Der EU Cybersecurity Act wurde am 17. April 2019 durch die EU beschlossen. Die deutsche Fassung der Verordnung finden Sie hier. Dadurch sollen in Zukunft EU-weite Regularien entstehen, welche die Sicherheit im ganzen EU-Raum vereinheitlichen und stärken. Speziell geht es dabei um sogenannte informations- und kommunikationstechnische (IKT) Systeme, Dienste und Prozesse, die im Rahmen der Digitalisierung immer mehr Einzug in alle Bereiche des öffentlichen und privaten Alltags halten.

In den folgenden Absätzen fassen wir verständlich zusammen, wer hinter den Regularien steht und welche möglichen Auswirkungen die kommenden Zertifizierungschemata in Bezug auf die Industrie haben werden.

Die Institution ENISA

Im Jahr 2004 wurde die European Network and Information Security Agency (ENISA) gegründet. Diese hat, wie zum Beispiel das Bundesamt für Informationssicherheit (BSI) auf nationaler Ebene, im EU-Raum die Aufgabe, für eine Stärkung der Informationssicherheit zu sorgen.

Der Sitz der ENISA ist in Griechenland in Athen sowie in Iraklio auf der Insel Kreta angesiedelt. Derzeit sind ca. 50 Mitarbeiter dort beschäftigt. Im Vergleich: Das BSI beschäftigt aktuell ca. 900 Mitarbeiter. In ihren Tätigkeiten kooperiert die ENISA auch mit nationalen Ämtern und Instituten, wie dem bereits erwähnten BSI.

Durch den EU Cybersecurity Act hat die ENISA erweiterte Aufgabenbereiche und Kompetenzen erhalten, darunter auch die Erstellung von Zertifizierungsschemata für Informationssicherheit. Diese umfassen IKT-Systeme, -Dienste und -Prozesse und sollen dazu dienen, eine vereinheitlichte Grundlage für Informationssicherheit in der EU zu etablieren.

Stand September 2019 existieren noch keine solchen Zertifizierungsschemata. Diese sollen in Zusammenarbeit mit nationalen Gesetzgebern und Organisationen sowie mit den Stakeholdern, also Sicherheitsexperten, Herstellern von IKT-Produkten und Anwendern, über die kommenden Jahre ausgearbeitet werden.

Mögliche Auswirkungen für Betreiber, Maschinenbauer und Produkthersteller

Sicherheitszertifizierungen weisen eine Konformität gegenüber entsprechenden Regularien nach. Das hat grundsätzlich zum Ziel, eine Vergleichbarkeit zwischen verschiedenen Angeboten sowie natürlich bei verpflichtenden Zertifizierungen in Bereichen mit hohem Risikopotenzial eine Steigerung der Sicherheit zu schaffen. Grundsätzlich sollte gegenüber Zertifizierungen im Security-Bereich aber immer eine gewisse Skepsis gewahrt werden, da diese nicht zwingend gleichbedeutend mit einem hohen Sicherheitsniveau sind.

Dennoch geben Zertifizierungen Betreibern und Maschinenbauern Anhaltspunkte, dass bei der Entwicklung eines Produkts oder einem angebotenen Dienst auf Informationssicherheit geachtet wurde. Für diese Gruppen könnten EU-weite Zertifizierungsschemata also gerade den Einkauf vereinfachen. Nach dem Einkauf sollte dennoch auch über Zertifizierungen hinaus auf Sicherheit bei der Integration und beim Betrieb geachtet werden.

Produkthersteller im IKT-Bereich erfahren die Auswirkungen von Zertifizierungsschemata auf etwas direktere Art und Weise. Hier wird aufgrund des Wettbewerbs wahrscheinlich, dass eine Zertifizierung angestrebt werden sollte, um mit der Konkurrenz mitzuhalten und die Produktqualität für den Kunden sicherzustellen. Meist gehen mit solchen Produktzertifizierungen, zum Beispiel nach Common Criteria oder der IEC 62443-4-2, höhere Kosten einher. Hier sagt Artikel 53 des EU Cybersecurity Acts allerdings aus, dass eine Selbstbewertung der Konformität durch den Hersteller oder Anbieter zulässig ist – zumindest für Anwendungsfelder, die der Vertraulichkeitsstufe „niedrig“ entsprechen.

Und was ist mit anderen Zertifizierungen?

Im internationalen Vergleich scheint die EU mit ihren Bestrebungen etwas hinterher zu hinken. Entsprechende Normen und Zertifizierungen für Informationssicherheit wurden bereits vor Jahren von der ISO (27000 Normenreihe) und der IEC (62443) verabschiedet oder befinden sich bereits in einem fortgeschrittenen Entwicklungsstadium. Darüber hinaus bestehen noch eine Reihe weiterer Normen und Best-Practices für die verschiedensten Unternehmen.

Die Besonderheit ergibt sich aus dem Geltungsbereich. Während vor allem auf nationaler Normenebene kaum Vergleichbarkeit zwischen verschiedenen EU-Mitgliedsstaaten besteht, wird eine einheitliche und EU-weit gültige Normung hier Abhilfe schaffen. Insbesondere, wenn es um verpflichtende Zertifizierungen in der EU geht, wird es spannend. Dabei können sehr wohl größere Auswirkungen auf in der EU angesiedelte Unternehmen oder den Verkauf von Produkten und Dienstleistungen in der EU entstehen.

Grundsätzlich positiv zu bewerten ist, dass die EU vorhat, einheitliche Begebenheiten zu schaffen und das Thema Informationssicherheit weiter in den Fokus zu rücken.

Fazit

Es bleibt abzuwarten, wie sich die Tätigkeiten der ENISA und die daraus folgenden Zertifizierungsschemata über die kommenden Jahre entwickeln. Zum Nachdenken regt auch an, dass sich die Befugnisse und Aufgabenbereiche möglicherweise mit denen des europäischen Zentrums zur Bekämpfung der Cyberkriminalität (European Cybercrime Center, E3C) überschneiden. Hier steht noch eine klarere Abgrenzung der Domänen aus.

Die ENISA bezieht sich in ihrem Wirkungskreis ganz klar auf die EU. Für Industrieunternehmen und Hersteller bedeutet das, dass sich bei zukünftig geltenden Zertifizierungsschemata im Rahmen des Einkaufs/Verkaufs und Betriebs innerhalb der EU daran gehalten werden sollte. Dies verspricht auf der einen Seite Wettbewerbsvorteile gegenüber internationalen Unternehmen im EU-Raum, sowie eine einheitliche EU-weite Zertifizierung.

Ob hierbei verpflichtende Zertifizierungen für kritische Anwendungsfälle entstehen ist noch nicht geklärt. Wir gehen aber davon aus, dass wie durch das IT-Sicherheitsgesetz auch EU-weite Gesetze für den Betrieb kritischer Infrastrukturen erlassen werden. Dabei liegt nahe, dass diese den Zertifizierungsschemata der ENISA folgen werden.

Sind Produktzertifizierungen schon heute für Sie ein Thema? Dann werfen Sie einen Blick in unsere ausführliche Beitragsserie zur IEC62443-4-2!