PRESSEINFORMATION 55/2018

Mehr nationale Mitsprache bei EU-Cybersicherheit nötig

Die EU-Kommission will durch europäische Zertifizierungssysteme für Cybersicherheit (ESCZ) das Vertrauen in Produkte und Dienste der Informations- und Kommunikationstechnik (IKT) stärken.

Vor dem Hintergrund zunehmender Cybersicherheitsrisiken und -angriffe ist ein koordiniertes Vorgehen der EU durchaus sinnvoll. Das cep erkennt in seiner jüngsten Analyse zum Vorschlag der EU-Kommission an, dass EU-weite Regeln für die Cybersicherheitszertifizierung den Markt für cybersichere IKT-Produkte und -Dienste durchaus beleben können. Allerdings ist fraglich, ob die EU-Kommission und die Cybersicherheitsagentur ENISA über das Wissen verfügen, für welche IKT-Produkte und Dienste ESCZ sinnvoll erscheinen und wie diese im Detail ausgestaltet sein sollten. Aus Sicht des cep sollten die Mitgliedstaaten bei der Erarbeitung von ESCZ zwingend eingebunden werden. Der EU-Gesetzgeber darf nicht so weit gehen, Cybersicherheitsregeln zu erlassen, die die nationale Sicherheit der Mitgliedstaaten berühren.

Dass nationale Cybersicherheitszertifizierungssysteme (NSCZ) unwirksam werden sollen, sobald sie durch ein korrespondierendes ESCZ ersetzt werden, und die Verpflichtung für die Mitgliedstaaten, alle ESCZ-Zertifikate anzuerkennen, können zu einer Absenkung des Schutzniveaus in den Mitgliedstaaten führen. Um ein hohes technisches Sicherheitsniveau zu erzielen, sollten die Mitgliedstaaten und die Wirtschaft bei der Erarbeitung von ESCZ zwingend eingebunden und nicht lediglich „konsultiert“ werden. Zudem – so die cep-Experten – sollte klargestellt werden, dass die Mitgliedstaaten die Verwendung von IKT-Produkten und -Diensten an strengere (nationale) Voraussetzungen knüpfen dürfen, wenn der Schutz wichtiger nationaler Interessen wie der öffentlichen Sicherheit, der Landesverteidigung oder des Strafrechts dies erfordert.

Hintergrund:

Derzeit basiert die Zertifizierung der Cybersicherheit von Informations- und Kommunikationstechnik (IKT) in der EU auf verschiedenen Abkommen und auf Initiativen einzelner Mitgliedstaaten. Ein internationales Abkommen regelt die Anerkennung der „allgemeinen Kriterien für die Bewertung der Sicherheit von Informationstechnologie“, das allerdings nur 13 Mitgliedstaaten unterzeichnet haben. Das „SOG-IS“-Abkommen, welches die Behörden von zwölf EU-Staaten und Norwegen geschlossen haben, regelt für eine begrenzte Zahl von Produkten wie digitale Signaturen die gegenseitige Anerkennung von Zertifikaten. Großbritannien, Frankreich und Deutschland haben in der Vergangenheit nationale Initiativen zur IKT-Zertifizierung ergriffen. Laut EU-Kommission können die verschiedenen Abkommen und Initiativen zu Marktfragmentierung führen. Unternehmen müssen häufig mehrere Zertifizierungsverfahren durchlaufen, was ihre Kosten und den Verwaltungsaufwand erhöht.

Künftiges Regelwerk zur Zertifizierung der Cybersicherheit in der EU

Die Kommission will mit der Verordnung einen „europäischen Rahmen“ für die Zertifizierung der Cybersicherheit von IKT-Produkten und Diensten etablieren. Kernelement dieses Rahmens sind einzelne von der ENISA auszuarbeitende „Europäische Systeme für die Cybersicherheitszertifizierung“ (ESCZ) für spezifische IKT-Produkte und Dienste. Die sodann von der Kommission beschlossenen ESCZ stellen das jeweilige Regelwerk zur Zertifizierung der jeweiligen IKT-Produkte und -Dienste dar.

Nächste Schritte im EU-Gesetzgebungsverfahren:

Da das Politikvorhaben dem ordentlichen Gesetzgebungsverfahren unterliegt (Art. 294 AEUV), müssen sich das Europäische Parlament und der Rat auf eine gemeinsame Position verständigen. Der Rat hat am 8. Juni 2018 bereits seine allgemeine Ausrichtung festgelegt. Der federführende Ausschuss im EP (Industrie, Forschung und Energie) wird voraussichtlich auch noch im Juni 2018 seine Position zu dem Verordnungsvorschlag vorstellen. Sobald dann das Plenum im EP der Ausschussposition zustimmt, können Trilogverhandlungen zwischen der Kommission, dem Rat und dem EP beginnen.

cepAnalyse Cybersicherheit – Teil 2: Zertifizierung