Cyber Security Act (CSA): Unterschied zwischen den Versionen
Aus RI Wiki
Zur Navigation springenZur Suche springen
Keine Bearbeitungszusammenfassung |
|||
| (9 dazwischenliegende Versionen von 3 Benutzern werden nicht angezeigt) | |||
| Zeile 1: | Zeile 1: | ||
'''Änderung durch'''{{Infobox Rechtsakt (EU)|Typ=Verordnung|Jahr=2025|Nummer=37|Vertrag=EU|EWR=ja|Titel=Verordnung (EU) 2025/37 des Europäischen Parlaments und des Rates vom 19. Dezember 2024 zur Änderung der Verordnung (EU) 2019/881 im Hinblick auf verwaltete Sicherheitsdienste|Kurztitel=Cyber Security Act/Rechtsakt zur Cybersicherheit|Bezeichnung=CSA|Rechtsmaterie=Binnenmarkt, Cybersicherheit|Grundlage=AEUV, insbesondere {{Art.|114|AEUV|dejure|}}|Fundstelle=ABl L 2025/37, 1|Anzuwenden=4. Februar 2025|Gültig= | <languages/> | ||
<translate> | |||
<!--T:1--> | |||
'''Änderung durch'''{{Infobox Rechtsakt (EU)|Typ=Verordnung|Jahr=2025|Nummer=37|Vertrag=EU|EWR=ja|Titel=Verordnung (EU) 2025/37 des Europäischen Parlaments und des Rates vom 19. Dezember 2024 zur Änderung der Verordnung (EU) 2019/881 im Hinblick auf verwaltete Sicherheitsdienste|Kurztitel=Cyber Security Act/Rechtsakt zur Cybersicherheit|Bezeichnung=CSA|Rechtsmaterie=Binnenmarkt, Cybersicherheit|Grundlage=AEUV, insbesondere {{Art.|114|AEUV|dejure|}}|Fundstelle=ABl L 2025/37, 1|Anzuwenden=4. Februar 2025|Gültig=anwendbar}} | |||
<!--T:2--> | |||
'''Ursprungsrechtsakt''' | '''Ursprungsrechtsakt''' | ||
{{Infobox Rechtsakt (EU)|Typ=Verordnung|Jahr=2019|Nummer=881|Vertrag=EU|EWR=ja|Titel=Verordnung (EU) 2019/881 des Europäischen Parlaments und des Rates vom 17. April 2019 über die ENISA (Agentur der Europäischen Union für Cybersicherheit) und über die Zertifizierung der Cybersicherheit von Informations- und Kommunikationstechnik und zur Aufhebung der Verordnung (EU) Nr. 526/2013|Kurztitel=Cyber Security Act/Rechtsakt zur Cybersicherheit|Bezeichnung=CSA|Rechtsmaterie=Binnenmarkt, Cybersicherheit|Grundlage=AEUV, insbesondere {{Art.|114|AEUV|dejure|}}|Fundstelle=ABl L 2019/151, 15|Anzuwenden=27. Juni 2019|Gültig=anwendbar}} | </translate> | ||
{{Infobox Rechtsakt (EU)|Typ=Verordnung|Jahr=2019|Nummer=881|Vertrag=EU|EWR=ja|Titel=Verordnung (EU) 2019/881 des Europäischen Parlaments und des Rates vom 17. April 2019 über die ENISA (Agentur der Europäischen Union für Cybersicherheit) und über die Zertifizierung der Cybersicherheit von Informations- und Kommunikationstechnik und zur Aufhebung der Verordnung (EU) Nr. 526/2013|Kurztitel=Cyber Security Act/Rechtsakt zur Cybersicherheit|Bezeichnung=CSA|Rechtsmaterie=Binnenmarkt, Cybersicherheit|Grundlage=AEUV, insbesondere {{Art.|114|AEUV|dejure|}} | |||
<translate><!--T:3--> | |||
|Fundstelle=ABl L 2019/151, 15|Anzuwenden=27. Juni 2019|Gültig=anwendbar}} | |||
== Einführung == | == Einführung == <!--T:4--> | ||
<!--T:5--> | |||
