Skip to main content
Gestaltung der digitalen Zukunft Europas

Der EU-Rahmen für die Cybersicherheitszertifizierung

Der EU-Rahmen für die Cybersicherheitszertifizierung von IKT-Produkten ermöglicht die Schaffung maßgeschneiderter und risikobasierter EU-Zertifizierungssysteme.

Die Zertifizierung spielt eine entscheidende Rolle bei der Steigerung des Vertrauens und der Sicherheit in wichtige Produkte und Dienstleistungen für die digitale Welt. Derzeit gibt es in der EU eine Reihe unterschiedlicher Systeme für die Sicherheitszertifizierung von IKT-Produkten. Ohne einen gemeinsamen Rahmen für EU-weit gültige Cybersicherheitszertifikate besteht jedoch ein zunehmendes Risiko der Fragmentierung und von Hindernissen zwischen den Mitgliedstaaten.

Der Zertifizierungsrahmen wird EU-weite Zertifizierungssysteme als umfassendes Regelwerk, technische Anforderungen, Normen und Verfahren bereitstellen. Der Rahmen wird auf einer Einigung auf EU-Ebene über die Bewertung der Sicherheitseigenschaften eines bestimmten IKT-gestützten Produkts oder Dienstes beruhen. Sie bescheinigt, dass IKT-Produkte und -Dienste, die nach einem solchen System zertifiziert wurden, bestimmten Anforderungen entsprechen.

Insbesondere sollte in jeder europäischen Regelung Folgendes festgelegt werden:

  • die Kategorien der erfassten Produkte und Dienstleistungen;
  • die Cybersicherheitsanforderungen wie Normen oder technische Spezifikationen;
  • die Art der Bewertung, z. B. Selbstbewertung oder Bewertung durch Dritte;
  • das angestrebte Maß an Sicherheit.

Die Sicherheitsstufen werden verwendet, um die Nutzer über das Cybersicherheitsrisiko eines Produkts zu informieren, und können grundlegend, erheblich und/oder hoch sein. Sie entsprechen dem Risiko, das mit der beabsichtigten Verwendung des Produkts, der Dienstleistung oder des Prozesses verbunden ist, in Bezug auf die Wahrscheinlichkeit und die Auswirkungen eines Unfalls. Ein hohes Sicherheitsniveau würde bedeuten, dass das zertifizierte Produkt die höchsten Sicherheitstests bestanden hat.

Das daraus resultierende Zertifikat wird in allen EU-Mitgliedstaaten anerkannt, was den Unternehmen den grenzüberschreitenden Handel erleichtert und es den Käufern erleichtert, die Sicherheitsmerkmale des Produkts oder der Dienstleistung zu verstehen.

Weitere Informationen über die Arbeit an der EU-Cyberzertifizierung finden Sie in der ENISA-Cybersicherheitszertifizierung.

EU-Cybersicherheitszertifizierungssystem für gemeinsame Kriterien (EUCC)

Das erste System, das im Rahmen des Zertifizierungsrahmens des Cybersecurity Act verabschiedet wird, basiert auf dem renommierten internationalen Standard Common Criteria, der seit fast 30 Jahren für die Ausstellung von Zertifikaten in Europa verwendet wird. Das System nutzt das hohe Ansehen europäischer Anbieter und Zertifizierer, die die auf Common Criteria basierende Zertifizierung auf der ganzen Welt nutzen. Die Regelung wird ab dem 27. Februar 2025 für Anbieter verfügbar sein.

Das System gilt auf freiwilliger Basis EU-weit und konzentriert sich auf die Zertifizierung der Cybersicherheit von IKT-Produkten in ihrem Lebenszyklus: biometrische Systeme, Firewalls (sowohl Hardware als auch Software), Erkennungs- und Reaktionsplattformen, Router, Switches, spezialisierte Software (wie SIEM- und IDS/IDP-Systeme), Datendioden, Betriebssysteme (auch für mobile Geräte), verschlüsselte Speicher, Datenbanken sowie Smartcards und sichere Elemente, die in allen Arten von Produkten enthalten sind, wie etwa in Pässen, die täglich von allen Bürgern verwendet werden. 

Weitere Informationen zum EUCC finden Sie auf der ENISA-Zertifizierungswebsite.

Fortlaufendes Arbeitsprogramm der Union für die europäische Cybersicherheitszertifizierung (URWP)

Der EU-Cybersicherheitsakt sieht vor, dass die Kommission ein fortlaufendes Arbeitsprogramm der Union für die europäische Cybersicherheitszertifizierung veröffentlicht, in dem eine strategische Vision und Überlegungen zu möglichen Bereichen für künftige europäische Systeme für die Cybersicherheitszertifizierung unter Berücksichtigung der jüngsten legislativen und Marktentwicklungen dargelegt werden. 

