Cybersicherheitszertifizierung von IKT-Produkten, -Diensten und -Prozessen
Die Cybersicherheitszertifizierung spielt eine große Rolle, wenn es darum geht, das Vertrauen in IKT-Produkte, -Dienste und -Prozesse zu stärken und deren Sicherheit zu erhöhen. Die Entwicklung des digitalen Binnenmarkts hängt auch vom Vertrauen der breiten Öffentlichkeit in die Cyber-Sicherheit der Produkte, Dienste und Prozesse ab.
Weil eine Stärkung des Vertrauens durch eine EU-weite Zertifizierung erleichtert werden kann, hat die EU im Jahr 2019 die Verordnung (EU) 2019/881 („Cybersecurity Act“) verabschiedet. Diese schafft unter anderem einen europäischen Zertifizierungsrahmen für die Cyber-Sicherheit. Dabei handelt es sich um einen Mechanismus, mit dem europäische Schemata für die Cybersicherheitszertifizierung geschaffen werden können.
Unter einem solchen Schema ausgestellte Cybersicherheitszertifikate sollen bescheinigen, dass IKT-Produkte, -Dienste und -Prozesse, die nach dem Schema bewertet wurden, den festgelegten Sicherheitsanforderungen genügen. Ein Schema kann für IKT-Produkte, -Dienste und -Prozesse eine oder mehrere der Vertrauenswürdigkeitsstufen „niedrig“, „mittel“ und/oder „hoch“ angeben. Bei niedrigem Risiko, das der Vertrauenswürdigkeitsstufe „niedrig“ entspricht, kann auch eine Selbstbewertung der Konformität vorgesehen werden.
Cybersicherheitszertifikate und EU-Konformitätserklärungen werden dabei EU-weit anerkannt, was die derzeitige Fragmentierung zwischen nationalen Zertifizierungsschemata beseitigen soll. Durch den Nachweis, dass ein Produkt die angegebenen Sicherheitsfunktionen erfüllt oder bestimmte Sicherheitsanforderungen einhält, kann eine Cybersicherheitszertifizierung wesentlich dazu beitragen, das Vertrauen in IKT-Produkte, -Dienste und -Prozesse zu stärken und damit das ordnungsgemäße Funktionieren des digitalen Binnenmarktes gewährleisten.
Die Agentur der EU für Cybersicherheit (ENISA) entwickelt auf Ersuchen der EU-Kommission oder der EU-Mitgliedstaaten Entwürfe für Zertifizierungsschemata. Dabei wird die ENISA von einer Gruppe von Expert:innen („Ad-hoc-Arbeitsgruppen“) unterstützt. Ferner arbeitet die „Europäische Gruppe für die Cybersicherheitszertifizierung“ (European Cybersecurity Certification Group), die sich insb. aus Vertreter:innen der nationalen Behörden für die Cybersicherheitszertifizierung zusammensetzt, zu.
Auch die Gruppe der Interessensträger für die Cybersicherheitszertifizierung (Stakeholders Cybersecurity Certification Group), die sich aus Vertreter:innen aus akademischen Einrichtungen, Verbraucherschutzorganisationen, Konformitätsbewertungsstellen, Unternehmen, Handelsverbänden etc. zusammensetzt, wirkt bei der Erarbeitung der Zertifizierungsschemata mit. Schlussendlich wird ein Zertifizierungsschema durch einen Durchführungsrechtsakt der EU-Kommission verabschiedet.
Schemata für die Cybersicherheitszertifizierung
Bereits im Jahr 2019 beauftragte die EU-Kommission die ENISA mit der Ausarbeitung eines ersten Schemas für die Cybersicherheitszertifizierung. Dieses trägt den Namen European Union Common Criteria Scheme (EUCC) und soll der Nachfolger des bestehenden SOG-IS (Senior Officials Group Information Systems Security) und MRA (Mutual Recognition Agreement) werden. Unter dem EUCC wird eine Zertifizierung der Cyber-Sicherheit von IKT-Produkten vorgesehen. Das EUCC basiert auf Common Criteria, Common Methodology for Information Technology Security Evaluation und den entsprechenden Normen ISO/IEC 15408 und ISO/IEC 18045.
