EU-Kommission will Zertifizierung für sichere Internetgeräte schaffen

Auf der aktuell in Den Haag stattfindenden gemeinsamen Sicherheitskonferenz von Europol und der Europäischen Agentur für Netz- und Informationssicherheit (ENISA) bekräftigte die Europäische Kommission ihren Willen für einheitliche Regeln in Sachen Cybersicherheit.

In der geplanten Verordnung zu einer "Zertifizierung der Cybersicherheit" soll das Augenmerk insbesondere auf mehr Sicherheit im Internet der Dinge gelegt werden. Der Fahrplan zur Reform ist ehrgeizig: Bis zum Ende dieses Jahrs soll die neue Verordnung vom Europäischen Parlament verabschiedet werden; danach gilt sie in allen Mitgliedstaaten der Europäischen Union.

Wenn der Vorschlag vom Parlament bestätigt wird, ergeben sich insbesondere für Hersteller von Produkten für das Internet der Dinge neue Vorschriften. In der jetzigen Fassung soll für Hersteller die Zertifizierung ihrer Produkte allerdings auf freiwilliger Basis erfolgen, sofern diese nicht Bestandteil kritischer Infrastrukturen sind. Allerdings können einzelne Mitgliedstaaten diese Vorgabe im nationalen Recht deutlich verschärfen.

Zertifizierung nur freiwillig

Hersteller können diese freiwillige Zertifizierung in Abhängigkeit von drei Sicherheitsstufen "niedrig", "mittel" oder "hoch" mit unterschiedlichen Anforderungen durchlaufen. Im Falle der niedrigsten Stufe dürfen Hersteller die Konformitätsbewertung selbst durchführen. Bewertet wird dabei beispielsweise die Abwehrfähigkeit gegenüber einem zufälligen oder böswilligen Verlust von Daten. Für die beiden nächsten Stufen "mittel" und "hoch" werden externe Audits gefordert.

Die europäischen Institutionen gehen in der jetzigen Fassung davon aus, dass die restriktive Vorgabe einer zwingenden Zertifizierung, beispielsweise mit einem verpflichtenden Qualitätssiegel für sichere Produkte im Internet der Dinge, angesichts der globalen Herausforderung nicht erfolgversprechend ist. "Wir setzen darauf, dass Hersteller die freiwillige Zertifizierung zum Anlass nehmen, zertifizierte Produkte selbstständig entsprechend auszuzeichnen und damit Verbraucher einen deutlichen Hinweis zur nachhaltigen Sicherheit zu geben", so Steve Purser, Leiter bei der europäischen Cyberersicherheitsagentur ENISA.

Agentur für Cybersicherheit

Die ENISA bekommt im neuen Rahmenwerk eine zentrale Funktion und soll die Rolle einer ständigen Agentur für Cybersicherheit in der Europäischen Union übernehmen. Diese soll sowohl Cybersicherheitsübungen auf EU-Ebene organisieren und die einheitliche Umsetzung der Cybersicherheits-Zertifizierung unterstützen und fördern.

Die Grundlage zur Neuregelung der Cybersicherheit in Europa geht unter dem Namen "Cybersecurity Certification Framework" auf einen Vorstoß der Europäischen Kommission aus dem Jahre 2017 zurück. Im Rahmen einer umfassenden Reform zur Cybersicherheit hat der Europäische Rat in diesem Monat den Vorschlag befürwortet und dem Europäischen Parlament zur Diskussion und Verabschiedung übergeben. Es wird damit gerechnet, dass noch dieses Jahr im Parlament über die Einführung eines EU-weiten Zertifizierungssystems für Cybersicherheit abgestimmt wird. (odi)