Der EU Cybersecurity Act

Am 27. Juni 2019 trat die Verordnung (EU) 881/2019, besser bekannt als EU Cybersecurity Act, in Kraft. Ziel des EU Cybersecurity Acts ist es, der Agentur der Europäischen Union für Netz- und Informationssicherheit (ENISA) ein dauerhaftes Mandat einzuräumen und ein europäisches Rahmenwerk für die Sicherheitszertifizierung von IT-Produkten, Dienstleistungen und Prozessen zu etablieren. Was die Verordnung wirklich bedeutet erfahren Sie in diesem Beitrag.  

Die Entwicklung:  

Informations- und Kommunikationstechnologien (ITK) bilden das Rückgrat der komplexen Systeme, die alltägliche gesellschaftliche Tätigkeiten unterstützen, die Volkswirtschaft in Schlüsselsektoren wie Energie, Finanzen, Verkehr und Gesundheit aufrechterhalten und dafür sorgen, dass der Binnenmarkt reibungslos funktioniert. Unter ITKs versteht man sowohl Produkte wie Smartphones, Laptops und Router, als auch Dienstleitungen der IT-Service-Provider, die die einstigen IT-Abteilungen großer Unternehmen überholt haben. Sie alle verarbeiten Daten und müssen die Sicherheit dieser Datenverarbeitung gewährleisten und nachweisen. Angesichts der internationalen Bedrohung durch Cyberkriminalität ergibt sich die Notwendigkeit einer zentralen Behörde zur Verfolgung von Datendiebstahl und die Erstellung einer einheitlichen Zertifizierung für technische Datensicherheit von selbst. Die bisher gängigsten Zertifikate sind die der International Organisation für Normung (ISO). So ist ein Zertifikat nach ISO/IEC 27001:2013, welches die Erfüllung der Anforderung an die Umsetzung und Dokumentation eines Informationssicherheits-Managementsystems bescheinigt zum Standard in der Datensicherheit geworden. Dennoch ist der Markt für Beratung und Zertifizierung groß. Von Einheitlichkeit kann daher keine Rede sein.  

Die geplante Zertifizierung:  

Der ENISA wurde daher mit dem EU-Cybersecurity Act ein eindeutiges Mandat erteilt. Um zu verhindern, dass alle EU-Mitgliedsstaaten eigene Zertifizierungsprogramme entwickeln und sich so möglicherweise ein „Zertifizierungshopping“ (die Auswahl des Zertifikates eines Staates auf Basis des niedrigsten Anforderungsniveaus) einstellen würde, soll Sie ein allgemein gültiges Schema für Cyberzertifizierung entwickeln. Diese Schemata sollen auf bereits vorhandenen von Gremien und Konsortien erstellten technischen Spezifikationen aufbauen. Um ein Zertifikat zu erhalten, müssen bestimmte technische Spezifikationen beachtet werden. Diese sollen garantieren, dass die Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit von verarbeiteten Daten während des gesamten Lebenszyklus des ITK-Produktes,-Dienstleistung oder -Prozesses gewährleistet ist.  

Das Zertifikat soll dann das ITK-Prokdukt, den -Dienst oder den -Prozess einer Vertrauenswürdigkeitsstufe zuordnen. Die Stufe „niedrig“ wird beispielsweise dann erreicht, wenn eine Bewertung vorgenommen wurde, die darauf ausgerichtet ist, die bekannten grundlegenden Risiken für Sicherheitsvorfälle und Cyberangriffe möglichst gering zu halten. Zudem muss innerhalb der Bewertung mindestens eine Prüfung der technischen Dokumentation stattgefunden haben. Um die mittlere Stufe zu erreichen, muss das Produkt einer Bewertung unterzogen werden, die zusätzlich zu den Bewertungsanforderungen der niedrigen Stufe auch prüft, ob die Risiken von Cybersicherheitsvorfällen und Cyberangriffen seitens Akteure mit begrenzten Fähigkeiten und Ressourcen möglichst geringgehalten werden. Zudem muss nachgewiesen werden, dass das ITK-Produkt die erforderlichen Sicherheitsfunktionen korrekt durchführt. Die Vertrauenswürdigkeitsstufe „hoch“ wird nur dann zertifiziert, wenn die Sicherheitsmaßnahmen des Produktes auch das Risiko eines Cyberangriffes möglichst geringhält, der nach dem neusten Stand der Technik von Akteuren mit umfangreichen Fähigkeiten durchgeführt wird.  

