Als Leiterin Regierungsbeziehungen bei DIN steht Sibylle Gabler in engem Austausch mit politischen Stakeholdern in Deutschland und Europa.
© DIN

Die Verordnung zu Cybersicherheit regelt freiwillige Zertifizierung

Der Rechtsakt zur Cybersicherheit ist Teil eines Maßnahmenpaketes, welche die Europäische Kommission 2017 vorgelegt hat, um Mitgliedstaaten besser bei der Bewältigung von Bedrohungen und Angriffen im Cyberspace zu unterstützen. Der so genannte Cybersecurity Act (CSA) schafft einen Rahmen für freiwillige Zertifizierungen. Das Europäische Parlament, der Rat und die Europäische Kommission haben im Dezember 2018 eine politische Einigung über den Rechtsakt zur Cybersicherheit erzielt, der im März vom Parlament angenommen wurde. Der CSA soll im Mai 2019 in Kraft treten.

Der Europäische Gesetzgeber verspricht sich von den Regelungen, dass

• Verbraucher Geräten des Internets der Dinge besser vertrauen können,
• Unternehmen durch einen einheitlichen Zertifizierungsrahmen und eine Anlaufstelle Kosten einsparen, weil sie nicht Zertifikate in mehreren Ländern beantragen müssen,
• Anreize für Unternehmen geschaffen werden, in die Cybersicherheit ihrer Produkte zu investieren.

Der Rechtsakt zur Cybersicherheit beinhaltet im Wesentlichen ein dauerhaftes Mandat für die EU-Cybersicherheitsagentur (ENISA), eine Aufstockung der Mittel der auf Kreta ansässigen Agentur, eine größere Rolle bei der europaweiten Zusammenarbeit und Koordinierung sowie einen Rahmen für die Zertifizierung der Cybersicherheit. Eine der Aufgaben von ENISA wird die Entwicklung von Schemata für die Cybersicherheitszertifizierung sein, deren Elemente in der Verordnung beschrieben werden.

International sicher durch Standards: 

Cybersicherheit ist für die Normung kein neues Thema. Bei ISO und IEC werden unter starker deutschen Beteiligung grundlegende Normenreihen gepflegt, so beispielsweise die ISO/IEC 27000 Reihe für „Informationssicherheit-Managementsysteme“, ISO 15408 „Evaluationskriterien für IT-Sicherheit", IEC 62443 „IT-Sicherheit für industrielle Automatisierungssysteme“. Weil internationale Normen für die Informationssicherheit sowie für die Konformitätsbewertung bereits erfolgreich angewendet werden und Cybersicherheit ein globales Thema ist, hatte sich DIN dafür eingesetzt, dass die europäische Verordnung für Cybersicherheit internationale Normen den zu erarbeitenden Zertifizierungsschemata zugrunde legt. In Übereinstimmung mit dem zweiten Ziel der Deutschen Normungsstrategie haben wir uns außerdem dafür ausgesprochen, dass im Bereich Cybersecurity kein neues System entwickelt wird, sondern die Vorteile des Regulierungsmodells „Neuer Rechtsrahmen“ auch hier genutzt wird und bei fehlenden Normen seitens der Europäischen Kommission ein Normungsauftrag ausgelöst werden kann. Mit der Gründung des gemeinsamen Technischen Komittees 13 von CEN und Cenelec „Cybersicherheit und Datenschutz“ wurde eine Struktur geschaffen, um unter Berücksichtigung der europäischen Gesetzgebung, internationale Normen in Europa zu übernehmen und eventuelle Normungsaufträge zu bearbeiten.

Was sieht der Cybersecurity Act bei Normen vor?

