Cyber Security Act (CSA): Unterschied zwischen den Versionen
Aus RI Wiki
Zur Navigation springenZur Suche springen
Keine Bearbeitungszusammenfassung |
Keine Bearbeitungszusammenfassung |
||
| (8 dazwischenliegende Versionen von 3 Benutzern werden nicht angezeigt) | |||
| Zeile 1: | Zeile 1: | ||
''' | '''Änderung durch'''{{Infobox Rechtsakt (EU)|Typ=Verordnung|Jahr=2025|Nummer=37|Vertrag=EU|EWR=ja|Titel=Verordnung (EU) 2025/37 des Europäischen Parlaments und des Rates vom 19. Dezember 2024 zur Änderung der Verordnung (EU) 2019/881 im Hinblick auf verwaltete Sicherheitsdienste|Kurztitel=Cyber Security Act/Rechtsakt zur Cybersicherheit|Bezeichnung=CSA|Rechtsmaterie=Binnenmarkt, Cybersicherheit|Grundlage=AEUV, insbesondere {{Art.|114|AEUV|dejure|}}|Fundstelle=ABl L 2025/37, 1|Anzuwenden=4. Februar 2025|Gültig=anwendbar}} | ||
'''Ursprungsrechtsakt''' | '''Ursprungsrechtsakt''' | ||
| Zeile 6: | Zeile 6: | ||
== Einführung == | == Einführung == | ||
Die Verordnung (EU) 2019/881 (Cybersecurity Act bzw. CSA), die im Juni 2019 in Kraft trat, verfolgte zwei Hauptziele: Zum einen stärkte es die Position der EU-Agentur für Cybersicherheit (ENISA), indem es ihr ein dauerhaftes Mandat erteilte und ihre Aufgaben sowie Ressourcen erweiterte. Zum anderen führte es einen EU-weiten Zertifizierungsrahmen für Cybersicherheit ein, der einheitliche Standards für IKT-Produkte, -Dienste und -Prozesse in der gesamten EU etablieren sollte. | |||
==== Rolle und Kompetenzen der Europäischen Agentur für Netz- und Informationssicherheit ([https://www.enisa.europa.eu/ ENISA):] (Artikel 4-45 CSA): | Die Novelle 2025 zum Cyber Security Act<ref>https://eur-lex.europa.eu/eli/reg/2025/37/oj</ref>, die am 4. Februar 2025 in Kraft tritt, baut auf der ursprünglichen Verordnung auf und führt mehrere Neuerungen ein. | ||
== Zentrale Inhalte == | |||
=== Rolle und Kompetenzen der Europäischen Agentur für Netz- und Informationssicherheit ([https://www.enisa.europa.eu/ ENISA):] (Artikel 4-45 CSA): === | |||
* Die ENISA erhält ein dauerhaftes Mandat als Kompetenzzentrum für Cybersicherheit in der EU. | * Die ENISA erhält ein dauerhaftes Mandat als Kompetenzzentrum für Cybersicherheit in der EU. | ||
* Ihre Aufgaben umfassen nun Beratung, Unterstützung und Förderung der EU-Politik im Bereich Cybersicherheit. | * Ihre Aufgaben umfassen nun Beratung, Unterstützung und Förderung der EU-Politik im Bereich Cybersicherheit. | ||
* Sie soll Stellungnahmen abgeben, Leitlinien herausgeben und zu Themen wie Risikomanagement und Meldung von Sicherheitsvorfällen beraten | * Sie soll Stellungnahmen abgeben, Leitlinien herausgeben und zu Themen wie Risikomanagement und Meldung von Sicherheitsvorfällen beraten | ||
* Entwicklung und Verwaltung des europäischen Rahmens für die Cybersicherheitszertifizierung von IKT-Produkten, -Diensten und -Prozessen | |||
=== Einführung eines EU-weiten Zertifizierungssystems (Artikel 46-65 CSA) === | |||
