Cybersecurity Act: Was wird sich ändern?

Nachdem der Verabschiedung des Cybersecurity Acts durch das Europäische Parlament am 12. März 2019, wurde er am 7. Juni 2019 durch die Veröffentlichung im Amtsblatt der Europäischen Union definitiv angenommen. Der Cybersecurity Act stärkt die Agentur der Europäischen Union für Cybersicherheit (ENISA) und schafft einen europäischen Rahmen für Zertifizierungen der Produkte und Dienste für Cybersicherheit.

Ein ständiges Mandat und zusätzliche Ressourcen für die ENISA

Mit dem Cybersecurity Act wurde die 2004 gegründete ENISA, die Agentur der Europäischen Union für Cybersicherheit, mit einem ständigen Mandat versehen, nachdem ihr vorheriges, zeitlich begrenztes Mandat 2020 ausgelaufen wäre. Um die Gänze ihrer Aufgaben ausüben zu können, die darauf abzielen, ein gemeinsames, hohes Niveau der Cybersicherheit in der gesamten Europäischen Union zu erreichen, wurden ihr darüber hinaus zusätzliche Ressourcen zugeteilt. Die ENISA „dient den Organen, Einrichtungen und sonstigen Stellen der Union sowie anderen maßgeblichen Interessenträgern der Union als Bezugspunkt für Beratung und Sachkenntnis im Bereich Cybersicherheit”. [01]

In ihrer Pressemitteilung zur definitiven Annahme des Cybersecurity Act [02] begrüßt die französische Datenschutzbehörde ANSSI diesen Fortschritt für die strategische europäische Autonomie und hebt die Bereiche hervor, in denen die Aufgaben der ENISA gestärkt wurden: Entwicklung und Unterstützung bei der Umsetzung der europäischen Politik, Sachkenntnis, Hilfe bei der Kapazitätssteigerung der Staaten, Unterstützung bei der operativen Zusammenarbeit zwischen den Mitgliedstaaten und Sensibilisierung.

Diese Entwicklung der ENISA zeugt von einem Bewusstwerden auf Seiten der europäischen Instanzen gegenüber den Herausforderungen der Cybersicherheit, deren finanzielle Auswirkungen immer größer werden. Laut einer Studie von Accenture Security und vom Ponemon Institute [03] stiegen die durchschnittlichen Kosten eines Cyber-Angriffs zwischen 2017 und 2018 um 18 % bzw. 23 % in Deutschland und Frankreich und sich dementsprechend auf 11,6 Millionen und 8,6 Millionen Euro belaufen.

Mit dem Cybersecurity Act agiert die ENISA, deren Aufgabe die fachliche Beratung und die Förderung der Zusammenarbeit der Mitgliedstaaten ist, als Vermittler in der innereuropäischen Zusammenarbeit im Bereich Cybersicherheit.

Ein europäischer Rahmen für Produktzertifizierungen und Dienstleistungen der Cybersicherheit

Im Zentrum des Cybersecurity Acts steht darüber hinaus die Vereinheitlichung des Zertifizierungsprozesses von Produkten und Dienstleistungen für Cybersicherheit sowie ihre Anerkennung in allen Ländern der Union. Bisher stellte jedes Land durch seine zuständige Behörde für Cybersicherheit (z.B. die ANSSI in Frankreich oder das BSI in Deutschland) Zertifizierungen aus, von denen einige (darunter die von der ANSSI ausgestellten CSPN-Zertifizierungen) zum Teil nur in dem Land anerkannt wurden, in dem das jeweilige Produkt oder die jeweilige Dienstleistung die Zertifizierung erhalten hatte. Heute werden nur noch die Common Criteria-Zertifizierungen international anerkannt,, und zwar nur durch die am CCRA (Common Criteria Recognition Arrangement) beteiligten Ländern. Mit dem Erhalt einer ANSSI- oder BSI-Zertifizierung nach dem durch das Cybersicherheitsgesetz festgelegten Verfahren können zertifizierte Produkte oder Dienstleistungen künftig in allen Ländern der Europäischen Union anerkannt werden.

Dieser Rahmen ist also vorteilhaft für die Nutzer von Lösungen für Cybersicherheit (Unternehmen und öffentliche Einrichtungen), da er eine größere Auswahl an zertifizierten Produkten mit sich bringt und daher mehr Vertrauen schafft. Und für die Herausgeber von Produkten für Cybersicherheit wird ein nach den Vorgaben des Cybersecurity Act zertifiziertes Produkt auch in allen anderen Ländern der Europäischen Union anerkannt sein und muss daher nicht in jedem Land zertifiziert werden, in dem der Hersteller die Zertifizierung des Produkts für notwendig ansieht.

Das ist eine sehr konkrete Entwicklung für Systancia, da das Produkt Systancia Gate (ehemals IPdiva Secure) von der ANSSI die CSPN-Zertifizierung erhalten hat und anschließend von der ANSSI qualifiziert wurde [04]. Damit ist es die einzige Lösung, die von der französischen Datenschutzbehörde für die Identifizierung, Authentifizierung und Zugangskontrolle zum Informationssystem empfohlen wird. Diese Zertifizierung hat einen starken Einfluss auf den nationalen Markt, da die Lösung somit von der französischen Regierung als vertrauenswürdig anerkannt und empfohlen wird. Dennoch muss man feststellen, dass im Ausland eine nationale Zertifizierung nur wenig Wirkung hat, denn die Produkte, die von einer Behörde des Landes zertifiziert wurden, in dem sich das Unternehmen befindet, werden logischerweise bevorzugt.

Mit dem Cybersecurity Act wird sich das alles ändern. Ein Produkt, das in einem Land gemäß den Bedingungen des Cybersecurity Acts zertifiziert wurde, wird in allen Ländern der EU gleichermaßen anerkannt. . Das wirft die Frage nach der Notwendigkeit eines europäischen Rahmens zur Vereinheitlichung der Anforderungen der Zertifizierung auf, um zu vermeiden, dass ein europäischer oder außer-europäischer Player die Zertifizierungen nur in Ländern vornehmen lassen, in denen die Regeln lockerer sind und so den Markt der Europäischen Union überschwemmt. Dies wurde von der Kommission berücksichtigt, die sich auf einen harmonischen Ansatz der Zertifizierung zwischen den verschiedenen nationalen Kontrollbehörden einigte. Daher wurde ein System der gegenseitigen Überprüfung zwischen den europäischen nationalen Zertifizierungsstellen eingeführt, insbesondere im Hinblick auf die Verfahren zur Ausstellung von Cybersicherheitszertifikaten. Entdecken Sie Systancia Gate

Referenzen

[01] Offizieller Text des Cybersecurity Act

[02] Cybersecurity Act definitiv angenommen: ein Erfolg für die strategische europäische Autonomie

[03] The cost of cybercrime

 [04] Feedback zur ANSSI-Qualifizierung von IPdiva Secure 8