Medial ist es momentan etwas still geworden um den EU Cybersecurity Act (Verordnung EU 2019/881), der am 27. Juni 2019 in Kraft getreten ist. Doch die Erarbeitung des zentralen Meilensteins der europäischen IT-Gesetzgebung der letzten Jahre ist in vollem Gange. Im Zuge dessen wird eine umfassende Umstrukturierung der Europäischen Agentur für Informationssicherheit (ENISA) erwartet. Darüber hinaus soll ein einheitlicher Rahmen zur EU-Zertifizierung von Cybersicherheit geschaffen werden.
Was ist der EU Cybersecurity Act (CSA)? – Ein kurzer Rückblick
Ursprünglich wurde der Rechtsakt zur Cybersicherheit 2017, als Teil eines umfangreichen Maßnahmenpakets der Europäischen Union, zur Erhöhung der Cybersicherheit und zur Stärkung der Resilienz gegen Cyberangriffe eingebracht. Durch ihn sollte ein dauerhaftes Mandat der EU-Cybersicherheitsagentur (ENISA) geschaffen werden. Dabei sollten die finanziellen und personellen Mittel der Agentur deutlich aufgestockt werden. Durch diese Subventionen sollte der ENISA ermöglicht werden, die Cybersicherheitskapazitäten in der europäischen Union zu erhöhen und damit die Abwehrbereitschaft zu fördern. Einerseits soll dadurch bei Bürgern und Unternehmen das Problembewusstsein gefördert werden und zum anderen sollen EU-Organe sowie die Mitgliedstaaten bei der Entwicklung und Umsetzung von politischen Rahmenbedingungen im Bereich der Cybersicherheit unterstützt werden. Außerdem wurde das Ziel vorgegeben ein EU-Rahmen für die IT-Sicherheitszertifizierung von Produkten, Dienstleistungen und Prozessen zu schaffen. Durch diesen Rahmen kann für die IT-Sicherheitszertifizierung von Produkten, Dienstleistungen und Prozessen eine zentrale Anlaufstelle etabliert werden.
Die Auswirkungen des EU CSA werden vor allem bei Verbrauchern und Unternehmen spürbar sein. So ist der CSA der EU-Kommission ein wichtiger Schritt hin zu mehr Sicherheit im europäischen digitalen Binnenmarkt und zu größerem Vertrauen. Ein rechtlicher Rahmen – der das Prüfverfahren zur Zertifizierung von Produkten, Dienstleistungen und Prozessen auf europäischer Ebene harmonisiert – kann außerdem einen positiven Effekt auf das Risikomanagement in den betroffenen Unternehmen haben. Auf der anderen Seite sorgt die Verordnung für Klarheit bei den Verbrauchern. Die Zertifikate sollen durch einen „Beipackzettel“ für den Verbraucher sichtbar gemacht werden und ihn so bei einer verantwortungsvollen Kaufentscheidung unterstützen. Ähnlich wie schon für die EU Datenschutz-Grundverordnung in Art. 25, werden durch den EU CSA erstmals „Security by Design“ und „Security by Default“ als Regelungsprinzipien für sicherheitsrelevante Produkte festgeschrieben.
Wie ist der aktuelle Stand?
Die Umsetzung des EU CSA läuft aktuell hinter den Kulissen auf Hochtouren. Im Mittelpunkt dieser Arbeiten stehen zwei zentrale Fragestellungen:
Momentan lassen sich diese Fragen noch nicht mit hundertprozentiger Sicherheit beantworten, Tendenzen sind jedoch bereits absehbar. So kann in Bezug auf die erste Frage gesagt werden, dass bestehende Vorgaben aus dem NLF und neue Zertifizierungsschemata aus dem CSA nicht in einem Widerspruch zueinander stehen sollen. Das seit längerem etablierte NLF soll vielmehr als „Baukasten“ oder „Toolbox“ verwendet werden, um die inhaltliche Grundlage für die neuen Zertifizierungsschemata gemäß CSA zu bilden. Ergo könnten die Schemata gemäß CSA eine Art Verfeinerung des NLF sein.
Um erste Antworten für die zweite Frage zu nennen gilt es zuvorderst die Gruppen zu benennen, die beim CSA involviert sind. Dabei handelt es sich um die Folgenden:
Für Unternehmen sind in Bezug auf die Ausgestaltung der Zertifizierungsschemata und der konkreten Anforderungen, vor allem die Fachexperten, der Ad-hoc WGs von Belang. Gemäß dem Wortlaut des Gesetzes werden dort zwar keine finalen Entscheidungen getroffen. Vielmehr werden im Sinne einer klassischen Working Group „Subject matter experts“ miteinbezogen, die auf der einen Seite bei der Erstellung des Entwurfes für die Cybersecurity-Schemata unterstützen und auf der anderen Seite die ENISA beraten, welche die Federführung und Koordinierung durchführen. Trotz allem wird letztendlich die finale Entscheidung bezüglich der Annahme des Entwurfs für ein Zertifizierungsschemata von der EU-Kommission selbst getroffen.
An den Ad-hoc WGs kann jedoch potenziell jeder interessierte Experte teilnehmen. Alle bestehenden und neuen Ad-hoc WGs sind auf der ENISA Website ausgeschrieben. Eine WG enthält 20 Teilnehmer. Bei der Auswahl dieser wird auf eine gleichmäßige Beteiligung aller Interessenkreise wert gelegt. Die besprochenen Inhalte innerhalb der Gruppen unterliegen einer Non-Disclosure-Policy und werden dementsprechend nicht an die Öffentlichkeit kommuniziert. Es existieren momentan die folgenden Ad-hoc WGs oder sind gerade in Planung:
Neben den Ad-hoc WGs sind in der Ausarbeitung noch die ECCG (European Cybersecurity Certification Group) und die SCCG (Stakeholder Cybersecurity Certification Group) beteiligt. Während erstere aus den Vertretern der nationalen Cybersicherheitszertifizierungsbehörden besteht und die ENISA vor allem bei der Erarbeitung der Zertifizierungsschemata unterstützt, sowie Ratschläge und Stellungnahmen zu den fertig gestellten Entwürfen abgibt, ist die SCCG eher für den strategischen Rahmen verantwortlich. In diesem Zusammenhang berät sie die EU-Kommission und die ENISA. Darüber hinaus erarbeitet sie aktuell das Arbeitsprogramm Union Rolling Work Programme (URWP), in welchem bis zum 28. Juni 2020 eine Liste, der für die Umsetzung des CSA relevanten IKT-Produkte und Dienste, definiert werden soll.
Wie ist das weitere Vorgehen geplant?
Durch die Beteiligung verschiedener Einrichtungen und Gruppen – die teilweise noch nicht vollständig gebildet sind – gestaltet sich die Zusammensetzung des operationalen Netzwerks des CSA relativ komplex. Der Erfolg des CSA ist dementsprechend vor allem von einem engen Austausch und einer intensiven Abstimmung der relevanten Stakeholder abhängig. Das von der EU vorgeschlagene Netzwerk bildet dafür grundsätzlich einen geeigneten Handlungsrahmen. Dennoch mangelt es aktuell noch an Transparenz, hinreichender Öffentlichkeit und Information bei der Erarbeitung von Zertifikationsschemata. Zudem ist es fraglich, ob das erste Union Rolling Work Programme (URWP), tatsächlich bis Ende Juni 2020 publiziert werden kann.