Verband
Jobs
Presse
Shop
EN

Cybersecurity Act

Cybersicherheitszertifizierung von IKT-Produkten, -Diensten und -Prozessen

Die Cybersicherheitszertifizierung spielt eine große Rolle, wenn es darum geht, das Vertrauen in IKT-Produkte, -Dienste und -Prozesse zu stärken und deren Sicherheit zu erhöhen. Die Entwicklung des digitalen Binnenmarkts hängt auch vom Vertrauen der breiten Öffentlichkeit in die Cyber-Sicherheit der Produkte, Dienste und Prozesse ab.

Weil eine Stärkung des Vertrauens durch eine EU-weite Zertifizierung erleichtert werden kann, hat die EU im Jahr 2019 die Verordnung (EU) 2019/881 („Cybersecurity Act“) verabschiedet. Diese schafft unter anderem einen europäischen Zertifizierungsrahmen für die Cyber-Sicherheit. Dabei handelt es sich um einen Mechanismus, mit dem europäische Schemata für die Cybersicherheitszertifizierung geschaffen werden können.

Unter einem solchen Schema ausgestellte Cybersicherheitszertifikate sollen bescheinigen, dass IKT-Produkte, -Dienste und -Prozesse, die nach dem Schema bewertet wurden, den festgelegten Sicherheitsanforderungen genügen. Ein Schema kann für IKT-Produkte, -Dienste und -Prozesse eine oder mehrere der Vertrauenswürdigkeitsstufen „niedrig“, „mittel“ und/oder „hoch“ angeben. Bei niedrigem Risiko, das der Vertrauenswürdigkeitsstufe „niedrig“ entspricht, kann auch eine Selbstbewertung der Konformität vorgesehen werden.

Cybersicherheitszertifikate und EU-Konformitätserklärungen werden dabei EU-weit anerkannt, was die derzeitige Fragmentierung zwischen nationalen Zertifizierungsschemata beseitigen soll. Durch den Nachweis, dass ein Produkt die angegebenen Sicherheitsfunktionen erfüllt oder bestimmte Sicherheitsanforderungen einhält, kann eine Cybersicherheitszertifizierung wesentlich dazu beitragen, das Vertrauen in IKT-Produkte, -Dienste und -Prozesse zu stärken und damit das ordnungsgemäße Funktionieren des digitalen Binnenmarktes gewährleisten.

Die Agentur der EU für Cybersicherheit (ENISA) entwickelt auf Ersuchen der EU-Kommission oder der EU-Mitgliedstaaten Entwürfe für Zertifizierungsschemata. Dabei wird die ENISA von einer Gruppe von Expert:innen („Ad-hoc-Arbeitsgruppen“) unterstützt. Ferner arbeitet die „Europäische Gruppe für die Cybersicherheitszertifizierung“ (European Cybersecurity Certification Group), die sich insb. aus Vertreter:innen der nationalen Behörden für die Cybersicherheitszertifizierung zusammensetzt, zu.

Auch die Gruppe der Interessensträger für die Cybersicherheitszertifizierung (Stakeholders Cybersecurity Certification Group), die sich aus Vertreter:innen aus akademischen Einrichtungen, Verbraucherschutzorganisationen, Konformitätsbewertungsstellen, Unternehmen, Handelsverbänden etc. zusammensetzt, wirkt bei der Erarbeitung der Zertifizierungsschemata mit. Schlussendlich wird ein Zertifizierungsschema durch einen Durchführungsrechtsakt der EU-Kommission verabschiedet.

Schemata für die Cybersicherheitszertifizierung

Bereits im Jahr 2019 beauftragte die EU-Kommission die ENISA mit der Ausarbeitung eines ersten Schemas für die Cybersicherheitszertifizierung. Dieses trägt den Namen European Union Common Criteria Scheme (EUCC) und soll der Nachfolger des bestehenden SOG-IS (Senior Officials Group Information Systems Security) und MRA (Mutual Recognition Agreement) werden. Unter dem EUCC wird eine Zertifizierung der Cyber-Sicherheit von IKT-Produkten vorgesehen. Das EUCC basiert auf Common Criteria, Common Methodology for Information Technology Security Evaluation und den entsprechenden Normen ISO/IEC 15408 und ISO/IEC 18045.

