Skip to main content
Logo der Europäischen Kommission
Gestaltung der digitalen Zukunft Europas

EU-Rahmen für die Cybersicherheitszertifizierung

Der EU-Rahmen für die Cybersicherheitszertifizierung ermöglicht maßgeschneiderte und risikobasierte EU-Zertifizierungssysteme.

Die Zertifizierung spielt eine entscheidende Rolle bei der Steigerung des Vertrauens und der Sicherheit in kritische Produkte und Dienstleistungen für die digitale Welt. Derzeit gibt es in der EU eine Reihe unterschiedlicher Sicherheitszertifizierungssysteme für IKT-Produkte. Ohne einen gemeinsamen Rahmen für EU-weit gültige Cybersicherheitszertifikate besteht jedoch ein zunehmendes Risiko einer Fragmentierung und von Hindernissen zwischen den Mitgliedstaaten.

Der Zertifizierungsrahmen

Der Zertifizierungsrahmen sieht EU-weite Zertifizierungssysteme als umfassendes Regelwerk, technische Anforderungen, Normen und Verfahren vor. Der Rahmen wird auf einer Einigung auf EU-Ebene über die Bewertung der Sicherheitseigenschaften eines bestimmten IKT-gestützten Produkts oder Dienstes beruhen. Sie bescheinigt, dass IKT-Produkte und -Dienste, die nach einem solchen System zertifiziert wurden, bestimmte Anforderungen erfüllen.

Insbesondere sollte in jedem europäischen System Folgendes festgelegt werden:

  • die Kategorien der erfassten Produkte und Dienstleistungen;
  • die Cybersicherheitsanforderungen, z. B. Normen oder technische Spezifikationen;
  • Art der Bewertung, z. B. Selbstbewertung oder Dritter;
  • Das angestrebte Maß an Sicherheit.

Die Sicherheitsstufen werden verwendet, um Benutzer über das Cybersicherheitsrisiko eines Produkts zu informieren, und können grundlegend, substanziell und / oder hoch sein. Sie entsprechen dem mit der beabsichtigten Verwendung des Produkts, der Dienstleistung oder des Verfahrens verbundenen Risiko in Bezug auf die Wahrscheinlichkeit und die Auswirkungen eines Unfalls. Ein hohes Sicherheitsniveau würde bedeuten, dass das zertifizierte Produkt die höchsten Sicherheitstests bestanden hat.

Das resultierende Zertifikat

Das daraus resultierende Zertifikat wird in allen EU-Mitgliedstaaten anerkannt, was es Unternehmen erleichtert, grenzüberschreitend zu handeln, und den Käufern erleichtert, die Sicherheitsmerkmale des Produkts oder der Dienstleistung zu verstehen.

Weitere Informationen über die Arbeit an der EU-Cyberzertifizierung finden Sie in der ENISA-Cybersicherheitszertifizierung.

Erstes EU-Cybersicherheitszertifizierungssystem für gemeinsame Kriterien (EUCC)

Das erste System, das unter dem Zertifizierungsrahmen des Cybersecurity Act verabschiedet wird, basiert auf dem renommierten internationalen Standard Common Criteria, der seit fast 30 Jahren für die Ausstellung von Zertifikaten in Europa verwendet wird. Das Programm nutzt die hohe Reputation europäischer Anbieter und Zertifizierer, die die auf gemeinsamen Kriterien basierende Zertifizierung auf der ganzen Welt verwenden. Die Regelung wird ab dem 27. Februar 2025 für Anbieter verfügbar sein.

Das System wird EU-weit auf freiwilliger Basis angewandt und konzentriert sich auf die Zertifizierung der Cybersicherheit von IKT-Produkten während ihres Lebenszyklus, einschließlich:

  • Biometrische Systeme
  • Firewalls (Hardware und Software)
  • Erkennungs- und Reaktionsplattformen
  • Router
  • Schalter
  • Spezialisierte Software (wie SIEM- und IDS/IDP-Systeme)
  • Datendioden
  • Betriebssysteme (auch für mobile Geräte)
  • Verschlüsselte Speicher
  • Datenbanken
  • Smartcards und sichere Elemente, die in allen Arten von Produkten enthalten sind, beispielsweise in Pässen, die täglich von allen Bürgern verwendet werden. 

Weitere Informationen zum EUCC finden Sie auf der Website der ENISA-Zertifizierung.