Die Verordnung (EU) 2019/881 (Cybersecurity Act bzw. CSA), die im Juni 2019 in Kraft trat, verfolgte zwei Hauptziele: Zum einen stärkte es die Position der EU-Agentur für Cybersicherheit (ENISA), indem es ihr ein dauerhaftes Mandat erteilte und ihre Aufgaben sowie Ressourcen erweiterte. Zum anderen führte es einen EU-weiten Zertifizierungsrahmen für Cybersicherheit ein, der einheitliche Standards für IKT-Produkte, -Dienste und -Prozesse in der gesamten EU etablieren sollte. | Die Verordnung (EU) 2019/881 (Cybersecurity Act bzw. CSA), die im Juni 2019 in Kraft trat, verfolgte zwei Hauptziele: Zum einen stärkte es die Position der EU-Agentur für Cybersicherheit (ENISA), indem es ihr ein dauerhaftes Mandat erteilte und ihre Aufgaben sowie Ressourcen erweiterte. Zum anderen führte es einen EU-weiten Zertifizierungsrahmen für Cybersicherheit ein, der einheitliche Standards für IKT-Produkte, -Dienste und -Prozesse in der gesamten EU etablieren sollte. | ||
Die Novelle 2025 zum Cyber Security Act<ref>https://eur-lex.europa.eu/eli/reg/2025/37/oj</ref>, die am 4. Februar 2025 in Kraft tritt, baut auf der ursprünglichen | <!--T:6--> | ||
Die Novelle 2025 zum Cyber Security Act<ref>https://eur-lex.europa.eu/eli/reg/2025/37/oj</ref>, die am 4. Februar 2025 in Kraft tritt, baut auf der ursprünglichen Verordnung auf und führt mehrere Neuerungen ein. | |||
== Zentrale Inhalte == <!--T:7--> | |||
=== Rolle und Kompetenzen der Europäischen Agentur für Netz- und Informationssicherheit ([https://www.enisa.europa.eu/ ENISA):] (Artikel 4-45 CSA): === <!--T:8--> | |||
<!--T:9--> | |||
* Die ENISA erhält ein dauerhaftes Mandat als Kompetenzzentrum für Cybersicherheit in der EU. | * Die ENISA erhält ein dauerhaftes Mandat als Kompetenzzentrum für Cybersicherheit in der EU. | ||
* Ihre Aufgaben umfassen nun Beratung, Unterstützung und Förderung der EU-Politik im Bereich Cybersicherheit. | * Ihre Aufgaben umfassen nun Beratung, Unterstützung und Förderung der EU-Politik im Bereich Cybersicherheit. | ||
* Sie soll Stellungnahmen abgeben, Leitlinien herausgeben und zu Themen wie Risikomanagement und Meldung von Sicherheitsvorfällen beraten | * Sie soll Stellungnahmen abgeben, Leitlinien herausgeben und zu Themen wie Risikomanagement und Meldung von Sicherheitsvorfällen beraten | ||
* Entwicklung und Verwaltung des europäischen Rahmens für die Cybersicherheitszertifizierung von IKT-Produkten, -Diensten und -Prozessen | |||
=== Einführung eines EU-weiten Zertifizierungssystems (Artikel 46-65 CSA) === <!--T:10--> | |||
<!--T:11--> | |||
Der zweite Kernbereich ist die Schaffung eines einheitlichen Zertifizierungsrahmens für Cybersicherheit: | Der zweite Kernbereich ist die Schaffung eines einheitlichen Zertifizierungsrahmens für Cybersicherheit: | ||
<!--T:12--> | |||
* Es wird ein EU-weites Zertifizierungssystem für Produkte, Dienstleistungen und Prozesse der Informations- und Kommunikationstechnologie eingeführt. | * Es wird ein EU-weites Zertifizierungssystem für Produkte, Dienstleistungen und Prozesse der Informations- und Kommunikationstechnologie eingeführt. | ||
* Die ENISA ist für den Aufbau und die Pflege dieses Zertifizierungsrahmens zuständig. | * Die ENISA ist für den Aufbau und die Pflege dieses Zertifizierungsrahmens zuständig. | ||
