Die Europäische Union hat in den letzten Jahren mehrere wichtige Gesetze zur Stärkung der Cybersicherheit in Europa auf den Weg gebracht. Drei zentrale Säulen bilden dabei die NIS 2-Richtlinie, der Cyber Resilience Act (CRA) und der Cybersecurity Act (CSA). Doch wie hängen diese Regelwerke zusammen und wo unterscheiden sie sich in ihrem Anwendungsbereich?
NIS 2-Richtlinie: Schutz kritischer Infrastrukturen
Die NIS 2-Richtlinie (Network and Information Security Directive 2) ist die Nachfolgerin der ursprünglichen NIS-Richtlinie aus dem Jahr 2016. Sie zielt darauf ab, die Cybersicherheit in kritischen Sektoren zu verbessern. Ihr Geltungsbereich umfasst wesentliche und wichtige Einrichtungen in kritischen Sektoren wie Energie, Verkehr, Bankwesen, Gesundheitswesen und digitale Infrastruktur. Die Hauptziele der NIS 2-Richtlinie sind die Einführung strenger Cybersicherheitsmaßnahmen, Meldepflichten für Cybervorfälle und die Verbesserung der Zusammenarbeit zwischen EU-Mitgliedstaaten.
Ein wichtiger Aspekt von NIS 2 ist die mögliche Verpflichtung zur Nutzung zertifizierter IKT-Produkte, -Dienste und -Prozesse. Nach Artikel 24 können die Mitgliedstaaten von Unternehmen die Verwendung bestimmter zertifizierter Produkte verlangen, die im Rahmen europäischer Cybersicherheitszertifizierungssysteme gemäß dem Cybersecurity Act zertifiziert wurden.
Cyber Resilience Act (CRA): Sicherheit von vernetzten Produkten
Der Cyber Resilience Act (CRA) ist eine neue Verordnung, die sich auf die Cybersicherheit von Produkten mit digitalen Elementen konzentriert. Sein Anwendungsbereich erstreckt sich auf alle vernetzten Geräte und Software, einschließlich des Internets der Dinge (Internet of Things, IoT) sowie Hardware- und Softwareprodukte. Ziel der CRA ist es, Cybersicherheitsanforderungen für Produkte einzuführen, die Hersteller zur Berücksichtigung der Sicherheit während des gesamten Produktlebenszyklus zu verpflichten und einen einheitlichen Rechtsrahmen für die Cybersicherheit von Produkten in der EU zu schaffen.
Mit dem CRA wird ein Konformitätsbewertungssystem eingeführt, das die bestehenden Regelungen zur CE-Kennzeichnung erweitert, u. a. um die Möglichkeit einer Zertifizierung nach dem Cybersecurity Act. In diesem Zusammenhang sieht Artikel 27 vor, dass bei Produkten, für die eine EU-Konformitätserklärung oder ein Zertifikat im Rahmen eines europäischen Cybersicherheits-Zertifizierungssystems ausgestellt wurde, davon ausgegangen wird, dass sie die grundlegenden Anforderungen des CRA erfüllen, soweit die Erklärung bzw. das Zertifikat diese Anforderungen abdeckt.
Darüber hinaus wird die Kommission in Artikel 8 ermächtigt, delegierte Rechtsakte zu erlassen, um festzulegen, welche kritischen Produkte mit digitalen Elementen ein Europäisches Cybersicherheitszertifikat nach dem Cybersecurity Act mit mindestens der Vertrauenswürdigkeitsstufe „substanziell“ erhalten müssen.
Cybersecurity Act (CSA): EU-weite Zertifizierung
Der Cybersecurity Act (CSA) stärkt einerseits die Rolle der EU-Agentur für Cybersicherheit (ENISA) und schafft andererseits einen Rahmen für europäische Cybersicherheitszertifizierungen. Er gilt für IKT-Produkte, -Dienste und -Prozesse und sieht sowohl freiwillige als auch in einigen Fällen verpflichtende Zertifizierungen vor.
Die Hauptziele des CSA sind die Schaffung eines EU-weiten Zertifizierungsrahmens für Cybersicherheit, die Stärkung des Vertrauens in zertifizierte Produkte und Dienstleistungen und die Förderung eines höheren Cybersicherheitsniveaus in der gesamten EU.
Der CSA spielt eine zentrale Rolle bei der Umsetzung sowohl der NIS 2-Richtlinie als auch der CRA. Die nach dem CSA entwickelten Zertifizierungssysteme können von den zuständigen Behörden genutzt werden, um die Einhaltung der Anforderungen beider Regelwerke zu überprüfen und zu bestätigen.
Zusammenhänge und Unterschiede zwischen NIS 2, CRA und CSA
Während sich NIS 2 auf die Sicherheit kritischer Infrastrukturen und Sektoren konzentriert, zielt der CRA auf die Sicherheit von Produkten mit digitalen Elementen ab. Der CSA wiederum schafft einen übergreifenden Rahmen für Zertifizierungen, der sowohl für NIS 2 als auch für den CRA relevant sein kann.
Alle drei Regelwerke ergänzen sich gegenseitig: NIS 2 stärkt die Cybersicherheit auf organisatorischer Ebene in kritischen Sektoren, der CRA gewährleistet die Sicherheit der verwendeten Produkte, und der CSA bietet einen Rahmen für die Überprüfung und Zertifizierung von Sicherheitsmaßnahmen.
Ausblick und Fazit
NIS 2, CRA und CSA bilden zusammen ein umfassendes Regelwerk zur Stärkung der Cybersicherheit in der EU. Während sich ihre Anwendungsbereiche teilweise überschneiden, adressieren sie unterschiedliche Aspekte der Cybersicherheit. Unternehmen und Organisationen sollten alle drei Regelwerke im Auge behalten, um einen ganzheitlichen Cybersicherheitsansatz zu entwickeln und umzusetzen.
Kommentar hinzufügen