Der EU-Rahmen für die Cybersicherheitszertifizierung von IKT-Produkten ermöglicht die Schaffung maßgeschneiderter und risikobasierter EU-Zertifizierungssysteme.
Die Zertifizierung spielt eine entscheidende Rolle bei der Steigerung des Vertrauens und der Sicherheit in wichtige Produkte und Dienstleistungen für die digitale Welt. Derzeit gibt es in der EU eine Reihe unterschiedlicher Systeme für die Sicherheitszertifizierung von IKT-Produkten. Ohne einen gemeinsamen Rahmen für EU-weit gültige Cybersicherheitszertifikate besteht jedoch ein zunehmendes Risiko der Fragmentierung und von Hindernissen zwischen den Mitgliedstaaten.
Der Zertifizierungsrahmen wird EU-weite Zertifizierungssysteme als umfassendes Regelwerk, technische Anforderungen, Normen und Verfahren bereitstellen. Der Rahmen wird auf einer Einigung auf EU-Ebene über die Bewertung der Sicherheitseigenschaften eines bestimmten IKT-gestützten Produkts oder Dienstes beruhen. Sie bescheinigt, dass IKT-Produkte und -Dienste, die nach einem solchen System zertifiziert wurden, bestimmten Anforderungen entsprechen.
Insbesondere sollte in jeder europäischen Regelung Folgendes festgelegt werden:
- die Kategorien der erfassten Produkte und Dienstleistungen;
- die Cybersicherheitsanforderungen wie Normen oder technische Spezifikationen;
- die Art der Bewertung, z. B. Selbstbewertung oder Bewertung durch Dritte;
- das angestrebte Maß an Sicherheit.
Die Sicherheitsstufen werden verwendet, um die Nutzer über das Cybersicherheitsrisiko eines Produkts zu informieren, und können grundlegend, erheblich und/oder hoch sein. Sie entsprechen dem Risiko, das mit der beabsichtigten Verwendung des Produkts, der Dienstleistung oder des Prozesses verbunden ist, in Bezug auf die Wahrscheinlichkeit und die Auswirkungen eines Unfalls. Ein hohes Sicherheitsniveau würde bedeuten, dass das zertifizierte Produkt die höchsten Sicherheitstests bestanden hat.
Das daraus resultierende Zertifikat wird in allen EU-Mitgliedstaaten anerkannt, was den Unternehmen den grenzüberschreitenden Handel erleichtert und es den Käufern erleichtert, die Sicherheitsmerkmale des Produkts oder der Dienstleistung zu verstehen.
Weitere Informationen über die Arbeit an der EU-Cyberzertifizierung finden Sie in der ENISA-Cybersicherheitszertifizierung.
EU-Cybersicherheitszertifizierungssystem für gemeinsame Kriterien (EUCC)
Das erste System, das im Rahmen des Zertifizierungsrahmens des Cybersecurity Act verabschiedet wird, basiert auf dem renommierten internationalen Standard Common Criteria, der seit fast 30 Jahren für die Ausstellung von Zertifikaten in Europa verwendet wird. Das System nutzt das hohe Ansehen europäischer Anbieter und Zertifizierer, die die auf Common Criteria basierende Zertifizierung auf der ganzen Welt nutzen. Die Regelung wird ab dem 27. Februar 2025 für Anbieter verfügbar sein.
Das System gilt auf freiwilliger Basis EU-weit und konzentriert sich auf die Zertifizierung der Cybersicherheit von IKT-Produkten in ihrem Lebenszyklus: biometrische Systeme, Firewalls (sowohl Hardware als auch Software), Erkennungs- und Reaktionsplattformen, Router, Switches, spezialisierte Software (wie SIEM- und IDS/IDP-Systeme), Datendioden, Betriebssysteme (auch für mobile Geräte), verschlüsselte Speicher, Datenbanken sowie Smartcards und sichere Elemente, die in allen Arten von Produkten enthalten sind, wie etwa in Pässen, die täglich von allen Bürgern verwendet werden.
Weitere Informationen zum EUCC finden Sie auf der ENISA-Zertifizierungswebsite.
Fortlaufendes Arbeitsprogramm der Union für die europäische Cybersicherheitszertifizierung (URWP)
Der EU-Cybersicherheitsakt sieht vor, dass die Kommission ein fortlaufendes Arbeitsprogramm der Union für die europäische Cybersicherheitszertifizierung veröffentlicht, in dem eine strategische Vision und Überlegungen zu möglichen Bereichen für künftige europäische Systeme für die Cybersicherheitszertifizierung unter Berücksichtigung der jüngsten legislativen und Marktentwicklungen dargelegt werden.
