Cyber Security Act (CSA): Unterschied zwischen den Versionen

Aus RI Wiki
Zur Navigation springenZur Suche springen
← Zum vorherigen VersionsunterschiedZum nächsten Versionsunterschied →
VisuellWikitext
Jhospes (Diskussion | Beiträge)
110 Bearbeitungen
Jhospes (Diskussion | Beiträge)
110 Bearbeitungen
Zeile 22: Zeile 22:


===== European Common Criteria-based cybersecurity certification (EuCC) =====
===== European Common Criteria-based cybersecurity certification (EuCC) =====
Die Europäische Kommission hat im Jänner 2024 die Durchführungsverordnung für das EU-Zertifizierungssystem für Cybersicherheit nach Common Criteria (EUCC) angenommen.<ref>https://eur-lex.europa.eu/eli/reg_impl/2024/482/oj</ref> Das EUCC-System basiert auf Freiwilligkeit und ermöglicht es IKT-Anbietern, die einen Zuverlässigkeitsnachweis erbringen wollen, ein EU-weit einheitliches Bewertungsverfahren zu durchlaufen, um IKT-Produkte wie technologische Komponenten (Chips, Smartcards), Hardware und Software zu zertifizieren. Es schlägt zwei Sicherheitsstufen vor, die sich nach dem Risiko richten, das mit der beabsichtigten Verwendung des Produkts, der Dienstleistung oder des Prozesses verbunden ist, und zwar in Bezug auf die Wahrscheinlichkeit und die Auswirkungen eines Unfalls.
Die Europäische Kommission hat im Jänner 2024 die Durchführungsverordnung für das EU-Zertifizierungssystem für Cybersicherheit nach Common Criteria (EUCC) angenommen,<ref>https://eur-lex.europa.eu/eli/reg_impl/2024/482/oj</ref> welcher auf dem [https://www.sogis.eu/ SO-GIS] schema basiert. Das EUCC-System basiert auf Freiwilligkeit und ermöglicht es IKT-Anbietern, die einen Zuverlässigkeitsnachweis erbringen wollen, ein EU-weit einheitliches Bewertungsverfahren zu durchlaufen, um IKT-Produkte wie technologische Komponenten (Chips, Smartcards), Hardware und Software zu zertifizieren. Es schlägt zwei Sicherheitsstufen vor, die sich nach dem Risiko richten, das mit der beabsichtigten Verwendung des Produkts, der Dienstleistung oder des Prozesses verbunden ist, und zwar in Bezug auf die Wahrscheinlichkeit und die Auswirkungen eines Unfalls. Das EUCC ist damit das erste europäische Zertifizierungsschema und wird am 27. Februar 2025 in Geltung treten.<ref>https://www.bundeskanzleramt.gv.at/themen/cybersicherheit/nationale-behoerde-fuer-cybersicherheitszertifizierung/common-criteria-eucc.html</ref>


Die ENISA arbeitet derzeit an zwei weiteren Zertifizierungssystemen für Cybersicherheit, [https://www.enisa.europa.eu/publications/eucs-cloud-service-scheme EUCS für Cloud-Dienste] und [https://www.enisa.europa.eu/topics/critical-information-infrastructures-and-services/telecoms/5g EU5G] für 5G-Sicherheit.  
Die ENISA arbeitet derzeit an zwei weiteren Zertifizierungssystemen für Cybersicherheit, [https://www.enisa.europa.eu/publications/eucs-cloud-service-scheme EUCS für Cloud-Dienste] und [https://www.enisa.europa.eu/topics/critical-information-infrastructures-and-services/telecoms/5g EU5G] für 5G-Sicherheit.  


==== Novelle 2023: Cybersicherheitszertifizierung für "Verwaltete Sicherheitsdienste"<ref>https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:52023PC0208</ref> ====
==== Novelle 2023: Cybersicherheitszertifizierung für "Verwaltete Sicherheitsdienste"<ref>https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:52023PC0208</ref> ====
Verwaltete Sicherheitsdienste (Dienste, die in der Durchführung oder Unterstützung von Tätigkeiten im Zusammenhang mit dem Cybersicherheitsrisikomanagement ihrer Kunden bestehen)
Mit dem Vorschlag wird eine Begriffsbestimmung für „verwaltete Sicherheitsdienste“ eingeführt, die an die Begriffsbestimmung für „Anbieter verwalteter Sicherheitsdienste“ in der NIS-2-Richtlinie angelehnt ist. Verwaltete Sicherheitsdienste sind Dienste, die in der Durchführung oder Unterstützung von Tätigkeiten im Zusammenhang mit dem Cybersicherheitsrisikomanagement ihrer Kunden bestehen. (Art. 1 Abs. 2 CSA-N) Außerdem wird ein neuer Artikel 51a über die Sicherheitsziele der europäischen Systeme für die Cybersicherheitszertifizierung eingefügt, die auf verwaltete Sicherheitsdienste abgestimmt sind. Auf dieser Basis kann die EU-Kommission einen delegierten Rechtsakt für ein Zertifizierungsschema für verwaltete Sicherheitsdienste annehmen.