Der zweite Kernbereich ist die Schaffung eines einheitlichen Zertifizierungsrahmens für Cybersicherheit: | Der zweite Kernbereich ist die Schaffung eines einheitlichen Zertifizierungsrahmens für Cybersicherheit: | ||
| Zeile 21: | Zeile 26: | ||
* Zertifikate bescheinigen die Erfüllung bestimmter Sicherheitsanforderungen und stufen die Vertrauenswürdigkeit als "niedrig", "mittel" oder "hoch" ein. | * Zertifikate bescheinigen die Erfüllung bestimmter Sicherheitsanforderungen und stufen die Vertrauenswürdigkeit als "niedrig", "mittel" oder "hoch" ein. | ||
==== | ==== Cybersecurity-Zertifizierungsschema für ICT-Produkte der Europäischen Union (EU CC-Schema) ==== | ||
Die Europäische Kommission hat im Jänner 2024 die Durchführungsverordnung für das EU-Zertifizierungssystem für Cybersicherheit nach Common Criteria (EUCC) angenommen,<ref>https://eur-lex.europa.eu/eli/reg_impl/2024/482/oj</ref> welcher auf dem [https://www.sogis.eu/ SO-GIS] | Die Europäische Kommission hat im Jänner 2024 die Durchführungsverordnung für das EU-Zertifizierungssystem für Cybersicherheit nach Common Criteria (EUCC) angenommen,<ref>https://eur-lex.europa.eu/eli/reg_impl/2024/482/oj</ref> welcher auf dem [https://www.sogis.eu/ SO-GIS] Schema basiert. Das EUCC-System basiert auf Freiwilligkeit und ermöglicht es IKT-Anbietern, die einen Zuverlässigkeitsnachweis erbringen wollen, ein EU-weit einheitliches Bewertungsverfahren zu durchlaufen, um IKT-Produkte wie technologische Komponenten (Chips, Smartcards), Hardware und Software zu zertifizieren. Es schlägt zwei Sicherheitsstufen vor, die sich nach dem Risiko richten, das mit der beabsichtigten Verwendung des Produkts, der Dienstleistung oder des Prozesses verbunden ist, und zwar in Bezug auf die Wahrscheinlichkeit und die Auswirkungen eines Unfalls. Das EUCC ist damit das erste europäische Zertifizierungsschema und wird am 27. Februar 2025 in Geltung treten.<ref>https://www.bundeskanzleramt.gv.at/themen/cybersicherheit/nationale-behoerde-fuer-cybersicherheitszertifizierung/common-criteria-eucc.html</ref> | ||
Die ENISA arbeitet derzeit an zwei weiteren Zertifizierungssystemen für Cybersicherheit, [https://www.enisa.europa.eu/publications/eucs-cloud-service-scheme EUCS für Cloud-Dienste] und [https://www.enisa.europa.eu/topics/critical-information-infrastructures-and-services/telecoms/5g EU5G] für 5G-Sicherheit. | Die ENISA arbeitet derzeit an zwei weiteren Zertifizierungssystemen für Cybersicherheit, [https://www.enisa.europa.eu/publications/eucs-cloud-service-scheme EUCS für Cloud-Dienste] und [https://www.enisa.europa.eu/topics/critical-information-infrastructures-and-services/telecoms/5g EU5G] für 5G-Sicherheit. | ||
=== Novelle 2025: Cybersicherheitszertifizierung für "Verwaltete Sicherheitsdienste"<ref>https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:52023PC0208</ref> <ref>https://www.consilium.europa.eu/en/press/press-releases/2024/12/02/cybersecurity-package-council-adopts-new-laws-to-strengthen-cybersecurity-capacities-in-the-eu/pdf/</ref> === | |||
