dies geschieht durch die Entwicklung von Zertifizierungsschemen, die den Grad der Sicherheit und Konformität von IKT-Produkten, -Dienstleistungen und -Prozessen bewerten.
Zertifizierungsschemen
Ein Zertifizierungsschema gemäß dem Cybersecurity Act ist ein umfassender Rahmen, der die Cybersicherheit von IKT-Produkten, -Dienstleistungen und -Prozessen gewährleisten soll. Jedes Schema umfasst in der Regel:
Durch die Festlegung dieser Elemente bietet ein Zertifizierungsschema im Rahmen des CSA einen strukturierten und zuverlässigen Ansatz für die Zertifizierung der Cybersicherheit von IKT-Produkten, -Dienstleistungen und -Prozessen und stärkt so das Vertrauen und die Sicherheit auf dem digitalen Markt.
Erstellung von Zertifizierungsschemen
Die Erstellung von Zertifizierungsschemen erfolgt in mehreren Schritten:
- Anforderung durch die EU-Kommission oder Mitgliedstaaten: ENISA entwickelt Entwürfe für Zertifizierungsschemen auf Anfrage der EU-Kommission oder der Mitgliedstaaten.
- Unterstützung durch Experten: ENISA arbeitet eng mit Experten, Ad-Hoc-Arbeitsgruppen (AHWGs) und relevanten Stakeholdern zusammen, um die Schemen zu erstellen.
- Öffentliche Konsultation: Die Entwürfe der Schemen werden zur öffentlichen Konsultation freigegeben.
- Verabschiedung durch die EU: Nach der Überarbeitung und finalen Abstimmung wird das Schema als EU-Rechtsakt (Implementing Act) verabschiedet.
- Umsetzung durch Mitgliedstaaten: Nach der Verabschiedung haben die Mitgliedstaaten Zeit, um die notwendigen Maßnahmen zur Umsetzung des Schemas zu ergreifen.
Weitere Informationen zur Erstellung neuer Zertifizierungsschemen gibt es hier: https://www.enisa.europa.eu/topics/certification/from-candidate-to-certification-scheme
Bestehende und zukünftige Schemen
Für den Cybersecurity Act wurden mehrere Zertifizierungsschemata entwickelt oder befinden sich in der Entwicklung, die jeweils unterschiedliche Aspekte der Cybersicherheit adressieren.
Das EUCC (European Cybersecurity Certification Scheme on Common Criteria) dient der Zertifizierung von IKT-Produkten wie Hardware, Software und Komponenten.
Am 31. Januar 2024 hat die Europäische Kommission den Implementierungsakt zur Einführung des Schemas veröffentlicht. ENISA stellt die unterstützenden Dokumente zur Verfügung, die im Anhang 1 des Implementierungsaktes aufgeführt sind. Das Schema basiert auf dem bewährten internationalen Bewertungsrahmen SOG-IS Common Criteria, der bereits in 17 EU-Mitgliedstaaten angewendet wird.
Weitere Informationen zum Schema gibt es hier: https://certification.enisa.europa.eu/certification-library/eucc-certification-scheme_en