VdTÜV-Position zum Verordnungsentwurf eines europäischen „Cybersecurity Acts“

Im Rahmen der europäischen Cybersicherheitsstrategie 2017 hat die Europäische Kommission im September 2017 den Entwurf einer Verordnung zur "EU Cybersecurity Agency" und zum „Cybersecurity Act“ veröffentlicht. VdTÜV e.V. befürwortet in seinem Positionspapier das verfolgte Ziel, durch einen einheitlichen europäischen Rahmen für die Zertifizierung von IoT-Produkten das Vertrauen in die Sicherheit von Produkten zu stärken und ein erhöhtes Cybersicherheitsniveau zu erzielen.
IT IKT Cyber Cybersecurity Internet
© NicoElNino - fotolia.com

VdTÜV begrüßt, dass die Gesetzgebungsinitiative in weiten Teilen dem "New Legislative Framework" entspricht. Nur ein beständiger europäischer Zertifizierungsrahmen ermöglicht, dass Produkte und Dienste bereits vor Markteintritt und während des gesamten Produktlebenszyklus sicher bleiben. Dies schafft Vertrauen in internetbasierte Produkte und Dienstleistungen. Dennoch trägt der vorliegende Verordnungsentwurf der nachhaltigen Bedeutung sicherer IoT-Geräte nur unzureichend Rechnung und bedarf Nachjustierungen.

Produkte, Dienste, Prozesse und Systeme, die ein hohes Risiko aufweisen, müssen einer verpflichtenden Überprüfung unterliegen. Zur Gewährleistung der Qualität der Prüfung und Zertifizierung dürfen ausschließlich akkreditierte Drittstellen zuständig sein. Die Bewertungsaussage muss dabei stets höchstes Vertrauen verdienen. Sie sollte eindeutig, belastbar und transparent sein. Dabei müssen die zu erfüllenden Standards ein hohes Maß an Vertrauen in die Sicherheit bieten. Dies dient einem effektiven und nachhaltigen Verbraucherschutz.

Da wichtige Funktionen nicht mehr Bestandteil des IoT-Produktes sind (Backend-Systeme), müssen die Prüfungen über eine reine Produktbetrachtung hinausgehen. Um eine Prüfung durchzuführen, benötigen unabhängige Dritte uneingeschränkten Zugriff auf die sicherheitsrelevante Steuerungstechnologie des Produktes oder Dienstes (und ihre Schnittstellen) unter Berücksichtigung hoher Datenschutzstandards.

Positionspapier als Download