Mit dem Vorschlag wird eine Begriffsbestimmung für „verwaltete Sicherheitsdienste“ eingeführt, die an die Begriffsbestimmung für „Anbieter verwalteter Sicherheitsdienste“ in der NIS-2-Richtlinie angelehnt ist. Verwaltete Sicherheitsdienste sind Dienste, die in der Durchführung oder Unterstützung von Tätigkeiten im Zusammenhang mit dem Cybersicherheitsrisikomanagement ihrer | Mit dem Vorschlag wird eine Begriffsbestimmung für „verwaltete Sicherheitsdienste“ eingeführt, die an die Begriffsbestimmung für „Anbieter verwalteter Sicherheitsdienste“ in der NIS-2-Richtlinie angelehnt ist. Verwaltete Sicherheitsdienste sind Dienste, die in der Durchführung oder Unterstützung von Tätigkeiten im Zusammenhang mit dem Cybersicherheitsrisikomanagement ihrer Kund*innen bestehen (Art. 1 Abs. 2 CSA-N). Außerdem wird ein neuer Artikel 51a über die Sicherheitsziele der europäischen Systeme für die Cybersicherheitszertifizierung eingefügt, die auf verwaltete Sicherheitsdienste abgestimmt sind. Auf dieser Basis kann die EU-Kommission einen delegierten Rechtsakt für ein Zertifizierungsschema für verwaltete Sicherheitsdienste annehmen. | ||
== Strafen/sonstige Konsequenzen == | == Strafen/sonstige Konsequenzen == | ||
Art 65 CSA hält Mitgliedsstaaten an wirksame, verhältnismäßige und abschreckende Sanktionen bei Verstößen gegen EU | Art 65 CSA hält Mitgliedsstaaten an wirksame, verhältnismäßige und abschreckende Sanktionen bei Verstößen gegen EU Cybersicherheitsschemata zu erlassen. | ||
== Synergien == | |||
== | === CSA === | ||
* Der CSA zielt darauf ab, einheitliche Rahmenbedingungen für die Cybersicherheitszertifizierung in der EU zu schaffen, indem er freiwillige Zertifizierungsschemata etabliert. Diese dienen dazu, das Vertrauen in digitale Produkte, Dienstleistungen und Prozesse zu stärken. Die EU-Agentur für Cybersicherheit (ENISA) spielt eine zentrale Rolle bei der Entwicklung dieser Schemata. | |||
=== CRA === | |||
* | * Der CRA legt Cybersicherheitsanforderungen für Produkte mit digitalen Elementen fest, um ein Mindestmaß an Sicherheit in der gesamten EU zu gewährleisten. Bestimmte Produkte müssen einer verpflichtenden Zertifizierung unterzogen werden. | ||
Vorliegende CSA-Zertifizierungsschemata können in bestimmten Bereichen verwendet werden, um die Einhaltung Anforderungen des CRA zu belegen. | Vorliegende CSA-Zertifizierungsschemata können in bestimmten Bereichen verwendet werden, um die Einhaltung Anforderungen des CRA zu belegen. | ||
== | == Einzelnachweise == | ||
Aktuelle Version vom 27. Februar 2025, 08:48 Uhr
Änderung durch
 Verordnung (EU) 2025/37 | |
|---|---|
| Titel: | Verordnung (EU) 2025/37 des Europäischen Parlaments und des Rates vom 19. Dezember 2024 zur Änderung der Verordnung (EU) 2019/881 im Hinblick auf verwaltete Sicherheitsdienste |
| Kurztitel: | Cyber Security Act/Rechtsakt zur Cybersicherheit |
| Bezeichnung: (nicht amtlich) |
CSA |
| Geltungsbereich: | EWR |
| Rechtsmaterie: | Binnenmarkt, Cybersicherheit |
| Grundlage: | AEUV, insbesondere Art. 114 |
| Anzuwenden ab: | 4. Februar 2025 |
