Einheitliche IT-Security

Cybersecurity Act der EU ist in Kraft getreten

18.07.2019

Von

Dr. Michael Rath ist Rechtsanwalt, Fachanwalt für Informationstechnologie-Recht und Partner der Luther Rechtsanwaltsgesellschaft mbH mit Sitz in Köln. Zudem ist er Certified ISO/IEC 27001 Lead Auditor. Seine Beratungsschwerpunkte sind das IT-Recht, Datenschutzrecht und der Gewerbliche Rechtsschutz. Dr. Michael Rath ist u.a. Mitglied in der Deutschen Gesellschaft für Recht und Informatik e.V. (DGRI) und akkreditierter Schlichter für IT-Streitigkeiten bei der Schlichtungsstelle der DGRI.

Alle Posts des Autors Email:

Die EU-Verordnung führt unter anderem neue Richtlinien und ein-heitliche Zertifizierungen für Cybersecurity ein. Erfahren Sie die wichtigsten Details des neuen Cybersecurity Act.

Die Verordnung über die Zertifizierung der Cybersicherheit von Informations- und Kommunikationstechnik (kurz: Cybersecurity Act) ist am 27. Juni 2019 in Kraft getreten. Sie trägt der herausragenden Bedeutung der Digitalisierung in der modernen Gesellschaft Rechnung und hat zum Ziel, die Sicherheit von Informations- und Kommunikationstechnologien (IKT) zu fördern. Als Teil der Reform der Cybersicherheit in Europa soll die Verordnung dazu beitragen die Cybersicherheit zu stärken.

Der Cybersecurity Act könnte einer der Grundsteine für höhere IT-Sicherheitsstandards und möglicherweise sogar für eine größere EU-Cyberbehörde sein.
Foto: Ivan Marc - shutterstock.com

Reform der NIS-Richtlinie

Das Reformpaket zur Cybersicherheit wurde im September 2017 von der Europäischen Kommission vorgelegt. Ziel ist es, Bedrohungen durch Cyberangriffe zu mindern und Chancen neuer Technologien zu nutzen. Zu diesem Paket gehört (neben dem Cybersecurity Act) auch die Richtlinie zur Netz- und Informationssicherheit (NIS-Richtlinie), welche die Mitgliedsstaaten unter anderem verpflichtet, eine Strategie zur Bewältigung von Bedrohungen durch Cyberkriminalität festzulegen.

Aufgrund der steigenden Anzahl von Cyberangriffen und Sicherheitsvorfällen gilt die Reform als erforderlich. Hintergrund dazu bildet unter anderem eine Meinungsumfrage der Europäischen Kommission im Juni 2017. Demnach gehen 86 Prozent der befragten Europäer davon aus, dass das Risiko, Opfer von Cyberkriminalität zu werden, steigt. Gerade weil digitale Vernetzung immer wichtiger wird, sieht die Kommission dringenden Handlungsbedarf im Bereich Cybersecurity.

Mehr Kompetenzen für die ENISA

Die 2004 gegründete Agentur der Europäischen Union für Cybersicherheit (ENISA) verfügte bisher nur über ein vorübergehendes Mandat und begrenzte Ressourcen. Sie unterstützte die Europäische Kommission und die Mitgliedsstaaten mit Leitlinien zu technischen Aspekten der Netz- und Informationssicherheit. Nach der neuen Verordnung dient sie jetzt als Bezugspunkt für Beratung und Sachkenntnis im Bereich Cybersicherheit.

Als Kompetenzzentrum wird sie hauptsächlich beratend und unterstützend tätig, soll aber auch die Umsetzung der Unionspolitik und des Unionsrechts auf dem Gebiet der Cybersicherheit fördern. Dafür soll sie Stellungnahmen abgeben, Leitlinien herausgeben sowie Beratung und bewährte Verfahren zu Themen wie Risikomanagement, Meldung von Sicherheitsvorfällen und Informationsaustausch anbieten. Die Verordnung regelt Ziele, Aufgaben und organisatorische Aspekte der ENISA, erteilt ihr ein dauerhaftes Mandat und erweitert die Kompetenzen und Ressourcen.

Zertifizierungen für Cybersecurity

Der zweite Regelungskomplex des Cybersecurity Act bildet einen Rahmen für EU-weite Zertifizierungen für Produkte, Dienstleistungen und Prozesse der Informations- und Kommunikationstechnologien. Nach Ansicht der Europäischen Kommission spielen Zertifizierungen eine entscheidende Rolle bei der Stärkung des Vertrauens und der Sicherheit in Produkte und Dienstleistungen, welche für den digitalen Binnenmarkt von zentraler Bedeutung sind.

Bisher waren Zertifizierungen für IKT-Produkte und -Dienste nicht gängig, es bestand jedoch die Möglichkeit, sich in einzelnen Mitgliedsstaaten oder im Rahmen brancheneigener Programme zertifizieren zu lassen. Diese aufwändigen und kostenintensiven Verfahren sollen nun abgelöst werden durch eine EU-weit einheitliche Cybersicherheitszertifizierung. Damit sollen Unternehmen ihre Produkte und Dienstleistungen ohne Hindernisse am Europäischen Markt anbieten können. Den Rahmen für diese Cybersicherheitszertifizierung soll die ENISA aufbauen und pflegen.

