Europäische Kommission verabschiedet CSA

12. März 2019 09:05 Uhr  |  Dr. Ulrich Kampffmeyer  |  Permalink


Am 12.3.2019, dem 30jährigen Geburtstag des WWW, verabschiedete die Europäische Kommission den Cyber Security Act (CSA http://bit.ly/EU-CSA; Cybersicherheits-Richtlinie)): „The European Parliament adopted the Cyber Security Act, which European Commission President Jean-Claude Juncker initially proposed in his State of the Union Address in September 2017. The Act will improve the European response to the increasing number of cyber threats by strengthening the role of the European Agency for Network and Information Security (ENISA) and establishing a common European cybersecurity certification framework for IT services, systems and equipment. In September 2018 the Commission proposed to create a European network of centres of cybersecurity expertise, which will help to reinforce research and deployment of new cybersecurity capacities in the EU. Under the next long-term EU budget, the Commission has proposed more than €2 billion to reinforce cybersecurity in the Digital Europe Programme as well as under HorizonEurope. To lay the ground work for building this network, the Commission is investing more than €63.5 million in four pilot projects.

Die großen Fragen bleiben: Kommt das Ganze zu spät? Ist es nur ein Tropfen auf den heißen Stein? Nützt es wieder nur den großen Internet-Konzernen? Erhöht es den Aufwand für kleinere Informationsanbieter? Welchen Wert hat eine Zertifizierung angesichts der rasant fortschreitenden technologischen Entwicklung? Ist das Ganze nur Augenwischerei?

Die Richtlinie „REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on ENISA, the „EU Cybersecurity Agency“, and repealing Regulation (EU) 526/2013, and on Information and Communication Technology cybersecurity certification (“Cybersecurity Act“) COM/2017/0477 final – 2017/0225 (COD); Document ID 52017PC0477″ gibt es aktuell nur in einer englischen Version: https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:52017PC0477

Herbert Wielert, IPS Infopoint Security,  sieht folgende Vorteile und Folgerungen aus dem Cybersecurity Act:

<Zitat> „Maßnahmen der EU stärken Cybersicherheit

Die Hersteller von Produkten sind aufgefordert, entsprechende Maßnahmen zu ergreifen, um ihre Systeme gegenüber Angriffen abzusichern. Bisher fehlende transnationale Richtlinien und Zertifizierungen erschweren diese Aufgabe, zumal die Cyberkriminellen längst in internationalen Netzwerken arbeiten. Diese Situation hat die EU-Kommission auf den Plan gerufen: Der Cybersecurity Act soll die digitale Sicherheit in Europa stärken. Er umfasst im Kern zwei wichtige politische Entscheidungen:

  1. Eine EU-Agentur für Cybersicherheit soll die Mitgliedstaaten dabei unterstützen, Cyberangriffen wirksam vorzubeugen und zu begegnen. Dafür wird das Mandat der bestehenden EU-Agentur für Netz- und Informationssicherheit (ENISA) erweitert und die Agentur mit zusätzlichen finanziellen und personellen Mitteln ausgestattet. Zu den Aufgaben der ENISA gehören bisher jährliche europaweite Cybersicherheitsübungen und eine Verbesserung des europaweiten Informationsaustauschs.
  2. EU-weit einheitliche Cybersecurity-Zertifizierungen sollen die Sicherheit von Onlineservices und vernetzten Geräten verbessern. Die EU legt Zertifizierungsschemata für Produkte, Prozesse und Dienste fest. Existiert ein solches für z. B. ein Produkt, dann dürfen nationale Programme für dieses Produkt nicht mehr verwendet werden.

Die Zertifizierungen sind in allen Mitgliedstaaten der EU gültig, um den Verwaltungsaufwand und die Kosten für die Unternehmen zu senken. Grundsätzlich ist die Zertifizierung freiwillig, aber ein Zertifizierungsschema kann verbindlich werden, wenn das EU-Recht dies erfordert. Die Europäische Kommission wird bis 2023 eine Liste verbindlicher Zertifizierungsschemata vorlegen.

