EU-weite Sicherheitszertifizierungen für IT-Produkte

Die EU bekräftigt das Ziel einer Verordnung zur Cybersicherheit. Im Fokus steht dabei auch ein verbesserter Schutz von Geräten im IoT durch Sicherheitszertifizierungen. Im Oktober 2018 hat der Europäische Rat erneut dazu aufgerufen, Beschlüsse der EU zur Stärkung der IT-Sicherheit zeitnah umzusetzen. Neben der raschen Implementierung der NIS-Richtlinie in den Mitgliedstaaten beabsichtigt die EU insbesondere weiterhin den Erlass einer Verordnung zur Cybersicherheit. Ein Entwurf der Verordnung liegt seit Mai 2018 vor.

Ziel des Verordnungsvorschlages ist neben Ausbau und Stärkung der Europäischen Agentur für Netz- und Informationssicherheit (ENISA) die Einführung eines EU-weiten Zertifizierungsrahmens für die Cybersicherheit.

Unternehmen der IT-Branche sollen so die Möglichkeit zur EU-weiten Sicherheitszertifizierung ihrer IT-Produkte und Dienste erhalten. Vorgesehen sind dafür aktuell sog. Vertrauenswürdigkeitsstufen „niedrig“, „mittel“ oder „hoch“. IT-Produkte mit Vertrauenswürdigkeitsstufe „niedrig“ soll der Hersteller selbst zertifizieren können, für Produkte der Stufen „mittel“ oder „hoch“ kann die Zertifizierung nur durch eine Konformitätsbewertungsstelle oder die nationale Cybersicherheitszertifizierungsstelle erfolgen. Der aktuelle Entwurf sieht die Zertifizierung als nicht verpflichtend, sondern freiwillig vor.

Die Verordnung zur Cybersicherheit soll im Herbst 2018 inhaltlich finalisiert und bis Anfang 2019 beschlossen werden.