Der EU-Rahmen für die Cybersicherheitszertifizierung

Der EU-Rahmen für die Cybersicherheitszertifizierung von Produkten der Informations- und Kommunikationstechnologie (IKT) ermöglicht maßgeschneiderte und risikobasierte EU-Zertifizierungssysteme.

Die Zertifizierung spielt eine entscheidende Rolle bei der Steigerung des Vertrauens und der Sicherheit in kritische Produkte und Dienstleistungen für die digitale Welt. Derzeit gibt es in der EU eine Reihe unterschiedlicher Systeme für die Sicherheitszertifizierung von IKT-Produkten. Ohne einen gemeinsamen Rahmen für EU-weit gültige Cybersicherheitszertifikate besteht jedoch ein zunehmendes Risiko der Fragmentierung und von Hindernissen zwischen den Mitgliedstaaten.

Der Zertifizierungsrahmen

Der Zertifizierungsrahmen wird EU-weite Zertifizierungssysteme als umfassendes Regelwerk, technische Anforderungen, Normen und Verfahren bereitstellen. Der Rahmen wird auf einer Einigung auf EU-Ebene über die Bewertung der Sicherheitseigenschaften eines bestimmten IKT-gestützten Produkts oder Dienstes beruhen. Sie bescheinigt, dass IKT-Produkte und -Dienste, die nach einem solchen System zertifiziert wurden, bestimmten Anforderungen entsprechen.

Insbesondere sollte in jeder europäischen Regelung Folgendes festgelegt werden:

die Kategorien der erfassten Produkte und Dienstleistungen;
Cybersicherheitsanforderungen wie Normen oder technische Spezifikationen;
die Art der Bewertung, wie z. B. die Selbstbewertung oder die Bewertung durch Dritte;
Das angestrebte Maß an Sicherheit.

Die Sicherheitsstufen werden verwendet, um Benutzer über das Cybersicherheitsrisiko eines Produkts zu informieren, und können grundlegend, erheblich und / oder hoch sein. Sie entsprechen dem Risiko, das mit der beabsichtigten Verwendung des Produkts, der Dienstleistung oder des Prozesses verbunden ist, in Bezug auf die Wahrscheinlichkeit und die Auswirkungen eines Unfalls. Ein hohes Sicherheitsniveau würde bedeuten, dass das zertifizierte Produkt die höchsten Sicherheitstests bestanden hat.

Das resultierende Zertifikat

Das daraus resultierende Zertifikat wird in allen EU-Mitgliedstaaten anerkannt, was den Unternehmen den grenzüberschreitenden Handel erleichtert und es den Käufern erleichtert, die Sicherheitsmerkmale des Produkts oder der Dienstleistung zu verstehen.

Weitere Informationen über die Arbeit an der EU-Cyberzertifizierung finden Sie in der ENISA-Cybersicherheitszertifizierung.

EU-Cybersicherheitszertifizierungssystem für gemeinsame Kriterien (EUCC)

Das erste System, das im Rahmen des Zertifizierungsrahmens des Cybersecurity Act verabschiedet wird, basiert auf dem renommierten internationalen Standard Common Criteria, der seit fast 30 Jahren für die Ausstellung von Zertifikaten in Europa verwendet wird. Das System nutzt das hohe Ansehen europäischer Anbieter und Zertifizierer, die die auf Common Criteria basierende Zertifizierung auf der ganzen Welt nutzen. Die Regelung wird ab dem 27. Februar 2025 für Anbieter verfügbar sein.

Das System wird EU-weit auf freiwilliger Basis angewandt und konzentriert sich auf die Zertifizierung der Cybersicherheit von IKT-Produkten in ihrem Lebenszyklus, einschließlich:

Biometrische Systeme
Firewalls (Hardware und Software)
Erkennungs- und Reaktionsplattformen
Router
Schalter
Spezialisierte Software (wie SIEM- und IDS/IDP-Systeme)
Datendioden
Betriebssysteme (auch für mobile Geräte)
Verschlüsselte Speicher
Datenbanken
Smartcards und sichere Elemente, die in allen Arten von Produkten enthalten sind, wie zum Beispiel in Pässen, die täglich von allen Bürgern verwendet werden.

Weitere Informationen zum EUCC finden Sie auf der ENISA-Zertifizierungswebsite.

