EU-Cybersecurity Act noch 2018?

Nach dem Willen der EU sollen die Mitgliedstaaten zukünftig gemeinsame Grundlagen für IT-Sicherheitszertifikate haben. (Foto: Zerbor, www.fotolia.com)

Um IT-Produkte und Dienstleistungen für Bürger, Unternehmen und öffentliche Verwaltung sicherer zu machen, will die EU einen gemeinsamen Rahmen für Sicherheitszertifizierungen schaffen. Der Verordnungsvorschlag der Kommission vom letzten Herbst hatte zunächst einige Diskussionen ausgelöst. Jetzt sieht es so aus, als könnte der “Cybersecurity Act” schon bis Ende des Jahres in Kraft treten.

Ziel des Verordnungsvorschlages ist es, IT-Produkte und Dienstleistungen durch Marktanreize sicherer zu machen und Nutzer in die Lage zu versetzen, informierte Kaufentscheidungen zu treffen. Das betrifft längst nicht nur Privatanwender. Sicherheitszertifikate spielen auch eine wichtige Rolle für verlässliche Liefer- und Dienstleistungsketten in der Industrie und für den sicheren IT-Betrieb bei Kritischen Infrastrukturen. IT-Zertifikate gibt es schon lange – beim EU-Vorstoß geht es vor allem darum, bestehende Zertifizierungssysteme zu harmonisieren und zukünftige von vornherein EU-weit auszurichten. So soll ein einheitlicher europäischer Binnenmarkt für vertrauenswürdige IT-Produkte und -Services entstehen.

Streit um Rolle der ENISA

Eine Schlüsselrolle auf diesem Weg ist der europäischen Cyber-Sicherheitsbehörde ENISA (European Network and Information Security Agency) zugedacht. Sie soll bei der gegenseitigen Anerkennung und bei der Neuentwicklung von Zertifizierungsschemata koordinieren. Dafür und für weitere neue Aufgaben soll die Agentur mit dem Cybersecurity Act mehr Geld und Stellen bekommen. Kritik kam hier insbesondere aus Frankreich und Deutschland. Die beiden Länder haben eine Führungsrolle in Fragen der Cyber-Sicherheit und langjährige Erfahrungen mit Sicherheitszertifizierungen. Würde die Kompetenz in die Hände der auch nach dem geplanten Ausbau vergleichsweise kleinen EU-Behörde gelegt, wäre das eher ein Rückschritt, so lautete die Befürchtung von Arne Schönbohm, Präsident des Bundesamts für Sicherheit in der Informationstechnik (BSI), und seinem französischen Counterpart Guillaume Poupard, Direktor von ANSSI (Agence nationale de la sécurité des systèmes d’information). Sie forderten ein gemeinsames europäisches System, in dem die Mitgliedsstaaten Hauptakteure bleiben.

Mittlerweile haben sich die Wogen aber bereits weitgehend geglättet. Noch unter der bulgarischen Ratspräsidentschaft haben die Mitgliedsstaaten einen Kompromiss erarbeitet. Geplant ist die Einrichtung einer “European Cybersecurity Certification Group” aus Repräsentanten der für die Cyber-Sicherheitszertifizierung zuständigen nationalstaatlichen Behörden. Diese soll auch in Zusammenarbeit mit sonstigen Stakeholdern wie Industrie- und Verbraucherverbänden ENISA bei der Harmonisierung bzw. Neuentwicklung von Zertifizierungsschemata unterstützen. “Wir werden hier eng mit den Mitgliedsstaaten zusammenarbeiten”, erklärt dazu ENISA-Direktor Prof. Udo Helmbrecht. “In Bereichen, in denen noch keine Zertifikate existieren, werden wir gemeinsam welche entwickeln. Dort, wo es schon Zertifikate gibt, die den Anforderungen entsprechen, werden wir auf die Harmonisierung in der Union hinarbeiten. Gibt es mehrere Kandidaten aus verschiedenen Mitgliedsstaaten, sind natürlich Konflikte möglich.”

Abschluss in Sicht

Auch der Binnenmarkt- und der Industrieausschuss haben ihre Stellungnahmen bereits abgegeben, sodass die Trilogverhandlungen zwischen Rat, Parlament und Kommission nach der Sommerpause beginnen können. Da im Grundsatz Einigung besteht, stehen die Chancen gut, dass die Verordnung noch vor Ende der Legislatur und den Neuwahlen 2019 – vielleicht sogar schon im Dezember 2018 – beschlossen wird. Diskutiert wird noch, ob Zertifikate auf der höchsten von drei vorgesehen Vertrauenswürdigkeitsstufen verpflichtend sein sollen, wie es das Parlament fordert. Betreffen würde das Produkte für den Einsatz in Kritischen Infrastrukturen wie Stromnetz oder Wasserversorgung.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.