Cyber Security Act (CSA): Unterschied zwischen den Versionen
Aus RI Wiki
Zur Navigation springenZur Suche springen
| Zeile 1: | Zeile 1: | ||
'''Langtitel''': [https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32019R0881 Verordnung (EU) 2019/881 des Europäischen Parlaments und des Rates vom 17. April 2019 über die ENISA (Agentur der Europäischen Union für Cybersicherheit) und über die Zertifizierung der Cybersicherheit von Informations- und Kommunikationstechnik und zur Aufhebung der Verordnung (EU) 526/2013] | '''Langtitel''': [https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32019R0881 Verordnung (EU) 2019/881 des Europäischen Parlaments und des Rates vom 17. April 2019 über die ENISA (Agentur der Europäischen Union für Cybersicherheit) und über die Zertifizierung der Cybersicherheit von Informations- und Kommunikationstechnik und zur Aufhebung der Verordnung (EU) 526/2013] (CSA) | ||
'''Kurztitel''': Rechtsakt zur Cybersicherheit | '''Kurztitel''': Rechtsakt zur Cybersicherheit | ||
'''Änderungsvorschlag''': [https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A52023PC0208 Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates zur Änderung der Verordnung (EU) 2019/881 im Hinblick auf verwaltete Sicherheitsdienste, COM(2023) 208 final] | '''Änderungsvorschlag''': [https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A52023PC0208 Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates zur Änderung der Verordnung (EU) 2019/881 im Hinblick auf verwaltete Sicherheitsdienste, COM(2023) 208 final] (CSA-N) | ||
== Einführung == | == Einführung == | ||
Jahr 2019 wurde die Verordnung (EU) 2019/881 („Cybersecurity Act“) verabschiedet. | Jahr 2019 wurde die Verordnung (EU) 2019/881 („Cybersecurity Act“) verabschiedet. | ||
==== Rolle und Kompetenzen der Europäischen Agentur für Netz- und Informationssicherheit ([https://www.enisa.europa.eu/ ENISA):] (Artikel 4-45 CSA): ==== | |||
* Die ENISA erhält ein dauerhaftes Mandat als Kompetenzzentrum für Cybersicherheit in der EU. | * Die ENISA erhält ein dauerhaftes Mandat als Kompetenzzentrum für Cybersicherheit in der EU. | ||
* Ihre Aufgaben umfassen nun Beratung, Unterstützung und Förderung der EU-Politik im Bereich Cybersicherheit. | * Ihre Aufgaben umfassen nun Beratung, Unterstützung und Förderung der EU-Politik im Bereich Cybersicherheit. | ||
* Sie soll Stellungnahmen abgeben, Leitlinien herausgeben und zu Themen wie Risikomanagement und Meldung von Sicherheitsvorfällen beraten | * Sie soll Stellungnahmen abgeben, Leitlinien herausgeben und zu Themen wie Risikomanagement und Meldung von Sicherheitsvorfällen beraten | ||
==== Einführung eines EU-weiten Zertifizierungssystems (Artikel 46-65 CSA) ==== | |||
Der zweite Kernbereich ist die Schaffung eines einheitlichen Zertifizierungsrahmens für Cybersicherheit: | Der zweite Kernbereich ist die Schaffung eines einheitlichen Zertifizierungsrahmens für Cybersicherheit: | ||
| Zeile 22: | Zeile 21: | ||
* Zertifikate bescheinigen die Erfüllung bestimmter Sicherheitsanforderungen und stufen die Vertrauenswürdigkeit als "niedrig", "mittel" oder "hoch" ein. | * Zertifikate bescheinigen die Erfüllung bestimmter Sicherheitsanforderungen und stufen die Vertrauenswürdigkeit als "niedrig", "mittel" oder "hoch" ein. | ||
== | ===== European Common Criteria-based cybersecurity certification (EuCC) ===== | ||
Die Europäische Kommission hat im Jänner 2024 die Durchführungsverordnung für das EU-Zertifizierungssystem für Cybersicherheit nach Common Criteria (EUCC) angenommen.<ref>https://eur-lex.europa.eu/eli/reg_impl/2024/482/oj</ref> Das EUCC-System basiert auf Freiwilligkeit und ermöglicht es IKT-Anbietern, die einen Zuverlässigkeitsnachweis erbringen wollen, ein EU-weit einheitliches Bewertungsverfahren zu durchlaufen, um IKT-Produkte wie technologische Komponenten (Chips, Smartcards), Hardware und Software zu zertifizieren. Es schlägt zwei Sicherheitsstufen vor, die sich nach dem Risiko richten, das mit der beabsichtigten Verwendung des Produkts, der Dienstleistung oder des Prozesses verbunden ist, und zwar in Bezug auf die Wahrscheinlichkeit und die Auswirkungen eines Unfalls. | |||
