Cybersecurity Act: Was wird sich nun ändern?

Cybersecurity Act

Nachdem das Europäische Parlament am 12. März 2019 den Cybersecurity Act verabschiedet hat, wurde er am 7. Juni 2019 durch die Veröffentlichung im Amtsblatt der Europäischen Union definitiv angenommen. Der Cybersecurity Act stärkt die Agentur der Europäischen Union für Cybersicherheit (ENISA) und schafft einen europäischen Rahmen für Zertifizierungen der Produkte und Dienste der Cybersicherheit.

 

Ein ständiges Mandat und zusätzliche Ressourcen für die ENISA

Mit dem Cybersecurity Act wurde die 2004 gegründete ENISA, die Agentur der Europäischen Union für Cybersicherheit, mit einem ständigen Mandat versehen, während ihr vorheriges Mandat zeitlich begrenzt war und 2020 ausgelaufen wäre. Zusätzliche Ressourcen werden ihr ebenfalls zugeteilt, um ihre gesamten Aufgaben erledigen zu können, deren Zweck es ist, auf ein gemeinsames hohes Niveau an Cybersicherheit in der gesamten Europäischen Union zu kommen. Die ENISA “dient den Organen, Einrichtungen und sonstigen Stellen der Union sowie anderen maßgeblichen Interessenträgern der Union als Bezugspunkt für Beratung und Sachkenntnis im Bereich Cybersicherheit”. [01]

In ihrer Pressemitteilung zur definitiven Annahme des Cybersecurity Act [02] begrüßt die ANSSI diesen Fortschritt für die strategische europäische Autonomie und hebt die Bereiche hervor, in denen die Aufgaben der ENISA gestärkt wurden: Entwicklung und Unterstützung bei der Umsetzung der europäischen Politik, Sachkenntnis, Hilfe bei der Kapazitätssteigerung der Staaten, Unterstützung bei der operativen Zusammenarbeit zwischen den Mitgliedstaaten und Sensibilisierung.

Diese Entwicklung der ENISA zeugt von einer echten Bewusstwerdung auf Seiten der europäischen Instanzen gegenüber den Herausforderungen der Cybersicherheit, deren finanzielle Auswirkungen immer größer werden, da zwischen 2017 und 2018 laut einer Studie  von Accenture Security und vom Ponemon Institute [03] die durchschnittlichen Kosten eines Cyber-Angriffs um 18% und 23% in Deutschland und Frankreich angestiegen sind und sich auf entsprechend 11,6 Millionen und 8,6 Millionen Euro in diesen beiden Ländern beläuft.

Mit dem Cybersecurity Act fungiert die ENISA, deren Aufgabe die fachliche Beratung und die Förderung der Zusammenarbeit der Mitgliedstaaten ist, als Vermittler in der innereuropäischen Zusammenarbeit im Bereich Cybersicherheit.

 

Ein europäischer Rahmen für Produktzertifizierungen und Dienstleistungen der Cybersicherheit

Das andere große Thema des Cybersecurity Act ist die Vereinheitlichung des Zertifizierungsprozesses der Produkte und Dienstleistungen für Cybersicherheit sowie ihre Anerkennung in allen Ländern der Union. Bisher stellte jedes Land durch seine zuständige Behörde für Cybersicherheit (die ANSSI in Frankreich oder das BSI in Deutschland) Zertifizierungen aus, von denen einige (darunter die von der ANSSI ausgestellten CSPN-Zertifizierungen) zum Teil nur in dem Land anerkannt wurden, wo das Produkt / die Dienstleistung die Zertifizierung erhalten hatte; heute sind nur die Zertifizierungen Gemeinsame Kriterien international anerkannt, und nur durch die am CCRA (Common Criteria Recognition Arrangement) beteiligten Ländern. Morgen werden die Produkte oder Dienstleistungen, die durch die ANSSI oder das BSI nach dem im Cybersecurity Act vorgesehenen Prozess zertifiziert wurden, in allen Ländern der Europäischen Union anerkannt sein.

Dieser Rahmen ist also vorteilhaft für die Nutzer von Lösungen für Cybersicherheit (Unternehmen und öffentliche Einrichtungen), da er eine größere Auswahl an zertifizierten Produkten mit sich bringt und daher mehr Vertrauen schafft. Und für die Hersteller der Produkte für Cybersicherheit wird ein nach den Vorgaben des Cybersecurity Act zertifiziertes Produkt auch in allen anderen Ländern der Union anerkannt sein und muss nicht in jedem Land zertifiziert werden, wo der Hersteller die Zertifizierung des Produkts für notwendig ansieht.

Es handelt sich hierbei um etwas ganz Konkretes für Systancia, da IPdiva Secure, jetzt Systancia Gate, die CSPN-Zertifizierung der ANSSI erhalten hat und dann durch die ANSSI qualifiziert wurde [04] und so die einzige Lösung geworden ist, die von der Nationalen Agentur für Sicherheit von Informationssystemen für die Identifizierung, Authentifizierung und Zugangskontrolle empfohlen wird. Diese Zertifizierung hat große Wirkung auf den nationalen Markt, da die Lösung für Vertrauen steht und vom französischen Staat anerkannt ist. Dennoch muss man feststellen, dass im Ausland eine nationale Zertifizierung nur wenig Wirkung hat, denn die Produkte, die von einer Behörde des Landes zertifiziert wurden, in dem sich das Unternehmen befindet, werden logischerweise bevorzugt.

Mit dem Cybersecurity Act wird sich das alles ändern, denn ein in einem Land zertifiziertes Produkt wird nach den Richtlinien des Cybersecurity Act in dem Land, in dem die Zertifizierung ausgestellt wurde, genauso anerkannt wie in allen anderen Ländern der Union. Das wirft die Frage auf nach der Notwendigkeit eines europäischen Rahmens zur Vereinheitlichung der Anforderungen der Zertifizierung, um zu vermeiden, dass die europäischer oder außer-europäischer Marktteilnehmer die Zertifizierungen nur in Ländern vornehmen lassen, in denen die Regeln lockerer sind und so den Markt der Union überschwemmt. Dies wurde von der Kommission berücksichtigt, die einen harmonischen Ansatz der Zertifizierung zwischen den verschiedenen nationalen Kontrollbehörden angenommen hat. Es wurde also ein System des Peer Review (Begutachtung durch Gleichrangige) zwischen den nationalen europäischen Zertifizierungs-Behörden eingeführt, die insbesondere die Prozedur der Ausstellung der Zertifikate für Cybersicherheit betrifft.

 

Jocerand Leroy – Content Specialist

 

Referenzen

[01] Offizieller Text des Cybersecurity Act

[02] Cybersecurity Act definitiv angenommen: ein Erfolg für die strategische europäische Autonomie

[03] The cost of cybercrime

 [04] Feedback zur ANSSI-Qualifizierung von IPdiva Secure 8