Unter Berücksichtigung des Gesetzes über die Cyberresilienz (CRA) und anderer legislativer Entwicklungen wie der Verordnung über die europäische digitale Identität weist die erste URWP auf Bereiche für künftige europäische Systeme für die Cybersicherheitszertifizierung im Zusammenhang mit legislativen Entwicklungen sowie auf Bereiche für künftige Überlegungen in Bezug auf die Cybersicherheitszertifizierung hin, die gegebenenfalls zu Anträgen auf neue Systeme führen könnten. Darüber hinaus werden die strategischen Prioritäten dargelegt, die bei der Ausarbeitung eines europäischen Systems für die Cybersicherheitszertifizierung zu berücksichtigen sind.
In der URWP werden Bereiche für die künftige europäische Cybersicherheitszertifizierung im Zusammenhang mit EU-Rechtsvorschriften, insbesondere ID-Brieftaschen und verwaltete Sicherheitsdienste, hervorgehoben. Weitere Bereiche könnten industrielle Automatisierungs- und Steuerungssysteme und die Entwicklung des Sicherheitslebenszyklus auf der Grundlage der CRA-Anforderungen sowie kryptografische Mechanismen sein.
Europäische Gruppe für die Cybersicherheitszertifizierung
Die Europäische Gruppe für die Cybersicherheitszertifizierung (ECCG) wurde eingerichtet, um die einheitliche Umsetzung und Anwendung des Rechtsakts zur Cybersicherheit zu gewährleisten. Sie setzt sich aus Vertretern der nationalen Behörden für die Cybersicherheitszertifizierung oder Vertretern anderer einschlägiger nationaler Behörden zusammen. Die ECCG ist für die Vorbereitung des Kandidatenzertifikatsschemas und die allgemeine Umsetzung des Zertifizierungsrahmens von entscheidender Bedeutung.
Gruppe für die Cybersicherheitszertifizierung von Interessenträgern
Nach dem Inkrafttreten des Cybersicherheitsgesetzes im Jahr 2019 wurde die Stakeholder Cybersecurity Certification Group (SCCG) eingerichtet.
Die SCCG berät die Kommission und die ENISA in strategischen Fragen der Cybersicherheitszertifizierung und unterstützt die Kommission bei der Ausarbeitung des fortlaufenden Arbeitsprogramms der Union. Dies ist die erste Expertengruppe für die Cybersicherheitszertifizierung, die von der Europäischen Kommission ins Leben gerufen wurde.
Neueste Nachrichten
Zugehöriger Inhalt
Gesamtbild
Die Europäische Union arbeitet an verschiedenen Fronten, um die Cyberresilienz zu fördern, unsere Kommunikation und Daten zu schützen und die Sicherheit der Online-Gesellschaft und -Wirtschaft zu gewährleisten.
Vertiefen
Die Europäische Gruppe für die Cybersicherheitszertifizierung wurde eingerichtet, um die einheitliche Umsetzung und Anwendung des Rechtsakts zur Cybersicherheit zu gewährleisten.
Siehe auch
Das EU-Cybersolidaritätsgesetz wird die Abwehrbereitschaft, Erkennung und Reaktion auf Cybersicherheitsvorfälle in der gesamten EU verbessern.
Neue EU-Cybersicherheitsvorschriften sorgen für sicherere Hard- und Software.
Betreiber wesentlicher Dienste (OES), nationale Cybersicherheitszertifizierungsbehörden (NCCAs) und nationale zuständige Behörden (NCA) für Cybersicherheit gehören zu den ausgewählten Antragstellern, die im Rahmen der Aufforderung zur Cybersicherheit der Fazilität „Connecting...
Das Europäische Cybersicherheitsnetz und das Kompetenzzentrum für Cybersicherheit helfen der EU, technologische und industrielle Kapazitäten im Bereich der Cybersicherheit zu erhalten und auszubauen.
Die Stakeholder Cybersecurity Certification Group wurde gegründet, um bei strategischen Fragen der Cybersicherheitszertifizierung zu beraten.
Mit dem Cybersicherheitsgesetz wird die EU-Agentur für Cybersicherheit (ENISA) gestärkt und ein Rahmen für die Cybersicherheitszertifizierung für Produkte und Dienstleistungen geschaffen.
Die NIS2-Richtlinie ist die EU-weite Gesetzgebung zur Cybersicherheit. Sie enthält rechtliche Maßnahmen zur Steigerung des Gesamtniveaus der Cybersicherheit in der EU.