| Zeile 23: | Zeile 41: | ||
* Zertifikate bescheinigen die Erfüllung bestimmter Sicherheitsanforderungen und stufen die Vertrauenswürdigkeit als "niedrig", "mittel" oder "hoch" ein. | * Zertifikate bescheinigen die Erfüllung bestimmter Sicherheitsanforderungen und stufen die Vertrauenswürdigkeit als "niedrig", "mittel" oder "hoch" ein. | ||
==== Cybersecurity-Zertifizierungsschema für ICT-Produkte der Europäischen Union (EU CC-Schema) ==== <!--T:13--> | |||
Die Europäische Kommission hat im Jänner 2024 die Durchführungsverordnung für das EU-Zertifizierungssystem für Cybersicherheit nach Common Criteria (EUCC) angenommen,<ref>https://eur-lex.europa.eu/eli/reg_impl/2024/482/oj</ref> welcher auf dem [https://www.sogis.eu/ SO-GIS] | |||
<!--T:14--> | |||
Die Europäische Kommission hat im Jänner 2024 die Durchführungsverordnung für das EU-Zertifizierungssystem für Cybersicherheit nach Common Criteria (EUCC) angenommen,<ref>https://eur-lex.europa.eu/eli/reg_impl/2024/482/oj</ref> welcher auf dem [https://www.sogis.eu/ SO-GIS] Schema basiert. Das EUCC-System basiert auf Freiwilligkeit und ermöglicht es IKT-Anbietern, die einen Zuverlässigkeitsnachweis erbringen wollen, ein EU-weit einheitliches Bewertungsverfahren zu durchlaufen, um IKT-Produkte wie technologische Komponenten (Chips, Smartcards), Hardware und Software zu zertifizieren. Es schlägt zwei Sicherheitsstufen vor, die sich nach dem Risiko richten, das mit der beabsichtigten Verwendung des Produkts, der Dienstleistung oder des Prozesses verbunden ist, und zwar in Bezug auf die Wahrscheinlichkeit und die Auswirkungen eines Unfalls. Das EUCC ist damit das erste europäische Zertifizierungsschema und wird am 27. Februar 2025 in Geltung treten.<ref>https://www.bundeskanzleramt.gv.at/themen/cybersicherheit/nationale-behoerde-fuer-cybersicherheitszertifizierung/common-criteria-eucc.html</ref> | |||
<!--T:15--> | |||
Die ENISA arbeitet derzeit an zwei weiteren Zertifizierungssystemen für Cybersicherheit, [https://www.enisa.europa.eu/publications/eucs-cloud-service-scheme EUCS für Cloud-Dienste] und [https://www.enisa.europa.eu/topics/critical-information-infrastructures-and-services/telecoms/5g EU5G] für 5G-Sicherheit. Insbesondere der Entwurf für das EUCS-Schema (Cloud-Dienste) ist Gegenstand intensiver politischer Debatten, insbesondere im Hinblick auf die sogenannten Souveränitätsanforderungen, die festlegen sollen, inwieweit nicht-europäische Unternehmen die höchsten Sicherheitsstufen der Zertifizierung erreichen dürfen. | |||
=== Novelle 2025: Cybersicherheitszertifizierung für "Verwaltete Sicherheitsdienste"<ref>https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:52023PC0208</ref> <ref>https://www.consilium.europa.eu/en/press/press-releases/2024/12/02/cybersecurity-package-council-adopts-new-laws-to-strengthen-cybersecurity-capacities-in-the-eu/pdf/</ref> === <!--T:16--> | |||
<!--T:17--> | |||
