Es ist still geworden um den EU Cybersecurity Act (Verordnung EU 2019/881, CSA) seitdem sie am 27. Juni 2019 in Kraft getreten ist. Das Gesetz ist ein zentraler Meilenstein in der europäischen IT-Gesetzgebung der letzten Jahre. Es verspricht nicht nur eine umfassende Umstrukturierung der Europäischen Agentur für Informationssicherheit (ENISA), sondern soll zudem einen einheitlichen Rahmen zur EU-Zertifizierung von Cybersicherheit schaffen. Wie ist der aktuelle Stand?
Die wichtigsten Fragen
Bei der Umsetzung des CSA stellen sich zwei zentrale Fragen:
Wie arbeiten die neuen Zertifizierungsschemata zur Cybersicherheit, die laut Gesetz zu erarbeiten sind, mit bestehenden Regelungen, insbesondere solchen des New Legislative Framework (NLF), zusammen?
Wie funktionieren und kooperieren die verschiedenen Gruppen und Einrichtungen miteinander, die im CSA genannt werden?
Wenngleich sich hier gegenwärtig noch keine zweifelsfreien Aussagen treffen lassen, so sind doch Tendenzen erkennbar. Demnach lautet die Antwort auf die erste Frage zurzeit: Bestehende Vorgaben aus dem NLF und neue Zertifizierungsschemata aus dem CSA können und sollen zueinander nicht in einem Widerspruch stehen. Das seit Jahren etablierte NLF soll vielmehr als "Baukasten" oder "Toolbox" verwendet werden, um die inhaltliche Grundlage für die neuen Zertifizierungsschemata gemäß CSA zu bilden. Die Schemata könnten demnach eine Verfeinerung des NLF sein.
Wie die Gruppen und Einrichtungen gemäß CSA aufgebaut sind und zusammenwirken, erfordert eine umfassendere Antwort. In dem komplexen Netzwerk wirkt nicht nur die ENISA, sondern auch die Europäische Kommission, die Stakeholder Cybersecurity Certification Group (SCCG), die European Cybersecurity Certification Group (ECCG) und die sogenannten Ad-hoc Working Groups (Ad-hoc WG).
Fachexperten in Ad-hoc Working Groups
Um die Zertifizierungsschemata und konkreten Anforderungen auszugestalten sind vor allem für Unternehmen die Ad-hoc WG von Interesse. Laut dem Gesetz werden in den Ad-hoc WG aber keine finalen Entscheidungen getroffen. Als klassische Arbeitsgruppe geht es dort vorrangig darum, "Subject matter experts" mit einzubeziehen, die bei der Erstellung des Entwurfs für die Cybersecurity-Schemata unterstützen und die ENISA beraten, die die Federführung und Koordinierung übernimmt. Die finale Entscheidung über die Annahme des Entwurfs für ein Zertifizierungsschema trifft trotz allem die EU-Kommission.
Jeder interessierte Experte kann potenziell an den Ad-hoc WG teilnehmen. Die bestehenden und neu hinzutretenden Ad-hoc WG sind auf der Website der ENISA ausgeschrieben. Jede davon enthält 20 Teilnehmer und bei der Auswahl der Mitglieder einer wird auf eine gleichmäßige Beteiligung der Interessenkreise geachtet. Zudem unterliegen die besprochenen Inhalte der Arbeitssitzung einer Non-Disclosure-Policy. Zurzeit existieren folgende Ad-hoc WG oder sind in Planung: Ad-hoc WG 01 - Transposition of the SOGIS-MRA certification framework, Ad-hoc WG 02 - Cloud Services, und die Ad-hoc WG 03 - 5G.
Nationale Zertifizierungsbehörden in der ECCG
Die Vertreter der nationalen Cybersicherheitszertifizierungsbehörden treten in der ECCG zusammen. Diese Gruppe unterstützt die ENISA ebenfalls bei der Erarbeitung der Zertifizierungsschemata und gibt Ratschläge und Stellungnahmen zu den fertig gestellten Entwürfen ab. Zur ersten informellen Sitzung der ECCG 2019 waren nahezu alle mitgliedstaatlichen Vertreter anwesend, was den hohen wirtschaftlichen Stellenwert widerspiegelt, der dem CSA für das Funktionieren des digitalen EU-Binnenmarkts gemeinschaftlich eingeräumt wird.
Um die internen Arbeitsabläufe innerhalb der ECCG zu erleichtern und die Erarbeitung der Standards zu unterstützen, werden innerhalb der ECCG kleinere Unterarbeitsgruppen (Subgroups) gebildet. Die Subgroups können beispielsweise die inhaltliche Diskussion im Plenum der ECCG für den Entwurf eines Zertifizierungsschemas vorbereiten. Darüber hinaus kommen ihnen administrative Aufgaben für bereits verabschiedete Schemata zu, so etwa zu deren Verbesserung und zur diesbezüglichen Beratung der EU-Kommission.
SCCG als strategischer Rahmen für die Entwicklung
Die SCCG hat in erster Linie strategische Beratungsaufgaben gegenüber der EU-Kommission und der ENISA. Zudem erarbeitet sie das laufende Arbeitsprogramm Union Rolling Work Programme (URWP). Mit letzterem soll bis zum 28. Juni 2020 eine Liste der für die Umsetzung des CSA relevanten IKT-Produkte und Dienste definiert werden.
Die SCCG setzt sich aus insgesamt 50 Mitgliedern zusammen und ist in der Struktur breit gefächert: Mitglied werden können alle Arten von Einrichtungen und Organisationen. Dazu zählen wissenschaftliche Einrichtungen, Verbraucherorganisationen, Konformitätsbewertungsstellen, Standardisierer, und auch Einzelunternehmen. Darüber hinaus sind die EU-Standardisierungsorganisationen CEN (European Committee for Standardisation), CENELEC (European Committee for Electrotechnical Standardisation), ETSI (European Telecommunications Standards Institute), die International Standardisation Bodies ISO (Inernational Organisation for Standardisation), IEC (International Electrotechnical Commission) und ITU (International Telecommunication Union) Mitglied.
Außerdem genannt werden die European co-operation for Accreditation (EA) und das European Data Protection Board (EDPB). Die Ausschreibung für Mitglieder zur SCCG endete am 17. September 2019. Die Auswahl hat das Ziel einer möglichst paritätischen Besetzung, um eine große Bandbreite an unterschiedlichen Interessen abzubilden. Dabei wird Verbänden der Vorrang vor Einzelunternehmen eingeräumt. In gewisser Hinsicht kann die SCCG damit auch als politisches Gremium gesehen werden.
Wie geht es nun weiter?
Die Komplexität, mit der die neuen EU-Zertifizierungsschemata zur Cybersicherheit erarbeitet werden, ist enorm. Das betrifft nicht nur die Inhalte, sondern auch das dahinterstehende operationelle Netzwerk. Deshalb ist der Erfolg des Cybersecurity Act in entscheidender Weise davon abhängig, dass die relevanten Stakeholder in einem engen Austausch und in intensiver Abstimmung zueinander stehen.
Das durch das europäische Gesetz vorgeschlagene Netzwerk bildet hier einen grundsätzlich geeigneten Handlungsrahmen. Nichtsdestotrotz mangelt es gegenwärtig noch an Transparenz, hinreichender Öffentlichkeit und Information bei der Erarbeitung der Zertifizierungsschemata. Auch dürfte mittlerweile fraglich sein, ob die ersten Ergebnisse des laufenden Arbeitsprogramms der EU-Kommission tatsächlich wie angekündigt bis Ende Juni 2020 veröffentlicht werden. (jd)