Nach dem EUCC wurde die ENISA von der EU-Kommission im November 2019 zur Vorbereitung eines weiteren Schemas für die Cybersicherheitszertifizierung beauftragt. Dieses trägt den Namen European Union Cybersecurity Certification Scheme on Cloud Services (EUCS) und soll die Sicherheit von Cloud-Diensten regeln. Ziel ist es, die Sicherheit von Cloud-Diensten mit EU-Vorschriften, internationalen Standards, bewährten Praktiken der Industrie sowie mit bestehenden Zertifizierungen in EU-Mitgliedstaaten zu harmonisieren und das Vertrauen in Cloud-Dienste zu stärken. Es soll auf alle Arten von Cloud-Diensten (von Infrastruktur bis Anwendungen) anwendbar sein und Transparenzanforderungen, wie den Ort der Datenverarbeitung und -speicherung, beinhalten.

Das dritte derzeit in Ausarbeitung befindliche Schema für die Cybersicherheitszertifizierung läuft unter dem Namen EU5G. Es wurde von der EU-Kommission im Jänner 2021 bei ENISA beauftragt und hat die Cyber-Sicherheit von 5G-Netzwerken zum Gegenstand. Das Schema soll sich beim Anwendungsbereich auf das GSMA Network Equipment Security Assurance Scheme sowie auf relevante Common Criteria-Schutzprofile für embedded Universal Integrated Circuit Card (eUICC) beziehen.

Alle drei Schemata befinden sich noch in Ausarbeitung, wobei ENISA seinen Entwurf für das EUCC bereits an die EU-Kommission übergeben hat.

Cybersicherheitszertifizierung und Selbstbewertung

Sobald fertige europäische Schemata für die Cybersicherheitszertifizierung in Form von Durchführungsrechtsakten der EU-Kommission existieren, können sich Anbieter und Hersteller von IKT-Produkten, -Diensten und -Prozessen zukünftig freiwillig für eine Cybersicherheitszertifizierung von IKT-Produkten, -Diensten und -Prozessen bzw. Selbstbewertung der Konformität entscheiden.

Bei einer Selbstbewertung der Konformität können Hersteller oder Anbieter eine EU-Konformitätserklärung ausstellen, die bestätigt, dass die Erfüllung der im Schema festgelegten Anforderungen nachgewiesen wurde. Durch die Ausstellung einer solchen Erklärung übernimmt der Hersteller oder Anbieter die Verantwortung dafür, dass das IKT-Produkt, der IKT-Dienst oder der IKT-Prozess den in diesem Schema festgelegten Anforderungen entspricht. EU-Konformitätserklärung, technische Dokumentation und weitere einschlägige Informationen müssen dabei für einen bestimmten Zeitraum aufbewahrt werden.

Möchte ein Hersteller oder Anbieter seine IKT-Produkte, -Dienste oder -Prozesse zertifizieren lassen, muss er diese zur Zertifizierung einreichen, und zwar grundsätzlich bei einer Konformitätsbewertungsstelle (für die Vertrauenswürdigkeitsstufen „niedrig“ und „mittel“). In bestimmten Fällen (vor allem für die Vertrauenswürdigkeitsstufe „hoch“) ist die Zertifizierung bei einer nationalen Behörde für die Cybersicherheitszertifizierung oder bei speziellen Konformitätsbewertungsstellen einzureichen. In jedem Fall müssen alle für das Zertifizierungsverfahren notwendigen Informationen vorgelegt werden.

In die nahe Zukunft blickend darf mit Spannung erwartet werden, inwieweit der Europäische Rechtsakt zur Cyber-Resilienz (European Cyber Resilience Act), dessen Vorstellung für September dieses Jahres geplant ist und dessen Ziel die Festlegung gemeinsamer Standards für die IKT-Sicherheit von Produkten und Diensten ist, auf die Möglichkeiten des Cybersecurity Act zurückgreifen wird.

Vinzenz Heußler
Leiter NIS-Büro, Bundeskanzleramt

Vinzenz Heußler ist Leiter des NIS-Büros im Bundeskanzleramt. Er ist als federführender Jurist für die Legistik zur Umsetzung der NIS-Richtlinie in Österreich verantwortlich und vertritt Österreich in zahlreichen europäischen Gremien für Cyber-Sicherheit, denen strategische Aufgaben zugewiesen sind. Während der österreichischen Ratspräsidentschaft war Vinzenz Heußler tief in die Verhandlungen des Cybersecurity Act involviert.