Die [https://eur-lex.europa.eu/legal-content/DE/ALL/?uri=CELEX:32025R0037 Verordnung (EU) 2025/37] führt eine Begriffsbestimmung für „verwaltete Sicherheitsdienste“ ein, die an die Begriffsbestimmung für „Anbieter verwalteter Sicherheitsdienste“ in der NIS-2-Richtlinie angelehnt ist. Verwaltete Sicherheitsdienste sind Dienste, die in der Durchführung oder Unterstützung von Tätigkeiten im Zusammenhang mit dem Cybersicherheitsrisikomanagement ihrer Kund*innen bestehen (Art. 1 Abs. 2 CSA-N). Außerdem wurde ein neuer Artikel 51a über die Sicherheitsziele der europäischen Systeme für die Cybersicherheitszertifizierung eingefügt, die auf verwaltete Sicherheitsdienste abgestimmt sind. Diese Rechtsgrundlage ermöglicht es nun der EU-Kommission, ein spezifisches europäisches Zertifizierungsschema für verwaltete Sicherheitsdienste mittels eines Durchführungsrechtsakts zu entwickeln und anzunehmen. | |||
== Strafen/sonstige Konsequenzen == <!--T:18--> | |||
<!--T:19--> | |||
Der Cyber Security Act selbst sieht keine direkten EU-Bußgelder vor, da er primär einen freiwilligen Zertifizierungsrahmen schafft. Die Konsequenzen bei Verstößen sind wie folgt geregelt: | |||
* '''Nationale Sanktionen:''' Art. 65 CSA verpflichtet die Mitgliedstaaten, „wirksame, verhältnismäßige und abschreckende“ Sanktionen für Verstöße gegen die nationalen Umsetzungsbestimmungen der EU-Cybersicherheitszertifizierungsschemata zu erlassen. | |||
* '''Verlust der Zertifizierung:''' Die primäre Konsequenz bei Nichteinhaltung der Zertifizierungsanforderungen ist der '''Entzug oder die Aussetzung des Cybersicherheitszertifikats'''. Dies kann insbesondere dann erhebliche Marktauswirkungen haben, wenn das Zertifikat für die Teilnahme an öffentlichen Ausschreibungen oder die Erfüllung von CRA- oder NIS2-Anforderungen erforderlich ist. | |||
==== | == Synergien == <!--T:20--> | ||
== | === CSA === <!--T:21--> | ||
<!--T:22--> | |||
* Der CSA zielt darauf ab, einheitliche Rahmenbedingungen für die Cybersicherheitszertifizierung in der EU zu schaffen, indem er freiwillige Zertifizierungsschemata etabliert. Diese dienen dazu, das Vertrauen in digitale Produkte, Dienstleistungen und Prozesse zu stärken. Die EU-Agentur für Cybersicherheit (ENISA) spielt eine zentrale Rolle bei der Entwicklung dieser Schemata. | |||
=== CRA === <!--T:23--> | |||
<!--T:24--> | |||
* Der CRA legt Cybersicherheitsanforderungen für Produkte mit digitalen Elementen fest, um ein Mindestmaß an Sicherheit in der gesamten EU zu gewährleisten. Bestimmte Produkte müssen einer verpflichtenden Zertifizierung unterzogen werden. | |||
<!--T:25--> | |||
Vorliegende CSA-Zertifizierungsschemata können in bestimmten Bereichen verwendet werden, um die Einhaltung Anforderungen des CRA zu belegen. | Vorliegende CSA-Zertifizierungsschemata können in bestimmten Bereichen verwendet werden, um die Einhaltung Anforderungen des CRA zu belegen. | ||
== | === NIS2-Richtlinie === | ||
Die enge Verzahnung des CSA mit der NIS2-Richtlinie (Richtlinie (EU) 2022/2555) wird durch die Novelle 2025 (Verordnung (EU) 2025/37) verstärkt: | |||