Das Cybersicherheits-Zertifikat im Detail

Das neue Zertifizierungsschema wird unionsweit einheitliche Anforderungen und Bewertungskriterien für die Cybersicherheit aufstellen. Es besteht aus einem umfassenden Paket von Vorschriften, technischen Anforderungen, Normen und Verfahren. Das Cybersicherheitszertifikat wird bescheinigen, dass die geprüften Produkte, Dienstleistungen und Prozesse bestimmte Anforderungen an die Cybersicherheit erfüllen. Zudem wird es deren Vertrauenswürdigkeit anhand der Stufen "niedrig", "mittel" oder "hoch" kategorisieren. Die Einordnung anhand der Sicherheitsstufen ist das Ergebnis einer Risikoabwägung im Hinblick darauf, wie wahrscheinlich ein Sicherheitsvorfall eintritt und wie er sich auswirkt. Dabei wird auch berücksichtigt, wie des Produkt, der Dienstes oder der Prozess verwendet werden soll.

Auf der Stufe "niedrig" soll gewährleistet sein, dass die bekannten grundlegenden Risiken für Sicherheitsvorfälle und Cyberangriffe möglichst geringgehalten werden. Hier ist es auch möglich, dass ein Hersteller oder Anbieter seine Konformität selbst und alleinverantwortlich bewertet..

Mit der Stufe "mittel" zertifizierte Produkte, Dienstleistungen und Prozesse sollen bekannten Cybersicherheitsrisiken standhalten können. Darunter fällt auch das Risiko von Cybersicherheitsvorfällen und Cyberangriffen seitens Akteuren mit begrenzten Fähigkeiten und Ressourcen.

Auf der Stufe "hoch" soll zertifiziert werden, dass Cyberangriffe auf dem neuesten Stand der Technik durch Akteure mit umfangreichen Fähigkeiten und Ressourcen abgewehrt werden können. Die Erwägungsgründe des Cybersecurity Act stellen jedoch klar, dass auch ein Produkt, Dienst oder Prozess mit einem Zertifikat auf hohem Niveau nicht völlig sicher ist.

Blick in die Zukunft

Die Einführung einer unionsweiten Zertifizierung soll den grenzüberschreitenden Waren- und Dienstleistungsverkehr in der EU fördern und den Binnenmarkt weiter stärken. Zudem können festgelegte gemeinsame Standards die Cybersicherheit erhöhen.

In nächster Zeit bleibt abzuwarten, wie die ENISA die Zertifizierungsschemata ausarbeiten wird. Dabei gilt es auch, die konkreten Anforderungen an die Zertifizierung und die Zertifizierungsstellen festzulegen. Zudem ist noch fraglich, wie der Übergang mit bereits bestehenden Zertifizierungen gehandhabt werden soll. Einzelne Artikel der Verordnung werden erst zum 28. Juni 2021 in Kraft treten. Dies betrifft Regelungen unter anderem zu nationalen Behörden für die Cybersicherheitszertifizierung, Konformitätsbewertungsstellen, das Beschwerderecht und Sanktionen.

Nachdem die Kompetenzen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) auf nationaler Ebene in den letzten Jahren erweitert wurden, ist mit der Stärkung der ENISA ein zunehmender Trend zu einem stärkeren staatlichen Engagement bei der Regulierung von Informations- und Kommunikationstechnologien zu beobachten. Die Bemühungen der EU auf dem Gebiet der Cybersecurity könnten der Grundstein für höhere Standards und möglicherweise sogar für eine größere EU-Cyberbehörde sein. (jd)

Aktuelle IDG-Studien

Seit der Einführung von ChatGPT beherrscht kein anderes IT-Thema so die Schlagzeilen wie (generative) künstliche Intelligenz. Wir schauen auf Einsatzszenarien, Hintergründe und Folgen.

Mehr zur Studie erfahren
Der Einsatz von No-/Low-Code boomt. Lange dauert es wohl nicht mehr, bis Software-Entwicklung und Prozessmodellierung via grafischer UI das klassische Coding überholen. Mehr in der Studie.

Mehr zur Studie erfahren
Unternehmen rüsten auf: Je komplexer die Gefährdungslage, desto stärker der Bedarf an Security Services. Dazu alles zu Cyberattacken und Gegenmaßnahmen.

Mehr zur Studie erfahren
Hybrid Work: Wer als Arbeitgeber für die jungen Generationen interessant und attraktiv sein will, darf nicht auf eine moderne IT-Infrastruktur und -Arbeitsumgebung verzichten. Mehr in der Studie.

Mehr zur Studie erfahren
Das datengesteurte Unternehmen - Realität oder Hirngespinst? Erst wenige Firmen schaffen es, mithilfe von Daten-Insights neue Geschäftsmodelle auf die Beine zu stellen. Mehr in der Studie.

Mehr zur Studie erfahren
Für knapp neun von zehn Unternehmen kommt künftig eine Migration in die Cloud ohne strategischen Ansatz nicht infrage. Trends und Zahlen rund ums Thema in unserer Studie.

Mehr zur Studie erfahren
Unternehmen wollen energieeffizienter und nachhaltiger werden. Dazu müssen sie aber noch ihre IT-Strategien anpassen und die notwendige Datenbasis schaffen. Mehr dazu in der Studie.

Mehr zur Studie erfahren
Integrationsplattformen sind Drehscheiben für die Vernetzung von Anwendungen im Unternehmen und unterstützen zudem die Prozessautomatisierung. Mehr in der Studie.

Mehr zur Studie erfahren
Die End-to-End-Automatisierung von Geschäftsprozessen stellt einen wichtigen Eckpfeiler der digitalen Transformation der Unternehmen dar. Trends und Zahlen rund ums Thema in unserer Studie.

Mehr zur Studie erfahren
Auch in wirtschaftlich schwierigen Zeiten ist das (IT/Enterprise) Service Management geschäftskritsich - gerade mit Hinblick auf eine stärkere (Prozess-)Automatisierung. Trends und Zahlen dazu in der Studie.

Mehr zur Studie erfahren