Verwandte Themen
Cyber Security
#Digitalisierung#Cyber Security & IoT
Cyber Security: IEC 62443 – Security for Industrial Automation and Control Systems

Der aktuelle Newsletter zum Themenschwerpunkt Cyber Security enthält neue Erkenntisse, die im Rahmen der OVE-Veranstaltung IEC 62443 – Security for Industrial Automation and Control Systems diskutiert wurden.

weitelesen mehr erfahren
Cyber Security
#Digitalisierung#Cyber Security & IoT
Cyber Security: Aktuelle Entwicklungen bei der IEC 62443

Die IEC 62443 besteht aus einer Reihe von Teilnormen, deren Entwicklungsstand ganz unterschiedlich ist. Für Außenstehende ist es oft schwer, den Überblick zu behalten. Wir informieren über aktuelle und kommende Entwicklungen.

weitelesen mehr erfahren
OT-Security
#Digitalisierung#Cyber Security & IoT
Shooting Star OT-Security

Während der Schutzbedarf bei IT-Systemen schon seit vielen Jahren als alternativlos akzeptiert wird, hat die Sicherheit von OT-Systemen und industriellen Netzwerken erst in den letzten Jahren an Bedeutung gewonnen.

weitelesen mehr erfahren
Namhafte Expert:innen im OVE Referentenpool
#Digitalisierung#Cyber Security & IoT
Tagung zur Cyber-Sicherheit industrieller Automatisierungssysteme

Am 10. November lädt der OVE ab 13:00 Uhr zu einem Nachmittag rund um die IEC 62443. Im vorliegenden Newsletter lesen Sie, welche Vorträge wir für Sie geplant haben.

weitelesen mehr erfahren
IT-Sicherheit in industriellen Anwendungen
#Digitalisierung#Cyber Security & IoT
IEC 62443 – der Standard für IT-Sicherheit in industriellen Anwendungen

Thomas Bleier informiert über den aktuellen Entwicklungsstand der zu erneuernden Standardfamilie IEC 62443, jener internationalen Normenreihe, die sich mit industriellen Kommunikationsnetzen und IT-Sicherheit für Netze sowie Systeme befasst. 

weitelesen mehr erfahren

Das Element kann nicht angezeigt werden. Um das Element zu sehen, akzeptieren Sie die Marketing-Cookies.

Cookie-Einstellungen öffnen
Verband
Jobs
Presse
Shop
EN
Datenschutzeinstellungen

Auf unserer Webseite werden Cookies verwendet. Einige davon werden zwingend benötigt, während es uns andere ermöglichen, Ihre Nutzererfahrung auf unserer Webseite zu verbessern.

Essentiell

Essentielle Cookies werden für grundlegende Funktionen der Webseite benötigt. Dadurch ist gewährleistet, dass die Webseite einwandfrei funktioniert.

Name
omCookieConsent
Beschr.

Speichert die vom Benutzer gewählten Cookie-Einstellungen.

Speicherdauer
365 Tage
Provider
Oliver Pfaff - Olli macht's

Marketingcookies umfassen Tracking und Statistikcookies

Name
_ga, _gid, _gat, __utma, __utmb, __utmc, __utmd, __utmz
Beschr.

Diese Cookies werden von Google Analytics verwendet, um verschiedene Arten von Nutzungsinformationen zu sammeln, einschließlich persönlicher und nicht-personenbezogener Informationen. Weitere Informationen finden Sie in den Datenschutzbestimmungen von Google Analytics unter https://policies.google.com/privacy. Gesammelte nicht personenbezogene Daten werden verwendet, um Berichte über die Nutzung der Website zu erstellen, die uns helfen, unsere Websites / Apps zu verbessern. Diese Informationen werden auch an unsere Kunden / Partner weitergegeben.

Speicherdauer
Mehrere - variieren zwischen 2 Jahren und 6 Monaten oder noch kürzer.
Provider
Google LLC
Name
Youtube
Beschr.

Werden zur Anzeige von YouTube Videos und Speicherung von User-Einstellungen genutzt.

Speicherdauer
Aktuelle Browsersitzung
Provider
YouTube
Datenschutz