* Begriffsdefinition: Die Novelle verwendet zur Definition von „Verwalteten Sicherheitsdiensten“ eine Formulierung, die an die Definition der „Anbieter verwalteter Sicherheitsdienste“ in Art. 6 Nr. 40 der NIS2-Richtlinie angelehnt ist. Dies sorgt für Kohärenz in der EU-Gesetzgebung. | |||
* Compliance-Erleichterung: Für Unternehmen, die unter die NIS2-Richtlinie fallen und als wesentliche oder wichtige Einrichtungen gelten, können Zertifikate, die auf den zukünftigen CSA-Schemata für verwaltete Sicherheitsdienste basieren, ein wichtiges Instrument sein, um die Einhaltung ihrer Cybersicherheitsanforderungen nachzuweisen. | |||
== Einzelnachweise == <!--T:26--> | |||
</translate> | |||
Aktuelle Version vom 28. Oktober 2025, 09:39 Uhr
Änderung durch
 Verordnung (EU) 2025/37 | |
|---|---|
| Titel: | Verordnung (EU) 2025/37 des Europäischen Parlaments und des Rates vom 19. Dezember 2024 zur Änderung der Verordnung (EU) 2019/881 im Hinblick auf verwaltete Sicherheitsdienste |
| Kurztitel: | Cyber Security Act/Rechtsakt zur Cybersicherheit |
| Bezeichnung: (nicht amtlich) |
CSA |
| Geltungsbereich: | EWR |
| Rechtsmaterie: | Binnenmarkt, Cybersicherheit |
| Grundlage: | AEUV, insbesondere Art. 114 |
| Anzuwenden ab: | 4. Februar 2025 |
| Fundstelle: | ABl L 2025/37, 1 |
| Volltext | Konsolidierte Fassung (nicht amtlich) Grundfassung |
| Regelung ist in Kraft getreten und anwendbar. | |
| Hinweis zur geltenden Fassung von Rechtsakten der Europäischen Union | |
Ursprungsrechtsakt
Verordnung (EU) 2019/881 | |
|---|---|
| Titel: | Verordnung (EU) 2019/881 des Europäischen Parlaments und des Rates vom 17. April 2019 über die ENISA (Agentur der Europäischen Union für Cybersicherheit) und über die Zertifizierung der Cybersicherheit von Informations- und Kommunikationstechnik und zur Aufhebung der Verordnung (EU) Nr. 526/2013 |
| Kurztitel: | Cyber Security Act/Rechtsakt zur Cybersicherheit |
| Bezeichnung: (nicht amtlich) |
CSA |
| Geltungsbereich: | EWR |
| Rechtsmaterie: | Binnenmarkt, Cybersicherheit |
| Grundlage: | AEUV, insbesondere Art. 114 |
| Anzuwenden ab: | 27. Juni 2019 |
| Fundstelle: | ABl L 2019/151, 15 |
| Volltext | Konsolidierte Fassung (nicht amtlich) Grundfassung |
| Regelung ist in Kraft getreten und anwendbar. | |
| Hinweis zur geltenden Fassung von Rechtsakten der Europäischen Union | |
Einführung
Die Verordnung (EU) 2019/881 (Cybersecurity Act bzw. CSA), die im Juni 2019 in Kraft trat, verfolgte zwei Hauptziele: Zum einen stärkte es die Position der EU-Agentur für Cybersicherheit (ENISA), indem es ihr ein dauerhaftes Mandat erteilte und ihre Aufgaben sowie Ressourcen erweiterte. Zum anderen führte es einen EU-weiten Zertifizierungsrahmen für Cybersicherheit ein, der einheitliche Standards für IKT-Produkte, -Dienste und -Prozesse in der gesamten EU etablieren sollte.
Die Novelle 2025 zum Cyber Security Act[1], die am 4. Februar 2025 in Kraft tritt, baut auf der ursprünglichen Verordnung auf und führt mehrere Neuerungen ein.
