Cybersicherheitszertifizierungs-Gesetz – CSZG (330/ME)

Hauptgesichtspunkte des Entwurfs

Der „Cybersecurity Act“ verpflichtet die Mitgliedstaaten zur Benennung von nationalen Behörden für die Cybersicherheitszertifizierung zur Aufsicht und Durchführung des CSA und der sich aus diesem ableitenden europäischen Schemata für die Cybersicherheitszertifizierung. Mit dem vorliegenden Gesetzesvorhaben werden die innerstaatliche Maßnahmen zur Durchführung des CSA erlassen. Aufgrund der Verbote der speziellen Transformation, der inhaltlichen Präzisierung und der inhaltlichen Wiederholung von EU-Verordnungen wird nur das unionsrechtlich zwingend Erforderliche geregelt. Der CSA schafft u.a. einen europäischen Zertifizierungsrahmen für die Cybersicherheit. Dieser legt einen Mechanismus fest, mit dem europäische Schemata für die Cybersicherheitszertifizierung geschaffen werden. In weiterer Folge soll der europäische Zertifizierungsrahmen für die Cybersicherheit bescheinigen, dass IKT-Produkte, -Dienste und -Prozesse, die nach einem solchen Schema bewertet wurden, den festgelegten Sicherheitsanforderungen genügen. Anbieter und Hersteller können sich zukünftig freiwillig zu einer Cybersicherheitszertifizierung von IKT-Produkten, -Diensten und -Prozessen entscheiden. Doch zeichnen sich verpflichtende Zertifizierungen in anderen derzeit auf EU-Ebene befindlichen Rechtsakten ab, etwa bei der Brieftasche für die Europäische Digitale Identität. Ein Cybersicherheitszertifikat wird EU-weit anerkannt. Durch den Nachweis, dass ein Produkt oder Dienst die angegebenen Sicherheitsfunktionen erfüllt oder bestimmte Sicherheitsanforderungen einhält, kann Cybersicherheitszertifizierung wesentlich dazu beitragen, das Vertrauen in IKT-Produkte, -Dienste und - Prozesse zu stärken und damit das ordnungsgemäße Funktionieren des digitalen Binnenmarktes gewährleisten. Derzeit befinden sich drei Schemata für die Cybersicherheitszertifizierung auf EU-Ebene in Ausarbeitung. Das „European Union Common Criteria Scheme“ (EUCC) soll der Nachfolger des bestehenden SOG-IS (Senior Officials Group Information Systems Security) und MRA (Mutual Recognition Agreement) werden. Unter dem EUCC wird eine Zertifizierung der Cybersicherheit von IKT-Produkten vorgesehen. Das EUCC basiert auf Common Criteria, Common Methodology for Information Technology Security Evaluation und den entsprechenden Normen ISO/IEC 15408 und ISO/IEC 18045. Des Weiteren wird das „European Union Cybersecurity Certification Scheme on Cloud Services“ (EUCS) erarbeitet, welches die Sicherheit von Cloud-Diensten regeln soll. Ziel ist es, die Sicherheit von Cloud-Diensten mit EU-Vorschriften, internationalen Standards, bewährten Praktiken der Industrie sowie mit bestehenden Zertifizierungen in EU-Mitgliedstaaten zu harmonisieren und das Vertrauen in Cloud-Dienste zu stärken. Das dritte in Ausarbeitung befindliche Schema läuft unter dem Namen EU5G und hat die Cybersicherheit von 5G-Netzwerken zum Gegenstand. Das Schema soll sich beim Anwendungsbereich auf das GSMA Network Equipment Security Assurance Scheme sowie auf relevante Common Criteria-Schutzprofile für embedded Universal Integrated Circuit Card (eUICC) beziehen.