Die ENISA arbeitet derzeit an zwei weiteren Zertifizierungssystemen für Cybersicherheit, [https://www.enisa.europa.eu/publications/eucs-cloud-service-scheme EUCS für Cloud-Dienste] und [https://www.enisa.europa.eu/topics/critical-information-infrastructures-and-services/telecoms/5g EU5G] für 5G-Sicherheit. | |||
==== Novelle 2023: Cybersicherheitszertifizierung für "Verwaltete Sicherheitsdienste"<ref>https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:52023PC0208</ref> ==== | |||
Verwaltete Sicherheitsdienste (Dienste, die in der Durchführung oder Unterstützung von Tätigkeiten im Zusammenhang mit dem Cybersicherheitsrisikomanagement ihrer Kunden bestehen) | |||
== Bedeutung von Normen und Standards == | == Bedeutung von Normen und Standards == | ||
Version vom 15. Oktober 2024, 11:10 Uhr
Kurztitel: Rechtsakt zur Cybersicherheit
Änderungsvorschlag: Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates zur Änderung der Verordnung (EU) 2019/881 im Hinblick auf verwaltete Sicherheitsdienste, COM(2023) 208 final (CSA-N)
Einführung
Jahr 2019 wurde die Verordnung (EU) 2019/881 („Cybersecurity Act“) verabschiedet.
Rolle und Kompetenzen der Europäischen Agentur für Netz- und Informationssicherheit (ENISA): (Artikel 4-45 CSA):
- Die ENISA erhält ein dauerhaftes Mandat als Kompetenzzentrum für Cybersicherheit in der EU.
- Ihre Aufgaben umfassen nun Beratung, Unterstützung und Förderung der EU-Politik im Bereich Cybersicherheit.
- Sie soll Stellungnahmen abgeben, Leitlinien herausgeben und zu Themen wie Risikomanagement und Meldung von Sicherheitsvorfällen beraten
Einführung eines EU-weiten Zertifizierungssystems (Artikel 46-65 CSA)
Der zweite Kernbereich ist die Schaffung eines einheitlichen Zertifizierungsrahmens für Cybersicherheit:
- Es wird ein EU-weites Zertifizierungssystem für Produkte, Dienstleistungen und Prozesse der Informations- und Kommunikationstechnologie eingeführt.
- Die ENISA ist für den Aufbau und die Pflege dieses Zertifizierungsrahmens zuständig.
- Das System legt einheitliche Anforderungen und Bewertungskriterien für Cybersicherheit in der gesamten EU fest.
- Zertifikate bescheinigen die Erfüllung bestimmter Sicherheitsanforderungen und stufen die Vertrauenswürdigkeit als "niedrig", "mittel" oder "hoch" ein.
European Common Criteria-based cybersecurity certification (EuCC)
Die Europäische Kommission hat im Jänner 2024 die Durchführungsverordnung für das EU-Zertifizierungssystem für Cybersicherheit nach Common Criteria (EUCC) angenommen.[1] Das EUCC-System basiert auf Freiwilligkeit und ermöglicht es IKT-Anbietern, die einen Zuverlässigkeitsnachweis erbringen wollen, ein EU-weit einheitliches Bewertungsverfahren zu durchlaufen, um IKT-Produkte wie technologische Komponenten (Chips, Smartcards), Hardware und Software zu zertifizieren. Es schlägt zwei Sicherheitsstufen vor, die sich nach dem Risiko richten, das mit der beabsichtigten Verwendung des Produkts, der Dienstleistung oder des Prozesses verbunden ist, und zwar in Bezug auf die Wahrscheinlichkeit und die Auswirkungen eines Unfalls.
Die ENISA arbeitet derzeit an zwei weiteren Zertifizierungssystemen für Cybersicherheit, EUCS für Cloud-Dienste und EU5G für 5G-Sicherheit.
Novelle 2023: Cybersicherheitszertifizierung für "Verwaltete Sicherheitsdienste"[2]
Verwaltete Sicherheitsdienste (Dienste, die in der Durchführung oder Unterstützung von Tätigkeiten im Zusammenhang mit dem Cybersicherheitsrisikomanagement ihrer Kunden bestehen)