Zentrale Inhalte
Rolle und Kompetenzen der Europäischen Agentur für Netz- und Informationssicherheit (ENISA): (Artikel 4-45 CSA):
- Die ENISA erhält ein dauerhaftes Mandat als Kompetenzzentrum für Cybersicherheit in der EU.
- Ihre Aufgaben umfassen nun Beratung, Unterstützung und Förderung der EU-Politik im Bereich Cybersicherheit.
- Sie soll Stellungnahmen abgeben, Leitlinien herausgeben und zu Themen wie Risikomanagement und Meldung von Sicherheitsvorfällen beraten
- Entwicklung und Verwaltung des europäischen Rahmens für die Cybersicherheitszertifizierung von IKT-Produkten, -Diensten und -Prozessen
Einführung eines EU-weiten Zertifizierungssystems (Artikel 46-65 CSA)
Der zweite Kernbereich ist die Schaffung eines einheitlichen Zertifizierungsrahmens für Cybersicherheit:
- Es wird ein EU-weites Zertifizierungssystem für Produkte, Dienstleistungen und Prozesse der Informations- und Kommunikationstechnologie eingeführt.
- Die ENISA ist für den Aufbau und die Pflege dieses Zertifizierungsrahmens zuständig.
- Das System legt einheitliche Anforderungen und Bewertungskriterien für Cybersicherheit in der gesamten EU fest.
- Zertifikate bescheinigen die Erfüllung bestimmter Sicherheitsanforderungen und stufen die Vertrauenswürdigkeit als "niedrig", "mittel" oder "hoch" ein.
Cybersecurity-Zertifizierungsschema für ICT-Produkte der Europäischen Union (EU CC-Schema)
Die Europäische Kommission hat im Jänner 2024 die Durchführungsverordnung für das EU-Zertifizierungssystem für Cybersicherheit nach Common Criteria (EUCC) angenommen,[2] welcher auf dem SO-GIS Schema basiert. Das EUCC-System basiert auf Freiwilligkeit und ermöglicht es IKT-Anbietern, die einen Zuverlässigkeitsnachweis erbringen wollen, ein EU-weit einheitliches Bewertungsverfahren zu durchlaufen, um IKT-Produkte wie technologische Komponenten (Chips, Smartcards), Hardware und Software zu zertifizieren. Es schlägt zwei Sicherheitsstufen vor, die sich nach dem Risiko richten, das mit der beabsichtigten Verwendung des Produkts, der Dienstleistung oder des Prozesses verbunden ist, und zwar in Bezug auf die Wahrscheinlichkeit und die Auswirkungen eines Unfalls. Das EUCC ist damit das erste europäische Zertifizierungsschema und wird am 27. Februar 2025 in Geltung treten.[3]
Die ENISA arbeitet derzeit an zwei weiteren Zertifizierungssystemen für Cybersicherheit, EUCS für Cloud-Dienste und EU5G für 5G-Sicherheit. Insbesondere der Entwurf für das EUCS-Schema (Cloud-Dienste) ist Gegenstand intensiver politischer Debatten, insbesondere im Hinblick auf die sogenannten Souveränitätsanforderungen, die festlegen sollen, inwieweit nicht-europäische Unternehmen die höchsten Sicherheitsstufen der Zertifizierung erreichen dürfen.
Novelle 2025: Cybersicherheitszertifizierung für "Verwaltete Sicherheitsdienste"[4] [5]
Die Verordnung (EU) 2025/37 führt eine Begriffsbestimmung für „verwaltete Sicherheitsdienste“ ein, die an die Begriffsbestimmung für „Anbieter verwalteter Sicherheitsdienste“ in der NIS-2-Richtlinie angelehnt ist. Verwaltete Sicherheitsdienste sind Dienste, die in der Durchführung oder Unterstützung von Tätigkeiten im Zusammenhang mit dem Cybersicherheitsrisikomanagement ihrer Kund*innen bestehen (Art. 1 Abs. 2 CSA-N). Außerdem wurde ein neuer Artikel 51a über die Sicherheitsziele der europäischen Systeme für die Cybersicherheitszertifizierung eingefügt, die auf verwaltete Sicherheitsdienste abgestimmt sind. Diese Rechtsgrundlage ermöglicht es nun der EU-Kommission, ein spezifisches europäisches Zertifizierungsschema für verwaltete Sicherheitsdienste mittels eines Durchführungsrechtsakts zu entwickeln und anzunehmen.
