Cybersecurity Act: EU-Rahmenwerk für Cybersicherheits-Zertifikate
Das EU-Rahmenwerk für den so genannten Cybersecurity Act kommt. EU-Parlament, Mitgliedsstaaten und Europäische Kommission haben sich auf den so genannten "Cybersecurity Act" geeinigt.
Vergangenen Dezember haben sich EU-Parlament, Mitgliedsstaaten und Europäische Kommission zum „Cybersecurity Act“ geeinigt. Nur ein Zertifikat soll in Europa der Cybersicherheit eines IT-Produkts dienen: Im politischen Prozess der letzten Monate wurde der ursprüngliche Vorschlag deutlich verbessert – vor allem mit Blick auf Transparenz und Beteiligung der Industrie. Trotzdem kann dieses Rahmengesetz aus Sicht des VDMA nur ein erster Schritt sein. Es wird zwar die Vergabe von Nachweisen geregelt, eine echte Binnenmarktregulierung stellt das Rahmenwerk aber nicht dar. Enttäuschend ist, dass nur eine begrenzte Nutzung einer Herstellerselbsterklärung möglich ist.
Zukünftig gibt es eine so genannte „European Cybersecurity Certification Group“ und eine „Stakeholder Participation Group“, über die Mitgliedstaaten oder die Wirtschaft Vorschlägen an die EU-Kommission geben können, wenn eine europaweit geregelte Zertifizierung für eine bestimmte Produktgruppe notwendig erscheint. Wird der Vorschlag angenommen, erarbeitet die europäische Agentur für Cybersicherheit (ENISA) unter Beteiligung der betroffenen Branchen die Details. Die EU-Kommission hat dann das letzte Wort und das Zertifizierungssystem wird europaweit gültig.
Ab diesem Moment verlieren nationale Systeme ihre Gültigkeit. Der Zertifizierungsrahmen ist grundsätzlich freiwillig, der Gesetzgeber behält sich aber vor, eine Verpflichtung im Rahmen weiterer Gesetzgebungsakte einzuführen.
Verbesserungen berücksichtig
Im Trilog wurden zudem vom Europäischen Parlament und den Mitgliedsstaaten erhebliche Verbesserung in Bezug auf Transparenz und Industriebeteiligung erreicht. So ist nun beispielsweise ein öffentlicher Arbeitsplan vorgesehen. Ein wesentlicher Konstruktionsfehler wurde aber nur unzureichend beseitigt: Die für die Innovation und Effizienz wichtige Option der Herstellerselbsterklärung ist zwar nun vorgesehen, aber nur für ein Basisniveau von Cybersicherheit. Grundsätzlich setzt der Cybersecurity Act weitgehend auf Drittstellenzertifizierung, ein aus Sicht des VDMA, der Verband Deutscher Maschinen- und Anlagenbau e.V, nur in Ausnahmefällen geeignetes und ansonsten teures und schwerfälliges Bewertungsverfahren.
Der VDMA sieht den Cybersecurity-Act nur als einen ersten Schritt. Der europäische Binnenmarkt braucht vielmehr eine einheitliche Rechtsvorschrift, die den sicheren Austausch von Unternehmens- und Produktdaten gewährleistet.