Cybersecurity Act tritt in Kraft
Europäischer Zertifizierungsrahmen wird eingeführt - Rolle von ENISA wird gestärkt
Am 28. Juni 2019 trat der Rechtsakt zur Cybersicherheit als unmittelbar innerhalb der EU geltende Verordnung (EU) 2019/881 in Kraft. Diese Verordnung soll maßgeblich dazu beitragen, dass IT-Produkte, -Dienste und -Prozesse künftig bereits in ihrer Entwicklung Anforderungen an die Cybersicherheit berücksichtigen und umsetzen. Unter dem Begriff der Cybersicherheit versteht die Verordnung alle Tätigkeiten, die notwendig sind, um Netz- und Informationssysteme, die Nutzer solcher Systeme und sonstige betroffene Personen vor Cyberbedrohungen zu schützen.Die Verordnung besteht im Wesentlichen aus zwei Teilen:
- Sie stärkt die Rolle der Agentur der Europäischen Union für Cybersicherheit („ENISA“) und stattet sie mit einem dauerhaften Mandat aus.
- Zum anderen führt sie einen Europäischen Zertifizierungsrahmen für Cybersicherheit ein. Auch dabei wird die ENISA eine maßgebliche Rolle spielen. Die Verordnung selbst enthält noch keine operationalisierbaren Schemata für Zertifizierungen. Vielmehr sollen diese erst auf der Grundlage der Verordnung entwickelt werden.
Ausbau der ENISA
Die ENISA wurde bereits 2004 als die „Europäische Agentur für Netz- und Informationssicherheit“ gegründet. Nunmehr soll ihre Tätigkeit ausgebaut werden. Dazu wird die ENISA auch finanziell besser ausgestattet werden. Der Aufgabenbereich umfasst nunmehr beispielsweise folgendes:
- Die ENISA wird die Mitgliedstaaten und die Organe, Einrichtungen und sonstigen Stellen der Union bei der Verbesserung der Cybersicherheit unterstützen.
- Zugleich dient die ENISA als Plattform und Bezugspunkt für alle Interessensträger in diesem Bereich. Dazu wird die ENISA mit ihrer Sachkenntnis bei zukünftigen Gesetzesvorhaben und insgesamt bei der Entwicklung der Unionspolitik unterstützen.
- Sie wird in regelmäßigen Abständen Cybersicherheitsübungen veranstalten. Damit können Unternehmen überprüfen, wie sie auf plötzliche Angriffe und Ausfälle reagieren und ihre Prozesse gegebenenfalls anpassen.
- Schließlich wird die ENISA Wissen vermitteln und Informationen bereitstellen. Dazu wird sie Handreichungen und Stellungnahmen veröffentlichen oder in Veranstaltungen informieren.
So hat die ENISA bereits in der Vergangenheit zahlreiche Veröffentlichungen herausgegeben. Diese befassen sich unter anderem umfassend mit Themen wie Big Data und Cloud-Infrastrukturen, Kritischen Infrastrukturen oder dem Internet der Dinge („IoT“). Sie behandeln auch datenschutzrechtliche Fragen, etwa zur Einschätzung der Schwere einer Verletzung des Schutzes personenbezogener Daten.
Entwicklung von Schemata für Cybersicherheitszertifizierungen als wesentliche neue Aufgabe der ENISA
Die ENISA soll mögliche Schemata für Zertifizierungen vorbereiten. Die Europäische Kommission entwickelt dazu ein fortlaufendes Arbeitsprogramm, in dessen Rahmen die strategischen Prioritäten für künftige europäische Schemata für die Cybersicherheitszertifizierung festgelegt werden sollen, und das insbesondere eine Liste der IKT-Produkte, -Dienste und -Prozesse oder Kategorien davon umfassen soll, die von der Aufnahme in ein europäisches Schema für die Cybersicherheitszertifizierung profitieren können. Darauf basierend können sowohl die Kommission als auch die sogenannte Europäische Gruppe für die Cybersicherheitszertifizierung die ENISA beauftragen, ein in diesem Arbeitsprogramm aufgeführtes Zertifizierungsschema auszuarbeiten. Dabei hat die ENISA auch die Öffentlichkeit im Wege eines förmlichen, offenen, transparenten und inklusiven Konsultationsprozesses zu beteiligen. Auf Grundlage solcher Schemata kann die Kommission dann einen Durchführungsrechtsakt erlassen, mit dem ein europäisches Schema für die Cybersicherheitszertifizierung festgelegt wird.
Die Schemata können dabei unterschiedliche Vertrauenswürdigkeitsstufen („niedrig“, „mittel“ und „hoch“) vorsehen. Auf der niedrigsten dieser Stufen ist eine Selbstbewertung der Konformität möglich. Im Übrigen hängt es von dem jeweiligen Schema ab, ob eine nationale Behörde oder eine Konformitätsbewertungsstelle die Zertifizierung durchführen darf.
Das Recht der Mitgliedstaaten oder der Union kann dabei festlegen, dass eine Zertifizierung die Vermutung begründet, dass eine Übereinstimmung mit dem jeweiligen Rechtsakt gegeben ist. Dies erleichtert Unternehmen den Nachweis der eigenen Compliance mit diesen Rechtsakten deutlich.
Verpflichtende Zertifizierungen sind möglich
Die Zertifizierungen sind grundsätzlich freiwillig, sofern dazu nichts anderes im Unionsrecht oder im Recht der Mitgliedstaaten bestimmt ist. Die EU-Kommission wird regelmäßig prüfen, ob Cybersicherheitszertifizierung als verbindlich vorgeschrieben werden sollen. Insbesondere für Unternehmen in Sektoren, die in der NIS-Richtlinie (Anhang II) genannt sind, wird sie vorrangig prüfen, ob verpflichtende Cybersicherheitszertifizierungen vorgesehen werden sollen. So könnten etwa in erster Linie für Unternehmen im Energie-, Banken- oder Gesundheitswesen verpflichtende Zertifizierungen eingeführt werden.
Fazit
Durch das erweiterte und nunmehr dauerhafte Mandat der ENISA ist zu erwarten, dass die ENISA in Zukunft vermehrt Handreichungen herausgeben und sich im Bereich Cybersicherheit positionieren wird. Ihre Tätigkeit wird daher in Zukunft maßgeblich zur Meinungsbildung beitragen. Ziel der von ihr vorzubereitenden Cybersicherheitszertifizierungen ist es, einen unionsweiten Sicherheitsstandard durch länderübergreifend anerkannte Zertifizierungen zu erreichen. Dadurch sollen die Kosten und der Aufwand für solche Zertifizierungen gesenkt werden. Zugleich können sich Unternehmen einen Wettbewerbsvorteil verschaffen, wenn sie zertifizierte Produkte entwickeln und vertreiben.
Die EU-Kommission wird nun erstmals bis Juni 2020 ein fortlaufendes Arbeitsprogramm entwickeln. Unternehmen sollten dabei im Auge haben, ob darin Zertifizierungen vorgesehen sind, die ihre Produkte und Systeme betreffen. Ist dies der Fall, tun solche Unternehmen gut daran, den Entwicklungsprozess der ENISA in dem von dieser durchzuführenden Konsultationsprozess zu begleiten. Schließlich sollten sich die diese Unternehmen nach Erlass der Schemata damit befassen, ob eine Zertifizierung der eigenen Produkte und Systeme im Rahmen dieser Schemata in Betracht kommt.