TÜV-Verband begrüßt Einigung der EU-Mitgliedstaaten zum Cybersecurity-Act

Künftig soll in Europa die Cybersicherheit großgeschrieben werden. Darauf verständigten sich in dieser Woche die EU-Mitgliedstaaten. Mit der Einigung über den von der Kommission Mitte September 2017 vorgelegten Cyber Certification Act (CCA) könnten die über das Internet vernetzten Produkte und Anlagen künftig besser vor Cyberangriffen geschützt werden. „Dies stärkt das Vertrauen der Nutzer in Produkte, die mit dem Internet verbunden sind, in ihre Widerstandsfähigkeit gegen Hacker-Angriffe. Zugleich wird durch europaweit einheitliche Zertifizierungen von IKT-Produkten der digitale Binnenmarkt gestärkt“, erklärt Marc Fliehe, Leiter Digitales und IT-Sicherheit beim TÜV-Verband in Berlin.
Cyber Security Act Cyber IT
Photo FancyCrave by Unsplash

Einen Meilenstein für die Cybersicherheit sieht der TÜV-Verband in der Einführung eines Zertifizierungssystems für IKT-Produkte. „Damit ist die Ratsposition eine wesentliche Verbesserung gegenüber dem ursprünglichen Kommissionsvorschlag“, so Fliehe. Die EU-Mitgliedstaaten schaffen insbesondere Klarheit in der Diskussion um die Möglichkeit einer „Selbstzertifizierung“ durch Hersteller und Betreiber. Sie geben den Herstellern zwar die Möglichkeit ihre Produkte selbst zu bewerten, grenzen dieses Verfahren von einer eigentlichen Zertifizierung durch unabhängige Stellen aber präzise ab. Die Möglichkeit der Selbstbewertung soll nur für IKT-Produkte und Dienstleistungen “eines niedrigen Risikos (Vertrauenswürdigkeitsstufe "gering")“ erlaubt sein. Eine europäische Cybersicherheits-Zertifizierung bei Vertrauenswürdigkeitsstufen “mittel” und “hoch” soll jedoch unabhängigen Stellen vorbehalten sein. „Damit setzt der Rat den risikobasierten Ansatz konsequent um, so wie er nach den New Approach Prinzipien in Europa für alle Produkte gilt“, erläutert Fliehe.

Der Europäische Rat wird nach der Abstimmung im Parlament Mitte Juni zusammen mit der EU-Kommission im „Trilogverfahren“ den Verordnungsvorschlag weiter verhandeln. Ziel ist, bis Ende des Jahres eine Einigung aller EU-Institutionen zu erreichen, damit der Cybersecurity Act noch vor den Europawahlen im Mai 2019 angenommen wird.