Unter Berücksichtigung des Gesetzes über die Cyberresilienz (CRA) und anderer legislativer Entwicklungen wie der Verordnung über die europäische digitale Identität weist die erste URWP auf Bereiche für künftige europäische Systeme für die Cybersicherheitszertifizierung im Zusammenhang mit legislativen Entwicklungen sowie auf Bereiche für künftige Überlegungen in Bezug auf die Cybersicherheitszertifizierung hin, die gegebenenfalls zu Anträgen auf neue Systeme führen könnten. Darüber hinaus werden die strategischen Prioritäten dargelegt, die bei der Ausarbeitung eines europäischen Systems für die Cybersicherheitszertifizierung zu berücksichtigen sind. 

In der URWP werden Bereiche für die künftige europäische Cybersicherheitszertifizierung im Zusammenhang mit EU-Rechtsvorschriften, insbesondere ID-Brieftaschen und verwaltete Sicherheitsdienste, hervorgehoben.  Weitere Bereiche könnten industrielle Automatisierungs- und Steuerungssysteme und die Entwicklung des Sicherheitslebenszyklus auf der Grundlage der CRA-Anforderungen sowie kryptografische Mechanismen sein.  

Europäische Gruppe für die Cybersicherheitszertifizierung 

Die Europäische Gruppe für die Cybersicherheitszertifizierung (ECCG) wurde eingerichtet, um die einheitliche Umsetzung und Anwendung des Rechtsakts zur Cybersicherheit zu gewährleisten. Sie setzt sich aus Vertretern der nationalen Behörden für die Cybersicherheitszertifizierung oder Vertretern anderer einschlägiger nationaler Behörden zusammen. Die ECCG ist für die Vorbereitung des Kandidatenzertifikatsschemas und die allgemeine Umsetzung des Zertifizierungsrahmens von entscheidender Bedeutung.

Gruppe für die Cybersicherheitszertifizierung von Interessenträgern

Nach dem Inkrafttreten des Cybersicherheitsgesetzes im Jahr 2019 wurde die Stakeholder Cybersecurity Certification Group (SCCG) eingerichtet. 

Die SCCG berät die Kommission und die ENISA in strategischen Fragen der Cybersicherheitszertifizierung und unterstützt die Kommission bei der Ausarbeitung des fortlaufenden Arbeitsprogramms der Union. Dies ist die erste Expertengruppe für die Cybersicherheitszertifizierung, die von der Europäischen Kommission ins Leben gerufen wurde.

Verfolgen Sie die Arbeit der Gruppe

Neueste Nachrichten

DIGIBYTE |
Cyber: EU and UK hold Second Cyber Dialogue

On 5 and 6 December, the European Union (EU) and the United Kingdom (UK) held their second cyber dialogue in London, as set out under the EU-UK Trade and Cooperation Agreement.

PRESSEMITTEILUNG |
Die Kommission fordert 23 Mitgliedstaaten auf, die NIS2-Richtlinie vollständig umzusetzen

Die Europäische Kommission hat heute beschlossen, Vertragsverletzungsverfahren einzuleiten, indem sie ein Aufforderungsschreiben an 23 Mitgliedstaaten (Bulgarien, Tschechien, Dänemark, Deutschland, Estland, Irland, Griechenland, Spanien, Frankreich, Zypern, Lettland, Luxemburg, Ungarn, Malta, die Niederlande, Österreich, Polen, Portugal, Rumänien, Slowenien, die Slowakei, Finnland und Schweden) gerichtet hat, weil sie die NIS2-Richtlinie (Richtlinie 2022/2555) nicht vollständig umgesetzt haben.

Zugehöriger Inhalt

Gesamtbild

Cybersecurity Policies

The European Union works on various fronts to promote cyber resilience, safeguarding our communication and data and keeping online society and economy secure.

Vertiefen

Siehe auch

Cyberresilienzgesetz (Cyber Resilience Act)

Das Cyberresilienzgesetz verbessert die Cybersicherheitsstandards von Produkten, die eine digitale Komponente enthalten, und verpflichtet Hersteller und Einzelhändler, die Cybersicherheit während des gesamten Lebenszyklus ihrer Produkte sicherzustellen.

22 Cybersicherheitsprojekte mit 10,9 Mio. EUR ausgewählt

Betreiber wesentlicher Dienste (OES), nationale Cybersicherheitszertifizierungsbehörden (NCCAs) und nationale zuständige Behörden (NCA) für Cybersicherheit gehören zu den ausgewählten Antragstellern, die im Rahmen der Aufforderung zur Cybersicherheit der Fazilität „Connecting...

Das EU-Cybersicherheitsgesetz

Mit dem Cybersicherheitsgesetz wird die EU-Agentur für Cybersicherheit (ENISA) gestärkt und ein Rahmen für die Cybersicherheitszertifizierung für Produkte und Dienstleistungen geschaffen.