Cyber Security Act (CSA)
Kurztitel: Rechtsakt zur Cybersicherheit
Änderungsvorschlag: Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates zur Änderung der Verordnung (EU) 2019/881 im Hinblick auf verwaltete Sicherheitsdienste, COM(2023) 208 final (CSA-N)
Einführung
Jahr 2019 wurde die Verordnung (EU) 2019/881 („Cybersecurity Act“) verabschiedet.
Rolle und Kompetenzen der Europäischen Agentur für Netz- und Informationssicherheit (ENISA): (Artikel 4-45 CSA):
- Die ENISA erhält ein dauerhaftes Mandat als Kompetenzzentrum für Cybersicherheit in der EU.
- Ihre Aufgaben umfassen nun Beratung, Unterstützung und Förderung der EU-Politik im Bereich Cybersicherheit.
- Sie soll Stellungnahmen abgeben, Leitlinien herausgeben und zu Themen wie Risikomanagement und Meldung von Sicherheitsvorfällen beraten
Einführung eines EU-weiten Zertifizierungssystems (Artikel 46-65 CSA)
Der zweite Kernbereich ist die Schaffung eines einheitlichen Zertifizierungsrahmens für Cybersicherheit:
- Es wird ein EU-weites Zertifizierungssystem für Produkte, Dienstleistungen und Prozesse der Informations- und Kommunikationstechnologie eingeführt.
- Die ENISA ist für den Aufbau und die Pflege dieses Zertifizierungsrahmens zuständig.
- Das System legt einheitliche Anforderungen und Bewertungskriterien für Cybersicherheit in der gesamten EU fest.
- Zertifikate bescheinigen die Erfüllung bestimmter Sicherheitsanforderungen und stufen die Vertrauenswürdigkeit als "niedrig", "mittel" oder "hoch" ein.
European Common Criteria-based cybersecurity certification (EuCC)
Die Europäische Kommission hat im Jänner 2024 die Durchführungsverordnung für das EU-Zertifizierungssystem für Cybersicherheit nach Common Criteria (EUCC) angenommen,[1] welcher auf dem SO-GIS schema basiert. Das EUCC-System basiert auf Freiwilligkeit und ermöglicht es IKT-Anbietern, die einen Zuverlässigkeitsnachweis erbringen wollen, ein EU-weit einheitliches Bewertungsverfahren zu durchlaufen, um IKT-Produkte wie technologische Komponenten (Chips, Smartcards), Hardware und Software zu zertifizieren. Es schlägt zwei Sicherheitsstufen vor, die sich nach dem Risiko richten, das mit der beabsichtigten Verwendung des Produkts, der Dienstleistung oder des Prozesses verbunden ist, und zwar in Bezug auf die Wahrscheinlichkeit und die Auswirkungen eines Unfalls. Das EUCC ist damit das erste europäische Zertifizierungsschema und wird am 27. Februar 2025 in Geltung treten.[2]
Die ENISA arbeitet derzeit an zwei weiteren Zertifizierungssystemen für Cybersicherheit, EUCS für Cloud-Dienste und EU5G für 5G-Sicherheit.
Novelle 2023: Cybersicherheitszertifizierung für "Verwaltete Sicherheitsdienste"[3]
Mit dem Vorschlag wird eine Begriffsbestimmung für „verwaltete Sicherheitsdienste“ eingeführt, die an die Begriffsbestimmung für „Anbieter verwalteter Sicherheitsdienste“ in der NIS-2-Richtlinie angelehnt ist. Verwaltete Sicherheitsdienste sind Dienste, die in der Durchführung oder Unterstützung von Tätigkeiten im Zusammenhang mit dem Cybersicherheitsrisikomanagement ihrer Kunden bestehen. (Art. 1 Abs. 2 CSA-N) Außerdem wird ein neuer Artikel 51a über die Sicherheitsziele der europäischen Systeme für die Cybersicherheitszertifizierung eingefügt, die auf verwaltete Sicherheitsdienste abgestimmt sind. Auf dieser Basis kann die EU-Kommission einen delegierten Rechtsakt für ein Zertifizierungsschema für verwaltete Sicherheitsdienste annehmen.
Strafen/sonstige Konsequenzen
Art 65 CSA hält Mitgliedsstaaten an wirksame, verhältnismäßige und abschreckende Sanktionen bei Verstößen gegen EU Cybersicherheitsschemate zu erlassen.
