Cybersecurity Act: ein erstes von Europa ausgesandtes Signal

Cybersecurity Act: endlich ein Europa der Cybersicherheit? I Stormshield

Europa hat mit Unterzeichnung des Cybersecurity Acts vor wenigen Monaten einen neuen Meilenstein in Sachen Cybersicherheit gesetzt und einen gemeinsamen Gesetzesrahmen geschaffen. Verstärkung der Vollmachten der Europäischen Agentur für Netz- und Informationssicherheit (ENISA), europäische Zertifizierung... Was können wir von dieser Regelung erwarten?

Dieser neue Gesetzesrahmen ist strenger als die vorhandenen Abkommen zur gegenseitigen Anerkennung (Common-Criteria-Zertifizierung (CCRA), SOG-IS Abkommen oder die UE Restreint Zertifizierung) und festigt die Position der europäischen Union bei Fragen zur Cybersicherheit. Ihre Mitgliedstaaten können sich so gemeinsam gegen Cyberangriffe wehren, denen sie ausgesetzt sind.

Schaffung der Grundlagen für eine gemeinsame Zukunft für Sicherheit

Zusätzlich zu dem Gewicht, das der Europäischen Agentur für Netz- und Informationssicherheit (ENISA) beigemessen wird, verbessert der Cybersecurity Act das globale Sicherheitsniveau über Europa, indem er die Regeln zur gemeinsamen Zertifizierung festlegt. Ein Unternehmen, das eine Zertifizierung in Italien erhalten hat, kann dieses europäische Label ab jetzt in Frankreich, Spanien oder auch Deutschland geltend machen, ohne weitere Maßnahmen in diesen Ländern ergreifen zu müssen.

Diese Zertifizierungen werden von einem geteilten Referenzwerk mit drei Sicherheitsniveaus begleitet: grundlegend, wesentlich und hoch. Diese drei Niveaus zeugen von einer Vertrauensdimension gegenüber Informatiklösungen oder -dienstleistungen und insbesondere von vernetzten Objekten, unabhängig davon, ob sie für die breite Öffentlichkeit bestimmt oder eher technischer Art sind (zum Beispiel vernetzte medizinische Geräte).

Zwischen Informatiklösungen und Sicherheitslösungen unterscheiden

Im Vergleich dazu beziehen sich die nationalen Zertifizierungen – vom Typ ANSSI in Frankreich – auf das Vertrauensniveau gegenüber den Lösungen für Cybersicherheit, wie für Chipkarten, digitale Zertifikate oder andere Produkte für Cybersicherheit. Die Nuancierung zwischen Informatiklösung und Lösungen für Cybersicherheit ist fundamental. Da die europäischen Zertifizierungen für ein größeres Ausmaß als allein die Cybersicherheit angelegt wurden, ist ihr Schutzniveau zwangsweise niedriger. Was logischerweise heute für Vorbehalte sorgt.

In Frankreich, dem Land mit der antreibenden Kraft in Sachen digitale Sicherheit, hängt die größte Angst damit zusammen, dass das höchste Niveau der europäischen Zertifizierungen den niedrigstem Niveau der französischen Zertifizierungen entspräche. Eine Vagheit, die ein reelles Risiko für die Cybersicherheit darstellen könnte, indem weniger zuverlässige Lösungen anderen vorgezogen werden könnten. Um sich davor zu schützen, könnte jedes Land der europäischen Union die souveränen nationalen Niveaus parallel zu der europäischen Zertifizierung aufrechterhalten. Insbesondere hält Frankreich mit Hilfe von ANSSI über diese Zertifizierungen hinaus seine eigenen Qualifikationsniveaus aufrecht (grundlegend, normal, erweitert), die gefordert werden, um in kritischen nationalen Infrastrukturen wie dem OIV operieren zu können. Zusammenfassend kann gesagt werden, dass die von ANSSI qualifizierten Lösungen – wie die von Stormshield – bereits einem höheren Zertifizierungsniveau als der europäische Anspruch entsprechen oder gleichwertig sind.

Wenn auch noch einige Details im Zusammenhang mit der Umsetzung des Cybersecurity Act verfeinert werden müssen, ist diese Regelung jedoch bereits ein gutes Signal für die europäische Cybersicherheit. Diese Rechtsvorschrift ermöglicht, - über eine kurzfristige Harmonisierung hinausgehend - eine stärker gesicherte digitale Zukunft zu schaffen.

Teilen auf

Europäische und nationale Zertifizierungen, spezifische Regelungen: Es ist nicht einfach, sich hier zurechtzufinden. Wir haben für einen klareren Überblick einen Leitfaden mit einem besonderen Eintrag für Ihren Tätigkeitsbereich ausgearbeitet.
Es unterscheidet verschiedene Typen der Kennzeichnung: „Certification Critères Communs“ (Common-Criteria-Zertifizierung), „Certification de Sécurité de Premier Niveau“ (CSPN, Sicherheitszertifizierung der höchsten Stufe) und Qualifikation, die wiederum in die Stufen „Elémentaire“ (grundlegend), „Standard“ (normal) und „Renforcée“ (erweitert) unterteilt wird. Wie kann man sich da zurechtfinden?

Über den Autor

mm
Stéphane Prevost
Product Marketing Manager, Stormshield

Nachdem er mehr als 10 Jahre Erfahrung im Bereich IT und F&E gesammelt hat, kam Stéphane im März 2008 als Produktmanager zu Stormshield. Mit dieser doppelten Qualifikation in der Cybersicherheit und im Produktmarketing trägt er nun als Product Marketing Manager zur Förderung der Stormshield-Produkte bei. Seine Neugier, seine Kreativität und seine Erfahrung fördern die Verbreitung und Erschaffung von schlagkräftigen Botschaften für die Sicherheitsprodukte.