Cybersecurity Act

Der EU Cybersecurity Act, auch bekannt als Verordnung (EU) 2019/881, stärkt die Rolle der Europäischen Agentur für Cybersicherheit (ENISA) und schafft ein umfassendes Rahmenwerk für die Zertifizierung der Cybersicherheit von Produkten, Dienstleistungen und Prozessen. Ziel der Verordnung ist es, die Cybersicherheit in der gesamten EU zu verbessern und einen einheitlichen digitalen Binnenmarkt zu schaffen.

ENISA: Die EU-Agentur für Cybersicherheit

ENISA hat durch den Cybersecurity Act ein erweitertes Mandat erhalten, das ihr mehr Ressourcen und neue Aufgaben zuweist. Die Hauptaufgaben von ENISA sind:

  1. Entwicklung und Pflege des europäischen Cybersecurity-Zertifizierungsrahmenwerks: ENISA bereitet den technischen Rahmen für spezifische Zertifizierungsschemen vor.
  2. Öffentlichkeitsarbeit: ENISA informiert die Öffentlichkeit über Zertifizierungsschemen und ausgestellte Zertifikate über eine spezielle Website.
  3. Unterstützung bei der Bewältigung von Cybervorfällen: ENISA fördert die Zusammenarbeit auf EU-Ebene und unterstützt Mitgliedstaaten bei der Bewältigung von Cybervorfällen und koordiniert die Reaktion auf großangelegte grenzüberschreitende Cyberangriffe und -krisen.

Rahmenwerk für Cybersicherheits-Zertifizierungen

Das Rahmenwerk für die Zertifizierung der Cybersicherheit (“European cybersecurity certification framework”) standardisiert die Cybersicherheitspraktiken in der gesamten EU durch die Festlegung von Sicherheitsstandards für ITK-Produkte, -Dienstleistungen und -Prozesse, um ein einheitliches Schutzniveau zu gewährleisten. Der Rahmen unterteilt die Zertifizierung in drei Zuverlässigkeitsstufen und umreißt die Rolle der ENISA sowie die Mechanismen zur Einhaltung der Marktvorschriften. Er betont auch die Zusammenarbeit mit den Interessenvertretern, ist auf internationale Standards abgestimmt und kann an die sich entwickelnde Cybersicherheitslandschaft angepasst werden.

Europäisches Framework für Cybersecurity-Zertifizierungen

Das Framework für Cybersecurity-Zertifizierungen der EU zielt darauf ab, Vertrauen und Sicherheit in Bezug auf Produkte, Dienstleistungen und Prozesse im Bereich der Informations- und Kommunikationstechnologie (IKT) zu schaffen. Dies geschieht durch die Entwicklung von Zertifizierungsschemen, die den Grad der Sicherheit und Konformität von IKT-Produkten, -Dienstleistungen und -Prozessen bewerten.

Zertifizierungsschemen

Ein Zertifizierungsschema gemäß dem Cybersecurity Act ist ein umfassender Rahmen, der die Cybersicherheit von IKT-Produkten, -Dienstleistungen und -Prozessen gewährleisten soll. Jedes Schema umfasst in der Regel:

Gegenstand und Anwendungsbereich
Informationen darüber, welche Arten von IKT-Produkten, -Dienstleistungen und -Prozessen abgedeckt werden.
Zweck des Schemas
Wie die ausgewählten Standards, Bewertungskriterien und Sicherheitsniveaus den Bedürfnissen der Nutzer entsprechen.
Referenzen zu Standards
Internationale, europäische oder nationale Standards, die für die Bewertung herangezogen werden.
Sicherheitsniveaus
Definierte Sicherheitsniveaus (“basic”, “substantial”, “high”) auf der Grundlage des Risikos.
Konformitätsbewertung
Die spezifischen Bewertungskriterien und -methoden zur Überprüfung der Anforderungen.
Nutzungsbedingungen
Bedingungen für die Erteilung, Aufrechterhaltung und Erneuerung von Zertifikaten.
Überwachung
Regeln für die Überwachung der Konformität sowie den Umgang mit Nicht-Konformitäten und neu identifizierten Schwachstellen.

Durch die Festlegung dieser Elemente bietet ein Zertifizierungsschema im Rahmen des CSA einen strukturierten und zuverlässigen Ansatz für die Zertifizierung der Cybersicherheit von IKT-Produkten, -Dienstleistungen und -Prozessen und stärkt so das Vertrauen und die Sicherheit auf dem digitalen Markt.