Die einzelne Prüfung jedes Produktes, Dienstes und Prozesses ist sehr umfangreich und von staatlichen Behörden kaum umzusetzen. Daher hat das europäische Parlament auch eine Selbstbewertung durch die Hersteller und Anbieter von IKT-Produkten, -Diensten und -Prozessen angeboten, die der Vertrauenswürdigkeitsstufe „niedrig“ entsprechen. Die Hersteller und Anbieter können so die Konformität mit den Anforderungen der Sicherheitsstufe „niedrig“ selbst erklären und befinden sich lediglich in der Nachweispflicht.  

Die Zuständigkeit: 

Auch bei der Zuständigkeit für die Zertifizierung und die Prüfung der Konformitätserklärungen hat das europäische Parlament die vermeidliche Überforderung einer zentralen Behörde erkannt und festgelegt, dass die Mitgliedsstaaten jeweils eine oder mehrere Behörden zur Umsetzung der Cybersicherheitszertifizierung bestimmen sollen. Aber jeder der schonmal einen Antrag bei einer Behörde gestellt hat weiß, dass nicht alle Behörden gleich sind. Einige nehmen ihre Aufgaben ernst, andere tun dies weniger. Dies könnte insbesondere internationalen Konzernen die Möglichkeit eröffnen, die nötigen Zertifikate in jenem Mitgliedsstaat zu beantragen, der es mit den Prüfungsanforderungen und der Dokumentation nicht so genau nimmt.  

Dieses Problem hat auch die EU erkannt und festgelegt, dass sich die einzelnen Behörden gegenseitig begutachten sollen. Die Behörde eines Mitgliedstaates soll von zwei Behörden eines jeweils anderen begutachtet werden. Dieser Vorgang soll alle fünf Jahre durchgeführt und von der europäischen Kommission sowie der ENISA überwacht werden.  

Erste Ergebnisse: 

Grundsätzlich will die ENISA auf den schon existierenden Zertifizierungen aufbauen. Um sich einen Überblick über die derzeitigen Zertifikate und den Stand der Cybersecurity zu verschaffen hat die ENISA daher die „Stakeholder Cybersecurity Group“, eine Gruppe von Experten, ins Leben gerufen.  

Im nächsten Schritt hat diese Gruppe Berichte veröffentlicht. So wurde im März 2022 ein Bericht zu Risiko-Management-Standards und im April 2022 einen Bericht über die Analyse des Cybersecurity Marktes veröffentlicht. Zweiterer konzentriert sich auf den gesamten Markt der Cybersicherheit und sollte dazu beitragen, Einblicke in aktuelle Landschaft der Zertifizierungen zu erhalten. Ein konkreter Vorschlag, wie ein Schema für ein einheitliches Zertifikat zur Sicherheit von IKT-Produkten,-Dienstleistungen und Prozessen aussehen könnte, wurde bisher noch nicht veröffentlicht. 

Was sich für die Unternehmen geändert hat:  

Derzeit hat sich für die Unternehmen daher nichts geändert. Der Cybersecurity Act hat keinen Einfluss auf die Anforderungen an die Datensicherheit im Rahmen eines Auftragsverarbeitungsverhältnisses gem. Art. 28 und Art. 32 DSGVO. Um die Erfüllung der Anforderungen nachzuweisen, können weiterhin alle Zertifizierungen nach Art. 42 DSGVO verwendet werden.