Cybersecurity

Der Cybersecurity Act

Unser Leben ist heute verwoben mit digitalen Prozessen und Produkten. Doch so gern wir die Möglichkeiten der Digitalisierung nutzen und genießen, es bleibt ein Risiko: Wie sicher ist diese digitale Welt? Wie lässt sich verhindern, dass Cyberkriminelle etwa Server von Unternehmen, Behörden oder Krankenhäusern lahmlegen, die Kontrolle über Produktionsanlagen übernehmen oder uns abends beim Fernsehen ausspähen? Hier setzt der Cybersecurity Act an. Die Verordnung liefert einen EU-weiten Zertifizierungsrahmen für digitale Produkte und Services. Ziel des Cybersecurity Acts ist es, Vertrauen zu stiften – bei Verbraucher:innen, Unternehmen und Organisationen.

Der Cybersecurity Act ist ein mächtiges Werkzeug. Er ist geeignet, alle zeitgemäßen IT-Sicherheitsvorgaben zu verankern und bietet einen Zertifizierungsrahmen für sichere Produkte und Dienste. Das sorgt für höhere IT-Sicherheit in der Praxis – und entlastet die Politik: Anstatt bestehende sektor- und produktspezifische Regularien um immer neue Sicherheitsanforderungen zu ergänzen, kann sie sich auf die Wirksamkeit des Cybersecurity Acts verlassen und in bestehenden Regelwerken auf ihn verweisen.

Die Matrix der digitalen Sicherheit

Mit dem Cybersecurity Act hat die EU-Kommission komplettes Neuland betreten, solch ein Regelwerk hat es bisher noch nicht gegeben. Auch deshalb wird der neu geschaffene Zertifizierungsrahmen anfangs freiwillig sein. Allerdings kann die EU-Gesetzgebung produktspezifische Sicherheitsvorgaben bei Bedarf auch verbindlich machen. 

Der Cybersecurity Act bietet den Rahmen, um in so genannten Schemes spezifische Sicherheitsvorgaben zu definieren. Dabei können sowohl vertikale Anforderungen für einzelne Branchen oder Anwendungen definiert werden als auch horizontale Anforderungen etwa für spezifische Technologien, etwa für WLAN-Verbindungen.

Der TÜV-Verband in der Stakeholder Cybersecurity Certification Group

Der Cybersecurity Act sieht auch die Gründung eines Expert:innengremiums vor, der Stakeholder Cybersecurity Certification Group (SCCG). Der TÜV-Verband ist als einziger deutscher Verband in diesem Gremium vertreten und bringt seine Expertise ein. „Die hochkarätig besetzte Expertengruppe wird die EU-Kommission und die europäische IT-Sicherheitsagentur ENISA in strategischen Fragen beraten und damit einen wichtigen Beitrag für die Verbesserung der digitalen Sicherheit in der EU leisten“, sagt VdTÜV-Geschäftsführer Dr. Joachim Bühler. „Für einzelne Bereiche wie vernetzte Produkte im Internet der Dinge, Cloud-Infrastrukturen oder Anwendungen mit Künstlicher Intelligenz müssen jetzt einheitliche IT-Sicherheitsanforderungen festgelegt werden.“

Der Cybersecurity Act ist seit dem 27. Juni 2019 in Kraft. Seither gilt es, ihn umzusetzen und mit Leben zu füllen – damit die digitale Welt ein Stück sicherer wird. Im Rahmen der Cybersicherheitsstrategie erwägt die Europäische Kommission, in der zweiten Jahreshälfte 2021 einen Legislativvorschlag für Cybersicherheitsanforderungen an vernetzbare Pro­dukte vorzulegen. Dieses Vorhaben wird vom EU-Ministerrat in seinen Schlussfolgerungen zur Cybersicherheit von vernetzten Geräten vom 2. Dezember 2020 unterstützt. Vor diesem Hintergrund hat der TÜV-Verband ein Gutachten in Auftrag gegeben, um einen rechtlich fundierten Diskussions­beitrag zur Europäischen Cybersicherheitsregulierung zu leisten.

Das Gutachten zum Download

Kurzgutachten von Prof. Spindler zum Verhältnis des CSA zum NLF (März 2021)

Kernaussagen des Gutachtens aus Sicht des TÜV-Verbands (Summary)

Brief Expert Opinion by Prof. Spindler on the Compatibility of the Cybersecurity Act and the New Legislative Framework

Summary of the Expert Opinion by the TÜV-Association

Haben Sie Fragen?

Marc Fliehe

Bereichsleitung Digitalisierung und IT-Sicherheit

+49 30 760095-460

marc.fliehe@vdtuev.de