== Bedeutung von Normen und Standards ==
== Bedeutung von Normen und Standards ==
Zeile 35: Zeile 35:
== Verhältnis und Synergien zu anderen Rechtsakten ==
== Verhältnis und Synergien zu anderen Rechtsakten ==


== Weiterführende Literatur ==
== Belege ==

Version vom 15. Oktober 2024, 11:36 Uhr

Langtitel: Verordnung (EU) 2019/881 des Europäischen Parlaments und des Rates vom 17. April 2019 über die ENISA (Agentur der Europäischen Union für Cybersicherheit) und über die Zertifizierung der Cybersicherheit von Informations- und Kommunikationstechnik und zur Aufhebung der Verordnung (EU) 526/2013 (CSA)

Kurztitel: Rechtsakt zur Cybersicherheit

Änderungsvorschlag: Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates zur Änderung der Verordnung (EU) 2019/881 im Hinblick auf verwaltete Sicherheitsdienste, COM(2023) 208 final (CSA-N)

Einführung

Jahr 2019 wurde die Verordnung (EU) 2019/881 („Cybersecurity Act“) verabschiedet.

Rolle und Kompetenzen der Europäischen Agentur für Netz- und Informationssicherheit (ENISA): (Artikel 4-45 CSA):

  • Die ENISA erhält ein dauerhaftes Mandat als Kompetenzzentrum für Cybersicherheit in der EU.
  • Ihre Aufgaben umfassen nun Beratung, Unterstützung und Förderung der EU-Politik im Bereich Cybersicherheit.
  • Sie soll Stellungnahmen abgeben, Leitlinien herausgeben und zu Themen wie Risikomanagement und Meldung von Sicherheitsvorfällen beraten

Einführung eines EU-weiten Zertifizierungssystems (Artikel 46-65 CSA)

Der zweite Kernbereich ist die Schaffung eines einheitlichen Zertifizierungsrahmens für Cybersicherheit:

  • Es wird ein EU-weites Zertifizierungssystem für Produkte, Dienstleistungen und Prozesse der Informations- und Kommunikationstechnologie eingeführt.
  • Die ENISA ist für den Aufbau und die Pflege dieses Zertifizierungsrahmens zuständig.
  • Das System legt einheitliche Anforderungen und Bewertungskriterien für Cybersicherheit in der gesamten EU fest.
  • Zertifikate bescheinigen die Erfüllung bestimmter Sicherheitsanforderungen und stufen die Vertrauenswürdigkeit als "niedrig", "mittel" oder "hoch" ein.
European Common Criteria-based cybersecurity certification (EuCC)

Die Europäische Kommission hat im Jänner 2024 die Durchführungsverordnung für das EU-Zertifizierungssystem für Cybersicherheit nach Common Criteria (EUCC) angenommen,[1] welcher auf dem SO-GIS schema basiert. Das EUCC-System basiert auf Freiwilligkeit und ermöglicht es IKT-Anbietern, die einen Zuverlässigkeitsnachweis erbringen wollen, ein EU-weit einheitliches Bewertungsverfahren zu durchlaufen, um IKT-Produkte wie technologische Komponenten (Chips, Smartcards), Hardware und Software zu zertifizieren. Es schlägt zwei Sicherheitsstufen vor, die sich nach dem Risiko richten, das mit der beabsichtigten Verwendung des Produkts, der Dienstleistung oder des Prozesses verbunden ist, und zwar in Bezug auf die Wahrscheinlichkeit und die Auswirkungen eines Unfalls. Das EUCC ist damit das erste europäische Zertifizierungsschema und wird am 27. Februar 2025 in Geltung treten.[2]

Die ENISA arbeitet derzeit an zwei weiteren Zertifizierungssystemen für Cybersicherheit, EUCS für Cloud-Dienste und EU5G für 5G-Sicherheit.

Novelle 2023: Cybersicherheitszertifizierung für "Verwaltete Sicherheitsdienste"[3]

Mit dem Vorschlag wird eine Begriffsbestimmung für „verwaltete Sicherheitsdienste“ eingeführt, die an die Begriffsbestimmung für „Anbieter verwalteter Sicherheitsdienste“ in der NIS-2-Richtlinie angelehnt ist. Verwaltete Sicherheitsdienste sind Dienste, die in der Durchführung oder Unterstützung von Tätigkeiten im Zusammenhang mit dem Cybersicherheitsrisikomanagement ihrer Kunden bestehen. (Art. 1 Abs. 2 CSA-N) Außerdem wird ein neuer Artikel 51a über die Sicherheitsziele der europäischen Systeme für die Cybersicherheitszertifizierung eingefügt, die auf verwaltete Sicherheitsdienste abgestimmt sind. Auf dieser Basis kann die EU-Kommission einen delegierten Rechtsakt für ein Zertifizierungsschema für verwaltete Sicherheitsdienste annehmen.

Bedeutung von Normen und Standards

Strafen/sonstige Konsequenzen

Verhältnis und Synergien zu anderen Rechtsakten

Belege

  1. https://eur-lex.europa.eu/eli/reg_impl/2024/482/oj
  2. https://www.bundeskanzleramt.gv.at/themen/cybersicherheit/nationale-behoerde-fuer-cybersicherheitszertifizierung/common-criteria-eucc.html
  3. https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:52023PC0208
Abgerufen von „https://wiki.atlaws.eu/index.php?title=Cyber_Security_Act_(CSA)&oldid=839