Nach dem EUCC wurde die ENISA von der EU-Kommission im November 2019 zur Vorbereitung eines weiteren Schemas für die Cybersicherheitszertifizierung beauftragt. Dieses trägt den Namen European Union Cybersecurity Certification Scheme on Cloud Services (EUCS) und soll die Sicherheit von Cloud-Diensten regeln. Ziel ist es, die Sicherheit von Cloud-Diensten mit EU-Vorschriften, internationalen Standards, bewährten Praktiken der Industrie sowie mit bestehenden Zertifizierungen in EU-Mitgliedstaaten zu harmonisieren und das Vertrauen in Cloud-Dienste zu stärken. Es soll auf alle Arten von Cloud-Diensten (von Infrastruktur bis Anwendungen) anwendbar sein und Transparenzanforderungen, wie den Ort der Datenverarbeitung und -speicherung, beinhalten.
Das dritte derzeit in Ausarbeitung befindliche Schema für die Cybersicherheitszertifizierung läuft unter dem Namen EU5G. Es wurde von der EU-Kommission im Jänner 2021 bei ENISA beauftragt und hat die Cyber-Sicherheit von 5G-Netzwerken zum Gegenstand. Das Schema soll sich beim Anwendungsbereich auf das GSMA Network Equipment Security Assurance Scheme sowie auf relevante Common Criteria-Schutzprofile für embedded Universal Integrated Circuit Card (eUICC) beziehen.
Alle drei Schemata befinden sich noch in Ausarbeitung, wobei ENISA seinen Entwurf für das EUCC bereits an die EU-Kommission übergeben hat.
Cybersicherheitszertifizierung und Selbstbewertung
Sobald fertige europäische Schemata für die Cybersicherheitszertifizierung in Form von Durchführungsrechtsakten der EU-Kommission existieren, können sich Anbieter und Hersteller von IKT-Produkten, -Diensten und -Prozessen zukünftig freiwillig für eine Cybersicherheitszertifizierung von IKT-Produkten, -Diensten und -Prozessen bzw. Selbstbewertung der Konformität entscheiden.
Bei einer Selbstbewertung der Konformität können Hersteller oder Anbieter eine EU-Konformitätserklärung ausstellen, die bestätigt, dass die Erfüllung der im Schema festgelegten Anforderungen nachgewiesen wurde. Durch die Ausstellung einer solchen Erklärung übernimmt der Hersteller oder Anbieter die Verantwortung dafür, dass das IKT-Produkt, der IKT-Dienst oder der IKT-Prozess den in diesem Schema festgelegten Anforderungen entspricht. EU-Konformitätserklärung, technische Dokumentation und weitere einschlägige Informationen müssen dabei für einen bestimmten Zeitraum aufbewahrt werden.
Möchte ein Hersteller oder Anbieter seine IKT-Produkte, -Dienste oder -Prozesse zertifizieren lassen, muss er diese zur Zertifizierung einreichen, und zwar grundsätzlich bei einer Konformitätsbewertungsstelle (für die Vertrauenswürdigkeitsstufen „niedrig“ und „mittel“). In bestimmten Fällen (vor allem für die Vertrauenswürdigkeitsstufe „hoch“) ist die Zertifizierung bei einer nationalen Behörde für die Cybersicherheitszertifizierung oder bei speziellen Konformitätsbewertungsstellen einzureichen. In jedem Fall müssen alle für das Zertifizierungsverfahren notwendigen Informationen vorgelegt werden.
In die nahe Zukunft blickend darf mit Spannung erwartet werden, inwieweit der Europäische Rechtsakt zur Cyber-Resilienz (European Cyber Resilience Act), dessen Vorstellung für September dieses Jahres geplant ist und dessen Ziel die Festlegung gemeinsamer Standards für die IKT-Sicherheit von Produkten und Diensten ist, auf die Möglichkeiten des Cybersecurity Act zurückgreifen wird.