Cybersecurity

Der Cybersecurity Act

Unser Leben ist heute verwoben mit digitalen Prozessen und Produkten. Doch so gern wir die Möglichkeiten der Digitalisierung nutzen und genießen, es bleibt ein Risiko: Wie sicher ist diese digitale Welt? Wie lässt sich verhindern, dass Cyberkriminelle etwa Server von Unternehmen, Behörden oder Krankenhäusern lahmlegen, die Kontrolle über Produktionsanlagen übernehmen oder uns abends beim Fernsehen ausspähen? Hier setzt der Cybersecurity Act an. Die Verordnung liefert einen EU-weiten Zertifizierungsrahmen für digitale Produkte und Services. Ziel des Cybersecurity Acts ist es, Vertrauen zu stiften – bei Verbraucher:innen, Unternehmen und Organisationen.

Der Cybersecurity Act ist ein mächtiges Werkzeug. Er ist geeignet, alle zeitgemäßen IT-Sicherheitsvorgaben zu verankern und bietet einen Zertifizierungsrahmen für sichere Produkte und Dienste. Das sorgt für höhere IT-Sicherheit in der Praxis – und entlastet die Politik: Anstatt bestehende sektor- und produktspezifische Regularien um immer neue Sicherheitsanforderungen zu ergänzen, kann sie sich auf die Wirksamkeit des Cybersecurity Acts verlassen und in bestehenden Regelwerken auf ihn verweisen.

Die Matrix der digitalen Sicherheit

Mit dem Cybersecurity Act hat die EU-Kommission komplettes Neuland betreten, solch ein Regelwerk hat es bisher noch nicht gegeben. Auch deshalb wird der neu geschaffene Zertifizierungsrahmen anfangs freiwillig sein. Allerdings kann die EU-Gesetzgebung produktspezifische Sicherheitsvorgaben bei Bedarf auch verbindlich machen.

Der Cybersecurity Act bietet den Rahmen, um in so genannten Schemes spezifische Sicherheitsvorgaben zu definieren. Dabei können sowohl vertikale Anforderungen für einzelne Branchen oder Anwendungen definiert werden als auch horizontale Anforderungen etwa für spezifische Technologien, etwa für WLAN-Verbindungen.

Der TÜV-Verband in der Stakeholder Cybersecurity Certification Group

Der Cybersecurity Act sieht auch die Gründung eines Expert:innengremiums vor, der Stakeholder Cybersecurity Certification Group (SCCG). Der TÜV-Verband ist als einziger deutscher Verband in diesem Gremium vertreten und bringt seine Expertise ein. „Die hochkarätig besetzte Expertengruppe wird die EU-Kommission und die europäische IT-Sicherheitsagentur ENISA in strategischen Fragen beraten und damit einen wichtigen Beitrag für die Verbesserung der digitalen Sicherheit in der EU leisten“, sagt Dr. Joachim Bühler, Geschäftsführer des TÜV-Verbands. „Für einzelne Bereiche wie vernetzte Produkte im Internet der Dinge, Cloud-Infrastrukturen oder Anwendungen mit Künstlicher Intelligenz müssen jetzt einheitliche IT-Sicherheitsanforderungen festgelegt werden.“

Seit 2019 ist der Cybersecurity Act in Kraft. Seither gilt es, ihn umzusetzen und mit Leben zu füllen – damit die digitale Welt ein Stück sicherer wird. Im Rahmen der Cybersicherheitsstrategie erwägt die Europäische Kommission, einen Legislativvorschlag für Cybersicherheitsanforderungen an vernetzbare Produkte vorzulegen. Vor diesem Hintergrund hat der TÜV-Verband Gutachten in Auftrag gegeben, um einen rechtlich fundierten Diskussionsbeitrag zur Europäischen Cybersicherheitsregulierung zu leisten.