Strafen/sonstige Konsequenzen
Der Cyber Security Act selbst sieht keine direkten EU-Bußgelder vor, da er primär einen freiwilligen Zertifizierungsrahmen schafft. Die Konsequenzen bei Verstößen sind wie folgt geregelt:
- Nationale Sanktionen: Art. 65 CSA verpflichtet die Mitgliedstaaten, „wirksame, verhältnismäßige und abschreckende“ Sanktionen für Verstöße gegen die nationalen Umsetzungsbestimmungen der EU-Cybersicherheitszertifizierungsschemata zu erlassen.
- Verlust der Zertifizierung: Die primäre Konsequenz bei Nichteinhaltung der Zertifizierungsanforderungen ist der Entzug oder die Aussetzung des Cybersicherheitszertifikats. Dies kann insbesondere dann erhebliche Marktauswirkungen haben, wenn das Zertifikat für die Teilnahme an öffentlichen Ausschreibungen oder die Erfüllung von CRA- oder NIS2-Anforderungen erforderlich ist.
Synergien
CSA
- Der CSA zielt darauf ab, einheitliche Rahmenbedingungen für die Cybersicherheitszertifizierung in der EU zu schaffen, indem er freiwillige Zertifizierungsschemata etabliert. Diese dienen dazu, das Vertrauen in digitale Produkte, Dienstleistungen und Prozesse zu stärken. Die EU-Agentur für Cybersicherheit (ENISA) spielt eine zentrale Rolle bei der Entwicklung dieser Schemata.
CRA
- Der CRA legt Cybersicherheitsanforderungen für Produkte mit digitalen Elementen fest, um ein Mindestmaß an Sicherheit in der gesamten EU zu gewährleisten. Bestimmte Produkte müssen einer verpflichtenden Zertifizierung unterzogen werden.
Vorliegende CSA-Zertifizierungsschemata können in bestimmten Bereichen verwendet werden, um die Einhaltung Anforderungen des CRA zu belegen.
NIS2-Richtlinie
Die enge Verzahnung des CSA mit der NIS2-Richtlinie (Richtlinie (EU) 2022/2555) wird durch die Novelle 2025 (Verordnung (EU) 2025/37) verstärkt:
- Begriffsdefinition: Die Novelle verwendet zur Definition von „Verwalteten Sicherheitsdiensten“ eine Formulierung, die an die Definition der „Anbieter verwalteter Sicherheitsdienste“ in Art. 6 Nr. 40 der NIS2-Richtlinie angelehnt ist. Dies sorgt für Kohärenz in der EU-Gesetzgebung.
- Compliance-Erleichterung: Für Unternehmen, die unter die NIS2-Richtlinie fallen und als wesentliche oder wichtige Einrichtungen gelten, können Zertifikate, die auf den zukünftigen CSA-Schemata für verwaltete Sicherheitsdienste basieren, ein wichtiges Instrument sein, um die Einhaltung ihrer Cybersicherheitsanforderungen nachzuweisen.
Einzelnachweise
- ↑ https://eur-lex.europa.eu/eli/reg/2025/37/oj
- ↑ https://eur-lex.europa.eu/eli/reg_impl/2024/482/oj
- ↑ https://www.bundeskanzleramt.gv.at/themen/cybersicherheit/nationale-behoerde-fuer-cybersicherheitszertifizierung/common-criteria-eucc.html
- ↑ https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:52023PC0208
- ↑ https://www.consilium.europa.eu/en/press/press-releases/2024/12/02/cybersecurity-package-council-adopts-new-laws-to-strengthen-cybersecurity-capacities-in-the-eu/pdf/