Das fortlaufende Arbeitsprogramm der Union für die europäische Cybersicherheitszertifizierung (URWP)

Das fortlaufende Arbeitsprogramm der Union zur europäischen Cybersicherheitszertifizierung wurde zeitgleich mit dem ersten EU-weiten System für die Cybersicherheitszertifizierung (EUCC) veröffentlicht. In der ersten URWP werden strategische Prioritäten für künftige europäische Systeme für die Cybersicherheitszertifizierung unter Berücksichtigung der jüngsten legislativen und Marktentwicklungen wie dem Gesetz über die Cyberresilienz (CRA) und der Verordnung über die europäische digitale Identität dargelegt. Dies könnte gegebenenfalls zu Anträgen auf neue Regelungen führen. Darüber hinaus werden die strategischen Prioritäten dargelegt, die bei der Ausarbeitung eines europäischen Systems für die Cybersicherheitszertifizierung zu berücksichtigen sind.

In der URWP werden die folgenden Bereiche für die künftige europäische Cybersicherheitszertifizierung im Zusammenhang mit EU-Rechtsvorschriften hervorgehoben:

ID-Brieftaschen
Verwaltete Sicherheitsdienste
Industrielle Automatisierungs- und Steuerungssysteme
Entwicklung des Sicherheitslebenszyklus auf der Grundlage der CRA-Anforderungen
Kryptografische Mechanismen

Europäische Gruppe für die Cybersicherheitszertifizierung (ECCG)

Die Europäische Gruppe für die Cybersicherheitszertifizierung (ECCG) wurde eingerichtet, um die einheitliche Umsetzung und Anwendung des Rechtsakts zur Cybersicherheit zu gewährleisten. Sie setzt sich aus Vertretern der nationalen Behörden für die Cybersicherheitszertifizierung oder Vertretern anderer einschlägiger nationaler Behörden zusammen. Die ECCG ist für die Vorbereitung des Kandidatenzertifikatsschemas und die allgemeine Umsetzung des Zertifizierungsrahmens von entscheidender Bedeutung.

Die Stakeholder Cybersecurity Certification Group (SCCG)

Nach dem Inkrafttreten des Cybersicherheitsgesetzes im Jahr 2019 wurde die Stakeholder Cybersecurity Certification Group (SCCG) eingerichtet.

Die SCCG berät die Kommission und die ENISA in strategischen Fragen der Cybersicherheitszertifizierung und unterstützt die Kommission bei der Vorbereitung des fortlaufenden Arbeitsprogramms der Union. Dies ist die erste Expertengruppe für die Cybersicherheitszertifizierung, die von der Europäischen Kommission ins Leben gerufen wurde.

Verfolgen Sie die Arbeit der Gruppe

Neueste Nachrichten

Pressemitteilung
28 März 2025

Kommission investiert 1,3 Mrd. EUR in künstliche Intelligenz, Cybersicherheit und digitale Kompetenzen

Die Kommission wird 1,3 Mrd. EUR für den Einsatz kritischer Technologien bereitstellen, die für die Zukunft Europas und die Technologiesouveränität des Kontinents von strategischer Bedeutung sind, und zwar im Rahmen des heute angenommenen Arbeitsprogramms für das Programm „Digitales Europa“ (DIGITAL) für den Zeitraum 2025 bis 2027.

Image representing the EU flag next to the Republic of Korea flag

Pressemitteilung
10 März 2025

EU und Korea vertiefen ihre Beziehungen zum wegweisenden digitalen Handelsabkommen

Die EU und die Republik Korea haben die Verhandlungen über ein wegweisendes Abkommen über den digitalen Handel (DTA) abgeschlossen und damit ihr Engagement für eine starke und zuverlässige Partnerschaft unterstrichen, die den rasanten digitalen Entwicklungen von heute gewachsen ist.

Digital illustration of a glowing padlock icon surrounded by circuit board patterns and data streams, representing cybersecurity and data protection.

Pressemitteilung
24 Februar 2025

Kommission legt neuen Cybersicherheitsentwurf vor, um die EU-Koordinierung von Cyberkrisen zu verbessern

Die Kommission hat heute einen Vorschlag vorgelegt, um eine wirksame und effiziente Reaktion auf große Cybervorfälle zu gewährleisten.

Pressemitteilung
21 Februar 2025

Kommission und Hoher Vertreter präsentieren entschlossene Maßnahmen zur Verbesserung der Sicherheit von Seekabeln

Am 21. Februar stellte Exekutiv-Vizepräsidentin Henna Virkkunen in Helsinki (Finnland) die Gemeinsame Mitteilung der Kommission und der HRVP zur Stärkung der Sicherheit und Widerstandsfähigkeit von Seekabeln vor.

Durchsuchen Sie Cybersicherheit

Zugehöriger Inhalt

Gesamtbild

Cybersicherheitsrichtlinien

Die Europäische Union arbeitet an verschiedenen Fronten, um die Cyberresilienz zu fördern, unsere Kommunikation und Daten zu schützen und die Sicherheit der Online-Gesellschaft und -Wirtschaft zu gewährleisten.