12.03.2019

Zertifizierung kritischer Infrastrukturen: EU-Parlament verabschiedet Cybersecurity Act

Das Europäische Parlament hat am Dienstag, den 12. März den EU Cybersecurity Act verabschiedet. EU-weit werden Produkthersteller damit aufgefordert, entsprechende Maßnahmen zu ergreifen, um ihre Systeme gegenüber Angriffen abzusichern. Mit der Verordnung soll die Arbeit der Europäischen Cybersicherheitsagentur ENISA ein ständiges Mandat erhalten und es wird ein europäischer Zertifizierungsrahmen für die Bemessung der Qualität von Sicherheit in IT-Produkten und Diensten festgelegt.

Maßgebliche Eckpunkte der Verordnung umfassen:

Artikel 1-12:

Die Festschreibung des Mandates und der Unabhängigkeit von ENISA und die Bestimmungen für die operative Zusammenarbeit mit den Mitgliedsstaaten. Positiv hierbei hervorzuheben ist, dass großer Wert auf die Nutzung von Synergien gelegt wird, doppelte oder parallele Arbeiten im Bereich der IT-Sicherheit somit reduziert werden. Auch der Umstand, dass ENISA einen Beitrag zur allgemeinen Verfügbarkeit oder Integrität des öffentlichen Kerns des offenen Internets leisten (Art. 5.3) soll, ist ausdrücklich positiv hervorzuheben. Die Kompetenz von ENISA umfasst nun auch ausdrücklich die Entwicklung bereichsspezifischer Regelungen für einzelne Wirtschafts- oder Industriesektoren (Art. 4.2).

Artikel 13-29:

Die in Artikel 21 aufgeführte Beratungsgruppe von ENISA wurde gegenüber dem Kommissionsentwurf noch einmal erweitert. Die zusätzliche Berücksichtigung von KMU und Normungsgremien leistet einen sinnvollen Beitrag zur Debatte über IT-Sicherheit und schafft einen Rahmen für eine breite Akzeptanz.

Artikel 46-65:

Das in Artikel 47 vorgeschriebene Arbeitsprogramm für die Aufnahme in ein Cyberzertifzierungsschema ermöglicht eine dynamische Herangehensweise an IT-Sicherheit. Fraglich bleibt indes, ob das Arbeitsprogramm in der Tat einen sinnvollen Beitrag zur systematischen Verbesserung von IT-Sicherheit leisten kann, oder ob es am Ende ein Stückwerk von einzelnen Regulierungsvorgaben, die maßgeblich durch Regulierungswünsche von Seiten der Politik bleibt. Inwieweit die als offen dargelegten Konsultations- und Erarbeitungsprozesse tatsächlich transparent sind, bleibt abzuwarten (Art. 48 und 49). Die in Artikel 51 als Mindestanforderungen an Zertifizierungsschemata definierten Maßgaben bergen das Risiko eines bürokratischen und formalistischen „Abarbeitens“ von Punkten in sich. Die in Artikel 52 definierten Vertrauenswürdigkeitsstufen werden kritisch gesehen, da sie ein falsches Bild der tatsächlich ergriffenen Sicherheitsmaßnahmen zeichnen und so falsche Anreize setzen.   Positiv hervorzuheben ist, dass in Artikel 57 die problematische Wechselwirkung zwischen nationalen und europäischen IT-Sicherheitszertifikaten klargestellt wurde.

The View from Brussels