EU-Rahmenwerk für Cybersicherheits-Zertifikate kommt

Mareike Stamm 7. Januar 2019 IT-Sicherheit, Recht, Top List
EU-Rahmenwerk für Cybersicherheits-Zertifikate kommt

Aus Sicht des VDMA ist es gut, dass das Thema Cybersecurity endlich auf europäischer Ebene angegangen wird. Bild: Lancom

Nur ein Zertifikat in ganz Europa zum Nachweis der Cybersicherheit eines IT-Produkts: Diese Möglichkeit schafft der „Cybersecurity Act“, auf den sich das EU-Parlament, Mitgliedsstaaten und Europäische Kommission im Dezember im geeinigt haben. Im politischen Prozess der letzten Monate wurde der ursprüngliche Vorschlag deutlich verbessert – vor allem mit Blick auf Transparenz und Beteiligung der Industrie. Trotzdem kann dieses Rahmengesetz aus Sicht des VDMA nur ein erster Schritt sein. Es wird zwar die Vergabe von Nachweisen geregelt, eine echte Binnenmarktregulierung stellt das Rahmenwerk aber nicht dar. Enttäuschend ist, dass nur eine begrenzte Nutzung einer Herstellerselbsterklärung möglich ist.

Zukünftig gibt es eine so genannte „European Cybersecurity Certification Group“ und eine „Stakeholder Participation Group“, über die Mitgliedstaaten oder die Wirtschaft Vorschlägen an die EU-Kommission geben können, wenn eine europaweit geregelte Zertifizierung für eine bestimmte Produktgruppe notwendig erscheint. Wird der Vorschlag angenommen, erarbeitet die europäische Agentur für Cybersicherheit (ENISA) unter Beteiligung der betroffenen Branchen die Details. Die EU-Kommission hat dann das letzte Wort und das Zertifizierungssystem wird europaweit gültig. Ab diesem Moment verlieren nationale Systeme ihre Gültigkeit. Der Zertifizierungsrahmen ist grundsätzlich freiwillig, der Gesetzgeber behält sich aber vor, eine Verpflichtung im Rahmen weiterer Gesetzgebungsakte einzuführen.

Innovation und Effizienz wichtige Option

Aus Sicht des VDMA ist es gut, dass das Thema Cybersecurity endlich auf europäischer Ebene angegangen wird. Im Trilog wurden zudem vom Europäischen Parlament und den Mitgliedsstaaten erhebliche Verbesserung in Bezug auf Transparenz und Industriebeteiligung erreicht. So ist nun beispielsweise ein öffentlicher Arbeitsplan vorgesehen. Ein wesentlicher Konstruktionsfehler wurde aber nur unzureichend beseitigt: Die für die Innovation und Effizienz wichtige Option der Herstellerselbsterklärung ist zwar nun vorgesehen, aber nur für ein Basisniveau von Cybersicherheit. Grundsätzlich setzt der Cybersecurity Act weitgehend auf Drittstellenzertifizierung, ein aus Sicht des VDMA nur in Ausnahmefällen geeignetes und ansonsten teures und schwerfälliges Bewertungsverfahren.

Der VDMA sieht den Cybersecurity-Act nur als einen ersten Schritt. Der europäische Binnenmarkt braucht vielmehr eine einheitliche Rechtsvorschrift, die den sicheren Austausch von Unternehmens- und Produktdaten gewährleistet. (ig)