Sie sind hier: HomeThemenSmart Automation / IoTSonstige

Freiwillige Zertifizierungen: EU Cybersecurity Act in Kraft

Gemäß des jetzt in Kraft getretene EU Cybersecurity Act können Hersteller ihre IT-sicherheitsrelevanten Produkte und Dienstleistungen freiwillig zertifizieren lassen. Die in Griechenland ansässige EU-Cybersicherheitsagentur ENISA erhält weitreichende Befugnisse.

Ursprünglich hatten die Verwertungsgesellschaften eine Abgabe von bis zu 1,95 Euro je Speicherkarte und 1,56 Euro je USB-Stick gefordert. Bildquelle: © WEKA Fachmedien

.

Die 2004 in Griechenland gegründete EU-Agentur für Cybersicherheit hat gemäß EU Cyber Act nun ein dauerhaftes Mandat und umfangreiche Aufgaben erhalten. Insbesondere wird die ENISA eine Schlüsselrolle bei der Einrichtung und Aufrechterhaltung des Zertifizierungsrahmens für die Cybersicherheit spielen, indem sie beispielsweise die technischen Voraussetzungen für bestimmte Zertifizierungssysteme definiert und die Öffentlichkeit über die Zertifizierungssysteme und die ausgestellten Zertifikate über eine eigene Website informiert.

Die ENISA ist auch beauftragt, die operative Zusammenarbeit auf EU-Ebene zu verstärken, denjenigen Mitgliedstaaten zu helfen, die von Cybersecurity-Vorfällen betroffen sind, sowie die EU-Koordination im Falle von Großangriffen und Krisen zu unterstützen. Diese Aufgabe baut auf der Rolle der ENISA als Sekretariat des durch die NIS-Richtlinie eingerichteten Netzwerks der nationalen Computer Security Incidents Response Teams (CSIRTs) auf. Um ihr neues Mandat zu erfüllen, wurden die Mittel der Agentur von 11 auf 23 Millionen Euro über einen Zeitraum von fünf Jahren aufgestockt.

Mit dem Cybersecurity Act werden zudem erstmals EU-weite Regeln für die Cybersicherheitszertifizierung eingeführt. Unternehmen in der EU werden ihre Produkte, Verfahren und Dienstleistungen (freiwillig) zertifizieren können, wobei ihre Zertifikate in der gesamten Union anerkannt werden.

Es werden hierfür mehrere Systeme für verschiedene Kategorien von IKT-Produkten, -Prozessen und -Dienstleistungen geschaffen. In jedem System werden unter anderem die Art(en) der abgedeckten IKT-Produkte, -Dienstleistungen und -Verfahren, der Zweck, die zu erfüllenden Sicherheitsnormen und die Bewertungsmethoden festgelegt. Die Systeme geben auch die Gültigkeitsdauer der ausgestellten Zertifikate an. Die ENISA soll auf Anforderung der Kommission oder der Europäischen Zertifizierungsgruppe für Cybersicherheit (die sich aus den Mitgliedstaaten zusammensetzt) die Zertifizierungssysteme vorbereiten, die dann von der Kommission durch Durchführungsrechtsakte angenommen werden.

Neben der Zertifizierung durch Dritte ist für Produkte mit geringem Risiko eine Konformitätserklärung durch den Hersteller zulässig.