EU konkretisiert langsam Standards für Cybersicherheit

Bei der Konferenz "EU Cybersecurity Act" in Brüssel beschäftigten sich Experten insbesondere mit der geplanten Zertifizierung von IoT-Geräten.

In Pocket speichern vorlesen Druckansicht 10 Kommentare lesen
EU konkretisiert Standards für Cybersicherheit
Lesezeit: 3 Min.
Von
  • Mirko Ross

Am 27. Juni 2019 trat der Cybersecurity Act in Kraft, mit dem Ziel, einheitliche Standards für Cybersicherheit in Europa zu schaffen. Bei der gleichnamigen Konferenz EU Cybersecurity Act in Brüssel beschäftigten sich Experten mit dem aktuellen Umsetzungsstand der Verordnung. Ein Programmschwerpunkt betraf die Zertifizierungsvorgaben für Produkte im Internet der Dinge.

Mit der gemeinsamen Cybersecurity-Verordnung haben sich Europäische Kommission und die Mitgliedstaaten das Ziel gesetzt, die Standards und Zertifizierungsvorgaben im Bereich der IKT-Sicherheit (Informations- und Kommunikationstechnik) zu vereinheitlichen und die Vielzahl unterschiedlicher Regelungen in den Mitgliedsstaaten und den Sektoren zu reduzieren. Dazu gehören beispielsweise Sicherheitsanforderungen an Cloud-Infrastrukturen, an das Internet der Dinge und Anwendungen der künstlichen Intelligenz. Die Einführung EU-weit gültiger Standards und Zertifizierungen soll hier Vertrauen in sichere Infrastrukturen schaffen.

Der vorgegebene Weg zur Umsetzung der Verordnung ist lang. Zunächst müssen sich Mitgliedstaaten und Kommission auf einen Umsetzungsplan verständigen: Welche Zertifizierungsformen für Sektoren und Anwendungsbereichen sollen mit welcher Priorität umgesetzt werden? Dafür haben die europäischen Akteure eine Frist bis Juni 2020. Danach wird die europäische Cybersicherheitsagentur ENISA mit dem Erstellen von Zertifizierungsschemen beauftragt. Am Ende verabschiedet die Kommission die durch die ENISA erarbeiteten Vorschläge, die damit für die Mitgliedstaaten wirksam werden. Bei Einhaltung aller vorgegeben Wege ist frühestens Anfang 2021 mit der Verabschiedung erster Zertifizierungsstandards zu rechnen.

Der beschriebene Weg durch die europäischen Instanzen kann sowohl auf Initiative der Mitgliedstaaten als auch der Kommission durch einen direkten Auftrag an die ENISA abgekürzt werden. Damit lässt sich der Vorgang bei Bedarf beschleunigen. Dass ein solcher Weg in dringenden Fällen gewählt wird, ist bei den aktuellen Cybersicherheitsbrennpunkten durchaus vorstellbar.

Für den Bereich der Zertifizierungen im Internet der Dinge gibt es bis dato keinen bekannten Fahrplan. Ein solcher wird aber voraussichtlich im Frühjahr 2020 bei der Kommission vorliegen. Die Erhöhung der Cybersicherheit von Produkten im Internet der Dinge ist ein Kernthema, das im EU Cybersecurity Certification Framework benannt ist. Erreichen will man dieses Ziel mit einem freiwilligen Gütesiegel für Produkte, das über deren Sicherheitsstatus Auskunft gibt. Gerade das hat in der Vergangenheit zu Kritik geführt, da zahlreichen Experten eine solche Lösung als unzureichend einstufen.

Allerdings kann diese Freiwilligkeit durch andere Regelungen, beispielsweise zum europäischen Verbraucherschutz, verschärft werden. Zudem ist vorgesehen, dass Regelungen wie diese ab 2023 überarbeitet werden können. Der Wandel von einem freiwilligen Gütesiegel zu einem verbindlichen Sicherheitssiegel für das Internet der Dinge ist daher möglich. (ur)