| Fundstelle: | ABl L 2025/37, 1 |
| Volltext | Konsolidierte Fassung (nicht amtlich) Grundfassung |
| Regelung ist in Kraft getreten und anwendbar. | |
| Hinweis zur geltenden Fassung von Rechtsakten der Europäischen Union | |
Ursprungsrechtsakt
Verordnung (EU) 2019/881 | |
|---|---|
| Titel: | Verordnung (EU) 2019/881 des Europäischen Parlaments und des Rates vom 17. April 2019 über die ENISA (Agentur der Europäischen Union für Cybersicherheit) und über die Zertifizierung der Cybersicherheit von Informations- und Kommunikationstechnik und zur Aufhebung der Verordnung (EU) Nr. 526/2013 |
| Kurztitel: | Cyber Security Act/Rechtsakt zur Cybersicherheit |
| Bezeichnung: (nicht amtlich) |
CSA |
| Geltungsbereich: | EWR |
| Rechtsmaterie: | Binnenmarkt, Cybersicherheit |
| Grundlage: | AEUV, insbesondere Art. 114 |
| Anzuwenden ab: | 27. Juni 2019 |
| Fundstelle: | ABl L 2019/151, 15 |
| Volltext | Konsolidierte Fassung (nicht amtlich) Grundfassung |
| Regelung ist in Kraft getreten und anwendbar. | |
| Hinweis zur geltenden Fassung von Rechtsakten der Europäischen Union | |
Einführung
Die Verordnung (EU) 2019/881 (Cybersecurity Act bzw. CSA), die im Juni 2019 in Kraft trat, verfolgte zwei Hauptziele: Zum einen stärkte es die Position der EU-Agentur für Cybersicherheit (ENISA), indem es ihr ein dauerhaftes Mandat erteilte und ihre Aufgaben sowie Ressourcen erweiterte. Zum anderen führte es einen EU-weiten Zertifizierungsrahmen für Cybersicherheit ein, der einheitliche Standards für IKT-Produkte, -Dienste und -Prozesse in der gesamten EU etablieren sollte.
Die Novelle 2025 zum Cyber Security Act[1], die am 4. Februar 2025 in Kraft tritt, baut auf der ursprünglichen Verordnung auf und führt mehrere Neuerungen ein.
Zentrale Inhalte
Rolle und Kompetenzen der Europäischen Agentur für Netz- und Informationssicherheit (ENISA): (Artikel 4-45 CSA):
- Die ENISA erhält ein dauerhaftes Mandat als Kompetenzzentrum für Cybersicherheit in der EU.
- Ihre Aufgaben umfassen nun Beratung, Unterstützung und Förderung der EU-Politik im Bereich Cybersicherheit.
- Sie soll Stellungnahmen abgeben, Leitlinien herausgeben und zu Themen wie Risikomanagement und Meldung von Sicherheitsvorfällen beraten
- Entwicklung und Verwaltung des europäischen Rahmens für die Cybersicherheitszertifizierung von IKT-Produkten, -Diensten und -Prozessen
Einführung eines EU-weiten Zertifizierungssystems (Artikel 46-65 CSA)
Der zweite Kernbereich ist die Schaffung eines einheitlichen Zertifizierungsrahmens für Cybersicherheit:
- Es wird ein EU-weites Zertifizierungssystem für Produkte, Dienstleistungen und Prozesse der Informations- und Kommunikationstechnologie eingeführt.
- Die ENISA ist für den Aufbau und die Pflege dieses Zertifizierungsrahmens zuständig.
- Das System legt einheitliche Anforderungen und Bewertungskriterien für Cybersicherheit in der gesamten EU fest.
- Zertifikate bescheinigen die Erfüllung bestimmter Sicherheitsanforderungen und stufen die Vertrauenswürdigkeit als "niedrig", "mittel" oder "hoch" ein.
