EU-Parlament stimmt über Cybersecurity Act ab

Zertifizierung kritischer Infrastrukturen EU-Parlament stimmt über Cybersecurity Act ab

13.03.2019

Anbieter zum Thema

Kodak Alaris Germany GmbH

Materna Information & Communications SE

Net at Work GmbH

Das Europäische Parlament hat über den Cybersecurity Act abgestimmt und ihn mit überwältigender Mehrheit verabschiedet. EU-weit werden Produkthersteller damit aufgefordert, entsprechende Maßnahmen zu ergreifen, um ihre Systeme gegenüber Angriffen abzusichern.

Am 12.3.19 hat das Europäische Parlament über den Cybersecurity Act abgestimmt
(Bild: Clipdealer)

Update vom 13.3.19:

Am Dienstag verabschiedeten die Abgeordneten die EU-Verordnung zur Cybersicherheit mit 586 Stimmen gegen 44 und bei 36 Enthaltungen. Die Abgeordneten äußern sich besorgt angesichts der in jüngster Zeit erhobenen Vorwürfe, dass 5G-Geräte, die von chinesischen Unternehmen entwickelt werden, eingebaute Hintertüren enthalten könnten, die es den Herstellern und den Behörden ermöglichen, unbefugt auf private und personenbezogene Daten sowie auf die Telekommunikation in der EU zuzugreifen.

Sie befürchten auch, dass Anbieter von Ausrüstungen aus Drittländern ein Sicherheitsrisiko für die EU darstellen könnten, da die Gesetze ihres Herkunftslandes alle Unternehmen verpflichten, zum Schutz der Staatssicherheit mit dem Staat zusammenzuarbeiten, wobei der Begriff „Staatsicherheit“ sehr weit gefasst ist. Insbesondere die chinesischen Staatssicherheitsgesetze haben in verschiedenen Ländern Reaktionen ausgelöst, die von der Durchführung von Sicherheitseinschätzungen bis hin zu völligen Verboten reichen.

Die nächsten Schritte

In dem „Rechtsakt zur Cybersicherheit“, der bereits informell mit den Mitgliedstaaten vereinbart wurde, wird die Bedeutung der Zertifizierung kritischer Infrastrukturen unterstrichen. Dazu gehören Energienetze, die Wasser- und Energieversorgung und Bankensysteme sowie Produkte, Verfahren und Dienstleistungen.

Bis 2023 prüft die Kommission, ob eines der neuen freiwilligen Systeme verpflichtend gemacht werden sollte. Der Rechtsakt zur Cybersicherheit sieht auch ein ständiges Mandat und mehr Mittel für die EU-Cybersicherheitsagentur ENISA vor.

Der Rat muss nun den Rechtsakt zur Cybersicherheit förmlich billigen. Die Verordnung tritt 20 Tage nach ihrer Veröffentlichung in Kraft. Die Entschließung zur zunehmenden technologischen Präsenz Chinas in der EU wird der Kommission und den Mitgliedstaaten übermittelt.

Originalnachricht vom 12.3.2019:

Die Abstimmung über den „Rechtsakt zur Cybersicherheit“, den Cybersecurity Act, ist für Dienstag, den 12. März, zwischen 12:30 und 14:30 Uhr geplant (zur Tagesordnung). Das Plenum des Europäischen Parlaments wird live übertragen.

Mit der zunehmenden Verbreitung von Smart-Home-Geräten und professionellen vernetzten Systemen hat sich das Thema Cybersicherheit zu einer ernsten Herausforderung für Privatanwender und Unternehmen entwickelt. Hersteller stehen in der Pflicht, für die Security ihrer Produkte Rechnung zu tragen. Der Cybersecurity Act birgt Chancen, das Thema EU-weit anzugehen. Das könnte auch die Wettbewerbsposition heimischer Hersteller verbessern.

Maßnahmen der EU sollen Cybersicherheit stärken

Die Hersteller von Produkten sind aufgefordert, Maßnahmen zu ergreifen, um ihre Systeme gegenüber Angriffen abzusichern. Bisher fehlende transnationale Richtlinien und Zertifizierungen erschweren diese Aufgabe, zumal die Cyberkriminellen längst in internationalen Netzwerken arbeiten. Diese Situation hat die EU-Kommission auf den Plan gerufen: Der Cybersecurity Act soll die digitale Sicherheit in Europa stärken. Er umfasst im Kern zwei wichtige politische Entscheidungen:

1. Eine EU-Agentur für Cybersicherheit soll die Mitgliedstaaten dabei unterstützen, Cyberangriffen wirksam vorzubeugen und zu begegnen. Dafür wird das Mandat der bestehenden EU-Agentur für Netz- und Informationssicherheit (ENISA) erweitert und die Agentur mit zusätzlichen finanziellen und personellen Mitteln ausgestattet. Zu den Aufgaben der ENISA gehören bisher jährliche europaweite Cybersicherheitsübungen und eine Verbesserung des europaweiten Informationsaustauschs.