Die wichtigste Maßnahme ist der Aufbau des einheitlichen EU-Zertifizierungssystems, das so bisher nicht existiert. Zur Zertifizierung von Prozessen, Produkten und Diensten im Bereich der Informationssicherheit werden heute in den Ländern der EU bei der Mehrzahl der Zertifizierungen unterschiedliche Normen oder Zertifizierungsprogramme verlangt. Dies hat zur Konsequenz, dass zum Beispiel Hersteller von Computerhardware für jedes Land, in dem sie eine Zertifizierung benötigen, jeweils einmal den Zertifizierungsprozess durchlaufen müssen. Der Hersteller muss die Kosten auf das Produkt umlegen, was bedeutet, dass der Käufer die Mehrkosten trägt. Die Zeit, ein Produkt in einem Land in den Markt bringen zu können, wird größer, oder es wird auf eine Produkteinführung überhaupt verzichtet, weil die technische Entwicklung weiter vorangeschritten ist. Die EU möchte diese Situation ändern und einen gemeinsamen, digitalen Binnenmarkt (Digital Single Market) schaffen, indem einheitliche Kriterien für Cybersicherheit und Anerkennung von Produkten, Prozessen und Diensten gelten.

Drei Vertrauensgrade ermöglichen eine differenzierte Bewertung von Sicherheit

Für Produkte, Prozesse und Dienste werden drei Vertrauensgrade festgelegt. Diese drücken aus, inwieweit zum Beispiel der Hersteller gegenüber dem Käufer oder Anwender Sicherheit versprechen kann.

  • Der Vertrauensgrad „grundlegend“ bedeutet, dass man der in dem Zertifikat oder der Selbsterklärung (z. B. der Konformität) beschriebenen Sicherheit eingeschränkt vertrauen kann und dass Maßnahmen mit dem Ziel getroffen wurden, das Risiko von Zwischenfällen zu senken.
  • Beim Vertrauensgrad „werthaltig“ spricht man von einem wesentlichen Maß an Vertrauen und wesentlich gesenkten Risiken.
  • Der Vertrauensgrad „hoch“ soll den höchsten Grad von Vertrauen darstellen, wobei Maßnahmen zu dem Zweck getroffen wurden, dass Zwischenfälle überhaupt vermieden werden. Um einen Vertrauensgrad zu erreichen, müssen entsprechende Maßnahmen getroffen werden, zu deren Auswahl ein Risikomanagement eingesetzt wird, um die Anwendung, die Umgebung und mögliche Auswirkungen zu betrachten.“

</Zitat>  (Quelle: https://www.infopoint-security.de/cybersecurity-act-ul-zur-heutigen-abstimmung-des-europaeischen-parlaments/a19127/)

Dr. Ulrich Kampffmeyer

Curriculum auf Wikipedia https://de.wikipedia.org/wiki/Ulrich_Kampffmeyer

Neuen Kommentar verfassen

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Ich stimme zu, dass die von mir eingegebenen Daten einschließlich der personenbezogenen Daten an PROJECT CONSULT übermittelt und dort zur Prüfung der Freischaltung meines Kommentars verwendet werden. Bei Veröffentlichung meines Kommentars wird mein Name, jedoch nicht meine E-Mail und meine Webseite, angezeigt. Die Anzeige des Namens ist notwendig, um eine individuelle persönliche Kommunikation zu meinem Beitrag zu ermöglichen. Anonyme oder mit falschen Angaben eingereichte Kommentare werden nicht veröffentlicht. Zu Nutzung, Speicherung und Löschung meiner Daten habe die Datenschutzerklärung zur Kenntnis genommen.

Ich versichere, mit meinem Kommentar alle gültigen Vorgaben des Urheberrechts beachtet zu haben. Ich habe keine Bilder, Grafiken, Texte oder Links in meinem Beitrag verwendet, die durch CopyRight, Leistungsschutzrecht oder Urheberrecht geschützt sind. Für den Inhalt meines Kommentars bin ich trotz Prüfung und Freischaltung durch PROJECT CONSULT ausschließlich selbst verantwortlich. Meine Rechte am Beitrag werden bei PROJECT CONSULT nur durch die CC Creative Commons by-nc-nd Vorgaben gewahrt.