Cybersecurity-Zertifizierungsschema für ICT-Produkte der Europäischen Union (EU CC-Schema)
Die Europäische Kommission hat im Jänner 2024 die Durchführungsverordnung für das EU-Zertifizierungssystem für Cybersicherheit nach Common Criteria (EUCC) angenommen,[2] welcher auf dem SO-GIS Schema basiert. Das EUCC-System basiert auf Freiwilligkeit und ermöglicht es IKT-Anbietern, die einen Zuverlässigkeitsnachweis erbringen wollen, ein EU-weit einheitliches Bewertungsverfahren zu durchlaufen, um IKT-Produkte wie technologische Komponenten (Chips, Smartcards), Hardware und Software zu zertifizieren. Es schlägt zwei Sicherheitsstufen vor, die sich nach dem Risiko richten, das mit der beabsichtigten Verwendung des Produkts, der Dienstleistung oder des Prozesses verbunden ist, und zwar in Bezug auf die Wahrscheinlichkeit und die Auswirkungen eines Unfalls. Das EUCC ist damit das erste europäische Zertifizierungsschema und wird am 27. Februar 2025 in Geltung treten.[3]
Die ENISA arbeitet derzeit an zwei weiteren Zertifizierungssystemen für Cybersicherheit, EUCS für Cloud-Dienste und EU5G für 5G-Sicherheit.
Novelle 2025: Cybersicherheitszertifizierung für "Verwaltete Sicherheitsdienste"[4] [5]
Mit dem Vorschlag wird eine Begriffsbestimmung für „verwaltete Sicherheitsdienste“ eingeführt, die an die Begriffsbestimmung für „Anbieter verwalteter Sicherheitsdienste“ in der NIS-2-Richtlinie angelehnt ist. Verwaltete Sicherheitsdienste sind Dienste, die in der Durchführung oder Unterstützung von Tätigkeiten im Zusammenhang mit dem Cybersicherheitsrisikomanagement ihrer Kund*innen bestehen (Art. 1 Abs. 2 CSA-N). Außerdem wird ein neuer Artikel 51a über die Sicherheitsziele der europäischen Systeme für die Cybersicherheitszertifizierung eingefügt, die auf verwaltete Sicherheitsdienste abgestimmt sind. Auf dieser Basis kann die EU-Kommission einen delegierten Rechtsakt für ein Zertifizierungsschema für verwaltete Sicherheitsdienste annehmen.
Strafen/sonstige Konsequenzen
Art 65 CSA hält Mitgliedsstaaten an wirksame, verhältnismäßige und abschreckende Sanktionen bei Verstößen gegen EU Cybersicherheitsschemata zu erlassen.
Synergien
CSA
- Der CSA zielt darauf ab, einheitliche Rahmenbedingungen für die Cybersicherheitszertifizierung in der EU zu schaffen, indem er freiwillige Zertifizierungsschemata etabliert. Diese dienen dazu, das Vertrauen in digitale Produkte, Dienstleistungen und Prozesse zu stärken. Die EU-Agentur für Cybersicherheit (ENISA) spielt eine zentrale Rolle bei der Entwicklung dieser Schemata.
CRA
- Der CRA legt Cybersicherheitsanforderungen für Produkte mit digitalen Elementen fest, um ein Mindestmaß an Sicherheit in der gesamten EU zu gewährleisten. Bestimmte Produkte müssen einer verpflichtenden Zertifizierung unterzogen werden.
Vorliegende CSA-Zertifizierungsschemata können in bestimmten Bereichen verwendet werden, um die Einhaltung Anforderungen des CRA zu belegen.
Einzelnachweise
- ↑ https://eur-lex.europa.eu/eli/reg/2025/37/oj
- ↑ https://eur-lex.europa.eu/eli/reg_impl/2024/482/oj
- ↑ https://www.bundeskanzleramt.gv.at/themen/cybersicherheit/nationale-behoerde-fuer-cybersicherheitszertifizierung/common-criteria-eucc.html
- ↑ https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:52023PC0208
- ↑ https://www.consilium.europa.eu/en/press/press-releases/2024/12/02/cybersecurity-package-council-adopts-new-laws-to-strengthen-cybersecurity-capacities-in-the-eu/pdf/