Ein erneuerter europäischer Rahmen für die Cybersicherheitszertifizierung

Am 20. Januar 2026 schlug die Kommission einen überarbeiteten Rechtsakt zur Cybersicherheit vor, mit dem der Europäische Rahmen für die Cybersicherheitszertifizierung (ECCF) erneuert wird. Mit dem Vorschlag wird sichergestellt, dass Produkte und Dienstleistungen, die Verbraucher in der EU erreichen, effizienter auf ihre Sicherheit getestet werden. Der neue ECCF wird standardmäßig innerhalb von 12 Monaten mehr Klarheit und einfachere Verfahren für die Entwicklung von Systemen schaffen. Sie wird auch eine agilere und transparentere Governance einführen, um die Interessenträger durch öffentliche Information und Konsultation besser einzubinden.

Zertifizierungssysteme, die von der ENISA verwaltet werden, werden zu einem praktischen, freiwilligen Instrument für Unternehmen. Sie werden es den Unternehmen ermöglichen, die Einhaltung der EU-Rechtsvorschriften nachzuweisen, wodurch der Aufwand und die Kosten verringert werden. Für EU-Bürger, Unternehmen und Behörden wird sie ein hohes Maß an Sicherheit und Vertrauen in komplexe IKT-Lieferketten gewährleisten. 

Laufendes Arbeitsprogramm der Union für die europäische Cybersicherheitszertifizierung (URWP)

Das fortlaufende Arbeitsprogramm der Union zur europäischen Cybersicherheitszertifizierung wurde zeitgleich mit dem ersten EU-weiten System für die Cybersicherheitszertifizierung (EUCC) veröffentlicht. In der ersten URWP werden strategische Prioritäten für künftige europäische Systeme für die Cybersicherheitszertifizierung dargelegt, wobei die jüngsten legislativen und marktbezogenen Entwicklungen wie das Cyberresilienzgesetz (CRA) und die Verordnung über die europäische digitale Identität berücksichtigt werden. Dies könnte schließlich dazu führen, dass Anträge auf neue Regelungen gestellt werden, sofern dies erforderlich und angemessen ist. Darüber hinaus werden darin die strategischen Prioritäten dargelegt, die bei der Ausarbeitung eines europäischen Systems für die Cybersicherheitszertifizierung zu berücksichtigen sind. 

In der URWP werden die folgenden Bereiche für die künftige europäische Cybersicherheitszertifizierung im Zusammenhang mit den EU-Rechtsvorschriften hervorgehoben:

  • ID-Brieftaschen
  • Verwaltete Sicherheitsdienste
  • Industrielle Automatisierungs- und Steuerungssysteme
  • Entwicklung des Sicherheitslebenszyklus auf der Grundlage der CRA-Anforderungen
  • Kryptografische Mechanismen

Europäische Gruppe für Cybersicherheitszertifizierung (ECCG)

Die Europäische Gruppe für die Cybersicherheitszertifizierung (European Cybersecurity Certification Group, ECCG) wurde eingerichtet, um die einheitliche Umsetzung und Anwendung des Cybersicherheitsgesetzes zu gewährleisten. Er setzt sich aus Vertretern nationaler Behörden für die Cybersicherheitszertifizierung oder Vertretern anderer einschlägiger nationaler Behörden zusammen. Die ECCG ist von entscheidender Bedeutung für die Vorbereitung des Kandidatenzertifikatsystems und die allgemeine Umsetzung des Zertifizierungsrahmens.

Die Stakeholder-Cybersecurity-Zertifizierungsgruppe (SCCG)

Nach dem Inkrafttreten des Cybersecurity Act im Jahr 2019 wurde die Stakeholder Cybersecurity Certification Group (SCCG) eingerichtet. 

Die SCCG ist für die Beratung der Kommission und der ENISA in strategischen Fragen der Cybersicherheitszertifizierung und die Unterstützung der Kommission bei der Vorbereitung des fortlaufenden Arbeitsprogramms der Union (URWP) zuständig. Dies ist die erste Expertengruppe für die Cybersicherheitszertifizierung, die von der Europäischen Kommission ins Leben gerufen wurde.

Verfolgen Sie die Arbeit der Gruppe

Die neuesten Nachrichten

Durchsuchen Sie Cybersicherheit

Zugehöriger Inhalt

Gesamtbild

EU-Cybersicherheitspolitik

Die Europäische Union arbeitet an verschiedenen Fronten, um die Cyberresilienz zu fördern, unsere Kommunikation und Daten zu schützen und die Online-Gesellschaft und -Wirtschaft zu schützen.

Vertiefen

Last update

20 Januar 2026

Als PDF ausdrucken