2. EU-weit einheitliche Cybersecurity-Zertifizierungen sollen die Sicherheit von Onlineservices und vernetzten Geräten verbessern. Die EU legt Zertifizierungsschemata für Produkte, Prozesse und Dienste fest. Existiert ein solches für z. B. ein Produkt, dann dürfen nationale Programme für dieses Produkt nicht mehr verwendet werden.

Die Zertifizierungen sind in allen Mitgliedstaaten der EU gültig, um den Verwaltungsaufwand und die Kosten für die Unternehmen zu senken. Grundsätzlich ist die Zertifizierung freiwillig, aber ein Zertifizierungsschema kann verbindlich werden, wenn das EU-Recht dies erfordert. Die Europäische Kommission wird bis 2023 eine Liste verbindlicher Zertifizierungsschemata vorlegen.

Jetzt Newsletter abonnieren

Wöchentlich die wichtigsten Infos zur Digitalisierung in der Verwaltung

Geschäftliche E-Mail

Bitte geben Sie eine gültige E-Mailadresse ein.

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Stand vom 30.10.2020

Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.

Einwilligung in die Verwendung von Daten zu Werbezwecken

Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von redaktionellen Newslettern nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.

Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.

Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden.

Recht auf Widerruf

Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://support.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung, Abschnitt Redaktionelle Newsletter.

Die wichtigste Maßnahme ist der Aufbau des einheitlichen EU-Zertifizierungssystems, das so bisher nicht existiert. Zur Zertifizierung von Prozessen, Produkten und Diensten im Bereich der Informationssicherheit werden heute in den Ländern der EU bei der Mehrzahl der Zertifizierungen unterschiedliche Normen oder Zertifizierungsprogramme verlangt. Dies hat zur Konsequenz, dass zum Beispiel Hersteller von Computerhardware für jedes Land, in dem sie eine Zertifizierung benötigen, jeweils einmal den Zertifizierungsprozess durchlaufen müssen. Der Hersteller muss die Kosten auf das Produkt umlegen, was bedeutet, dass der Käufer die Mehrkosten trägt. Die Zeit, ein Produkt in einem Land in den Markt bringen zu können, wird größer, oder es wird auf eine Produkteinführung überhaupt verzichtet, weil die technische Entwicklung weiter vorangeschritten ist. Die EU möchte diese Situation ändern und einen gemeinsamen, digitalen Binnenmarkt (Digital Single Market) schaffen, indem einheitliche Kriterien für Cybersicherheit und Anerkennung von Produkten, Prozessen und Diensten gelten.

Drei Vertrauensgrade ermöglichen eine differenzierte Bewertung von Sicherheit

Für Produkte, Prozesse und Dienste werden drei Vertrauensgrade festgelegt. Diese drücken aus, inwieweit zum Beispiel der Hersteller gegenüber dem Käufer oder Anwender Sicherheit versprechen kann.

Der Vertrauensgrad „grundlegend“ bedeutet, dass man der in dem Zertifikat oder der Selbsterklärung (z. B. der Konformität) beschriebenen Sicherheit eingeschränkt vertrauen kann und dass Maßnahmen mit dem Ziel getroffen wurden, das Risiko von Zwischenfällen zu senken.

Beim Vertrauensgrad „werthaltig“ spricht man von einem wesentlichen Maß an Vertrauen und wesentlich gesenkten Risiken.

Der Vertrauensgrad „hoch“ soll den höchsten Grad von Vertrauen darstellen, wobei Maßnahmen zu dem Zweck getroffen wurden, dass Zwischenfälle überhaupt vermieden werden. Um einen Vertrauensgrad zu erreichen, müssen entsprechende Maßnahmen getroffen werden, zu deren Auswahl ein Risikomanagement eingesetzt wird, um die Anwendung, die Umgebung und mögliche Auswirkungen zu betrachten.

(ID:45801063)