EU will Zertifizierung für mehr Sicherheit
Cyber-Experten und europäische politische Entscheidungsträger haben sich im Europol-Hauptquartier in Den Haag versammelt, um ihre Erfahrungen und ihr Wissen über das Internet der Dinge (IoT) auf der Europol-ENISA-IoT-Sicherheitskonferenz auszutauschen. Geplant ist eine neue Verordnung zu einer "Zertifizierung der Cybersicherheit".
Laut Gartner wird die Zahl der Datenpunkte im Internet of Things bis 2020 auf 20,4 Milliarden heranwachsen. Im letzten Jahr lag die Anzahl nach Schätzungen bei 8,4 Milliarden. Wie die Sicherheitsvorkehrungen für eine Technologie aussehen wird, die in diesem Maße boomt, ist noch nicht ausgereift. Daher arbeitet die EU an einer Verordnung zur Sicherheitszertifizierung, um einheitliche Regeln in Sachen Cybersicherheit zu schaffen. Das Ziel ist ambitioniert gesetzt: Noch bis zum Ende dieses Jahres soll die neue Verordnung vom Europäischen Parlament verabschiedet werden. Mit dieser Zielsetzung würde die Regelung für alle Mitgliedstaaten der EU gelten.
Was ändert sich für Hersteller?
Eine Bestätigung durch das Europäische Parlament würde insbesondere für Hersteller von Produkten für das IoT neue Anweisungen bedeuten. In der derzeitigen Fassung ist die Produkt-Zertifizierung der Hersteller freiwillig, sofern diese nicht Bestandteile kritischer Infrastrukturen sind. Jedoch können einzelne Mitgliedstaaten diese Vorgabe im nationalen Recht verschärfen. Die jetzige freiwillige Zertifizierung sieht eine Klassifikation in drei Sicherheitsstufen vor: "niedrig", "mittel" und "hoch". Falls die niedrigste Stufe eintritt, dürfen Hersteller die Konformitätsbewertungen selbst durchführen. Dabei wird etwa die Abwehrfähigkeit gegenüber einem zufälligen oder böswilligen Verlust von Daten bewertet. Bei den Sicherheitsstufen "mittel" und "hoch" werden externe Audits gefordert. Eine freiwillige Zertifizierung soll im Gegensatz zu einer zwingenden mehr bringen, da eine globale Herausforderung nicht erfolgversprechend ist. Steve Purser, Leiter der europäischen Cybersicherheitsagentur ENISA äußerte sich dazu: "Wir setzen darauf, dass Hersteller die freiwillige Zertifizierung zum Anlass nehmen, zertifizierte Produkte selbstständig entsprechend auszuzeichnen und damit Verbraucher einen deutlichen Hinweis zur nachhaltigen Sicherheit zu geben."
Umsetzung durch Agentur für Cybercrime
Die Europäische Agentur für Netz- und Informationssicherheit (ENISA) soll zukünftig bei der Regulierung eine wichtige Rolle für Cybersicherheit in der EU übernehmen. Zu ihren Aufgaben sollen etwa Cybersicherheitsübungen auf EU-Ebene gehören. Diese soll ENISA konsequent organisieren und zudem bei der einheitlichen Umsetzung der Zertifizierung unterstützen und beraten.
LG
Sie möchten zukünftig per Newsletter der Informatik Aktuell informiert werden? Hier können Sie sich anmelden.