Erstellung von Zertifizierungsschemen

Die Erstellung von Zertifizierungsschemen erfolgt in mehreren Schritten:

  1. Anforderung durch die EU-Kommission oder Mitgliedstaaten: ENISA entwickelt Entwürfe für Zertifizierungsschemen auf Anfrage der EU-Kommission oder der Mitgliedstaaten.
  2. Unterstützung durch Experten: ENISA arbeitet eng mit Experten, Ad-Hoc-Arbeitsgruppen (AHWGs) und relevanten Stakeholdern zusammen, um die Schemen zu erstellen.
  3. Öffentliche Konsultation: Die Entwürfe der Schemen werden zur öffentlichen Konsultation freigegeben.
  4. Verabschiedung durch die EU: Nach der Überarbeitung und finalen Abstimmung wird das Schema als EU-Rechtsakt (Implementing Act) verabschiedet.
  5. Umsetzung durch Mitgliedstaaten: Nach der Verabschiedung haben die Mitgliedstaaten Zeit, um die notwendigen Maßnahmen zur Umsetzung des Schemas zu ergreifen.

Weitere Informationen zur Erstellung neuer Zertifizierungsschemen gibt es hier: https://www.enisa.europa.eu/topics/certification/from-candidate-to-certification-scheme

Bestehende und zukünftige Schemen

Für den Cybersecurity Act wurden mehrere Zertifizierungsschemata entwickelt oder befinden sich in der Entwicklung, die jeweils unterschiedliche Aspekte der Cybersicherheit adressieren.

Das EUCC (European Cybersecurity Certification Scheme on Common Criteria) dient der Zertifizierung von IKT-Produkten wie Hardware, Software und Komponenten.

Am 31. Januar 2024 hat die Europäische Kommission den Implementierungsakt zur Einführung des Schemas veröffentlicht. ENISA stellt die unterstützenden Dokumente zur Verfügung, die im Anhang 1 des Implementierungsaktes aufgeführt sind. Das Schema basiert auf dem bewährten internationalen Bewertungsrahmen SOG-IS Common Criteria, der bereits in 17 EU-Mitgliedstaaten angewendet wird.

Weitere Informationen zum Schema gibt es hier: https://certification.enisa.europa.eu/certification-library/eucc-certification-scheme_en

Ziel des EUCS (European Cybersecurity Certification Scheme for Cloud Services) ist die Zertifizierung der Cybersicherheit von Cloud-Diensten. Der erste Entwurf wurde am 22.12.2020 veröffentlicht. Der Entwurf wird derzeit im Rahmen des Konsultationsprozesses der ECCG geprüft. Der Entwurf wurde mit Unterstützung einer Ad-hoc-Arbeitsgruppe und der Mitgliedstaaten erstellt und soll einheitliche Sicherheitsstandards für Cloud-Dienste in der EU festlegen.
Das EU5G (European Cybersecurity Certification Scheme for 5G) soll die Cybersicherheit von 5G-Netzwerken zertifizieren. Es wird in zwei Phasen entwickelt. Die erste Phase endete im Herbst 2022. ENISA, Experten und die Europäische Kommission analysierten bestehende Industriebewertungen und Zertifizierungsschemata. Ein erster Entwurf des Schemas wird für Ende 2023 erwartet. Das Schema wird sich auf verschiedene Anwendungsfälle konzentrieren, darunter die Bereitstellung und den Einsatz identifizierter 5G-Netzwerkausrüstung, die Verwaltung von Teilnehmeridentitäten, die Bereitstellung von SIM-Karten aus der Ferne, die 5G-Authentifizierung (einschließlich Roaming) und Teilnehmeranschlussdienste.
Im Bereich der künstlichen Intelligenz prüft die ENISA, ob und wie KI-Systeme einer Cybersicherheitszertifizierung unterzogen werden könnten. Diese Arbeit ist vorläufig, da die EU-Kommission noch keine offizielle Anfrage zur Entwicklung eines Zertifizierungsschemas für KI gestellt hat. Ziel ist es, die mögliche Integration von KI in den bestehenden Zertifizierungsrahmen vorzubereiten.
Managed Security Services, die in der NIS2-Richtlinie als kritischer Sektor genannt und im künftigen Cyber Solidarity Act erwähnt werden, stehen im Mittelpunkt der Prävention und Reaktion auf Cybersicherheitsbedrohungen und -zwischenfälle. Die EU plant eine Änderung des Cybersecurity Act, um die Möglichkeit der Zertifizierung solcher Dienste durch die ENISA aufzunehmen. Entsprechende Vorarbeiten haben bereits begonnen.