Europa hat mit Unterzeichnung des Cybersecurity Acts vor wenigen Monaten einen neuen Meilenstein in Sachen Cybersicherheit gesetzt und einen gemeinsamen Gesetzesrahmen geschaffen. Verstärkung der Vollmachten der Europäischen Agentur für Netz- und Informationssicherheit (ENISA), europäische Zertifizierung... Was können wir von dieser Regelung erwarten?
Dieser neue Gesetzesrahmen ist strenger als die vorhandenen Abkommen zur gegenseitigen Anerkennung (Common-Criteria-Zertifizierung (CCRA), SOG-IS Abkommen oder die UE Restreint Zertifizierung) und festigt die Position der europäischen Union bei Fragen zur Cybersicherheit. Ihre Mitgliedstaaten können sich so gemeinsam gegen Cyberangriffe wehren, denen sie ausgesetzt sind.
Schaffung der Grundlagen für eine gemeinsame Zukunft für Sicherheit
Zusätzlich zu dem Gewicht, das der Europäischen Agentur für Netz- und Informationssicherheit (ENISA) beigemessen wird, verbessert der Cybersecurity Act das globale Sicherheitsniveau über Europa, indem er die Regeln zur gemeinsamen Zertifizierung festlegt. Ein Unternehmen, das eine Zertifizierung in Italien erhalten hat, kann dieses europäische Label ab jetzt in Frankreich, Spanien oder auch Deutschland geltend machen, ohne weitere Maßnahmen in diesen Ländern ergreifen zu müssen.
Diese Zertifizierungen werden von einem geteilten Referenzwerk mit drei Sicherheitsniveaus begleitet: grundlegend, wesentlich und hoch. Diese drei Niveaus zeugen von einer Vertrauensdimension gegenüber Informatiklösungen oder -dienstleistungen und insbesondere von vernetzten Objekten, unabhängig davon, ob sie für die breite Öffentlichkeit bestimmt oder eher technischer Art sind (zum Beispiel vernetzte medizinische Geräte).
Zwischen Informatiklösungen und Sicherheitslösungen unterscheiden
Im Vergleich dazu beziehen sich die nationalen Zertifizierungen – vom Typ ANSSI in Frankreich – auf das Vertrauensniveau gegenüber den Lösungen für Cybersicherheit, wie für Chipkarten, digitale Zertifikate oder andere Produkte für Cybersicherheit. Die Nuancierung zwischen Informatiklösung und Lösungen für Cybersicherheit ist fundamental. Da die europäischen Zertifizierungen für ein größeres Ausmaß als allein die Cybersicherheit angelegt wurden, ist ihr Schutzniveau zwangsweise niedriger. Was logischerweise heute für Vorbehalte sorgt.
In Frankreich, dem Land mit der antreibenden Kraft in Sachen digitale Sicherheit, hängt die größte Angst damit zusammen, dass das höchste Niveau der europäischen Zertifizierungen den niedrigstem Niveau der französischen Zertifizierungen entspräche. Eine Vagheit, die ein reelles Risiko für die Cybersicherheit darstellen könnte, indem weniger zuverlässige Lösungen anderen vorgezogen werden könnten. Um sich davor zu schützen, könnte jedes Land der europäischen Union die souveränen nationalen Niveaus parallel zu der europäischen Zertifizierung aufrechterhalten. Insbesondere hält Frankreich mit Hilfe von ANSSI über diese Zertifizierungen hinaus seine eigenen Qualifikationsniveaus aufrecht (grundlegend, normal, erweitert), die gefordert werden, um in kritischen nationalen Infrastrukturen wie dem OIV operieren zu können. Zusammenfassend kann gesagt werden, dass die von ANSSI qualifizierten Lösungen – wie die von Stormshield – bereits einem höheren Zertifizierungsniveau als der europäische Anspruch entsprechen oder gleichwertig sind.
Wenn auch noch einige Details im Zusammenhang mit der Umsetzung des Cybersecurity Act verfeinert werden müssen, ist diese Regelung jedoch bereits ein gutes Signal für die europäische Cybersicherheit. Diese Rechtsvorschrift ermöglicht, - über eine kurzfristige Harmonisierung hinausgehend - eine stärker gesicherte digitale Zukunft zu schaffen.
