Anzeige   Anzeige

 

 

Visit our english partner site!  
Anzeigen
kroenert
kongskilde
ndc
cotek
FMS
polytype
VDMA begrüßt EU-Rahmenwerk für Cybersicherheits-Zertifikate
Montag, 07. Januar 2019, Firmen-/Marktberichte

diesen Artikel drucken

Nur ein Zertifikat in ganz Europa zum Nachweis der Cybersicherheit eines IT-Produkts: Diese Möglichkeit schafft der „Cybersecurity Act“, auf den sich das EU-Parlament, Mitgliedsstaaten und Europäische Kommission im Dezember im geeinigt haben. Im politischen Prozess der letzten Monate wurde der ursprüngliche Vorschlag deutlich verbessert – vor allem mit Blick auf Transparenz und Beteiligung der Industrie. Trotzdem kann dieses Rahmengesetz aus Sicht des VDMA nur ein erster Schritt sein. Es wird zwar die Vergabe von Nachweisen geregelt, eine echte Binnenmarktregulierung stellt das Rahmenwerk aber nicht dar. Enttäuschend sei, dass nur eine begrenzte Nutzung einer Herstellerselbsterklärung möglich ist.

Zukünftig gibt es eine so genannte „European Cybersecurity Certification Group“ und eine „Stakeholder Participation Group“, über die Mitgliedstaaten oder die Wirtschaft Vorschlägen an die EU-Kommission geben können, wenn eine europaweit geregelte Zertifizierung für eine bestimmte Produktgruppe notwendig erscheint. Wird der Vorschlag angenommen, erarbeitet die europäische Agentur für Cybersicherheit (ENISA) unter Beteiligung der betroffenen Branchen die Details. Die EU-Kommission hat dann das letzte Wort und das Zertifizierungssystem wird europaweit gültig. Ab diesem Moment verlieren nationale Systeme ihre Gültigkeit. Der Zertifizierungsrahmen ist grundsätzlich freiwillig, der Gesetzgeber behält sich aber vor, eine Verpflichtung im Rahmen weiterer Gesetzgebungsakte einzuführen.  

Aus Sicht des VDMA ist es gut, dass das Thema Cybersecurity endlich auf europäischer Ebene angegangen wird. Im Trilog seien zudem vom Europäischen Parlament und den Mitgliedsstaaten erhebliche Verbesserung in Bezug auf Transparenz und Industriebeteiligung erreicht worden. So ist nun beispielsweise ein öffentlicher Arbeitsplan vorgesehen. Ein wesentlicher Konstruktionsfehler sei aber nur unzureichend beseitigt worden: Die für die Innovation und Effizienz wichtige Option der Herstellerselbsterklärung ist zwar nun vorgesehen, aber nur für ein Basisniveau von Cybersicherheit. Grundsätzlich setzt der Cybersecurity Act weitgehend auf Drittstellenzertifizierung, ein aus Sicht des VDMA nur in Ausnahmefällen geeignetes und ansonsten teures und schwerfälliges Bewertungsverfahren.

Der VDMA sieht den Cybersecurity-Act nur als einen ersten Schritt. Der europäische Binnenmarkt braucht vielmehr eine einheitliche Rechtsvorschrift, die den sicheren Austausch von Unternehmens- und Produktdaten gewährleistet.

Die EU-weiten Regelungen zur Cybersicherheit sollen weiter ausgebaut werden (Bild: pexels.com)
Die EU-weiten Regelungen zur Cybersicherheit sollen weiter ausgebaut werden (Bild: pexels.com)