Aus dem CSA ist nun keine Verordnung innerhalb des Neuen Rechtsrahmens geworden. Er beschränkt sich auf die Schaffung eines Rahmens für die freiwillige Zertifizierung von Cybersicherheit anhand verschiedener Schemata, die sich auf die so genannten Vertrauenswürdigkeitsstufen „niedrig“, „mittel“, „hoch“ beziehen. Allerdings finden sich in Bezug auf Normung durchaus einige Elemente des Neuen Rechtsrahmens in der Verordnung:

• ENISA soll die Normungsorganisationen, insbesondere die europäischen Normungsorganisationen, bei der Entwicklung der Zertifizierungsschemata konsultieren (Erwägungsgrund 53);
• Es soll eine Stakeholder Cybersecurity Certification Group und eine Advisory Group zur Unterstützung und Beratung der Cybersicherheits-Behörde gebildet werden, in denen Repräsentanten der europäischen und der internationalen Normungsorganisationen eingebunden sein sollen;
• In den Zertifizierungsschemata sollen sich auf europäische und internationale Normen stützen (Erwägungsgrund 69)
• Bei Fehlen geeigneter Normen, sollen auch technische Spezifikationen herangezogen werden können (Erwägungsgrund 75)
• Normungsaufträge der Europäischen Kommission sollen das rollierende Arbeitsprogramm für Cybersicherheitszertifizierungssysteme berücksichtigen. (84)
• Wenn im Gesetzestext von einer „Norm“ die Rede ist, dann sind damit Dokumente gemeint, die von den Normungsorganisationen angenommen worden sind (Artikel 2 (19)).

Aus Normungssicht am interessantesten ist Artikel 54 c) der Verordnung, welcher die Bestandteile der Zertifizierungssysteme aufzeigt: Eine Bezugnahme von internationalen, Europäischen sowie nationalen Normen ist ausdrücklich gefordert. Sollte es im Normungsangebot Lücken geben, sind auch technische Spezifikationen im Sinne ihrer Definition laut Normungsverordnung referenzierbar und zuletzt „technische Spezifikationen und andere Cybersicherheitsanforderungen.“

Dieser Artikel ist aus Sicht der Normungsorganisationen einerseits sehr begrüßenswert, weil er die Forderung aufnimmt, internationale und europäische Normen den Systemen zugrunde zu legen, lässt aber leider unnötigen Interpretationsspielraum, die technischen Spezifikationen betreffend. Besser wäre es gewesen, hier die Beauftragung von Europäischen Normen seitens der Kommission zu avisieren, falls notwendige Normen nicht bereits vorhanden sind.

ENISA hat noch viele Fragen

Das der CSA in seiner Ausgestaltung Interpretationsspielräume lässt, zeigen die Fragen, die von der ENISA-Leitungsebene im Rahmen verschiedener Veranstaltungen aufgeworfen werden:

• Wer entscheidet darüber, welche Norm zur Anwendung kommt?
• Wie gehen wir mit widersprüchlichen Normen um?
• Was tun wir, wenn keine passenden Normen vorhanden sind?
• Mit welchen Standardisierungsgremien arbeiten wir zusammen?
• Stimmen die Zeitabläufe des Normungsprozesses und des Zertifizierungsprozesses übereinander?“

Innerhalb der Zusammenarbeit mit den europäischen und internationalen Normungsorganisationen können diese Fragen im Wesentlichen beantwortet werden:

Internationale Normen sollten den Vorrang haben, außer dort, wo europäische Gesetzgebung die Erarbeitung rein europäischer Normen notwendig macht. Europäische Normen sowie internationale Normen von ISO/IEC haben den großen Vorteil untereinander kohärent zu sein und nicht widersprüchlich. Bei fehlenden Normen sollten die Normungsorganisationen frühzeitig mit einem Normungsauftrag bedacht werden, um schnellstmöglich Europäische Normen zu erarbeiten. Je früher dies geschieht, desto eher können die erarbeiteten Normen für die Zertifizierungsprozesse zur Verfügung stehen.

Fazit: Der CSA legt den Grundstein für eine Zusammenarbeit zwischen ENISA und der Normung. Die Chancen müssen in der Ausgestaltung wahrgenommen werden.