Wie wird sich das erste Cybersicherheits-Zertifizierungssystem der EU auf Ihr Unternehmen auswirken?
Inhaltsverzeichnis:
In der digitalen Welt ist Vertrauen schwer zu gewinnen und leicht zu verlieren. Ein Grund dafür ist das Fehlen eines allgemein verständlichen und glaubwürdigen Sicherheits-Kitemark-Systems. Treten Sie dem EU-Zertifizierungsrahmen für Cybersicherheit bei: einer jahrelangen Initiative, die darauf abzielt, das Vertrauen in IT-Produkte, -Dienste und -Prozesse innerhalb und außerhalb der Union zu harmonisieren.
Die EU-Sicherheitsbehörde ENISA hat gerade das erste derartige System angekündigt: das European Cybersecurity Scheme on Common Criteria (EUCC). Experten zufolge wird es die vorgeschlagenen EU-Cybersicherheitsvorschriften ergänzen und könnte britischen Unternehmen dabei helfen, sowohl ihre eigenen Produkte zu vermarkten als auch die Grundsicherheit in ihrer Organisation zu verbessern.
Warum brauchen wir den EUCC?
Mängel an IT-Produkten sind eine wesentliche Ursache für Cyber-Risiken. Sie können voller Softwareschwachstellen sein oder unsichere Hardwarekomponenten, Kommunikationsprotokolle und Standardkonfigurationen aufweisen, die schwer zu beheben sind. Einige Hersteller verfügen möglicherweise nicht einmal über ein spezielles Schwachstellenmanagementprogramm.
Doch bis jetzt war es für IT-Käufer schwierig, die sicheren Produkte auf dem Markt von den anderen und völlig unsicheren Produkten zu unterscheiden. Alle bestehenden Zertifizierungssysteme wurden auf nationaler Ebene durchgeführt, was in einer zunehmend globalen und vernetzten Welt nicht gut ist.
Was ist der EUCC?
Hier kommt der EUCC ins Spiel. Er ist im Cybersecurity Act (CSA) der EU von 2019 vorgesehen und soll ein „umfassendes Regelwerk, technische Standards, Anforderungen, Standards und Verfahren einführen, die in der gesamten Union anzuwenden sind“, heißt es ENISA.
Es geht weiter:
„Auf freiwilliger Basis ermöglicht das neue EUCC-System IKT-Anbietern, die einen Zuverlässigkeitsnachweis vorlegen möchten, einen in der EU allgemein anerkannten Bewertungsprozess zur Zertifizierung von IKT-Produkten wie technologischen Komponenten (Chips, Smartcards), Hardware und Software. Das Schema basiert auf dem Bewährten Gemeinsame SOG-IS-Kriterien Bewertungsrahmen, der bereits in 17 EU-Mitgliedstaaten verwendet wird. Es schlägt zwei Sicherheitsstufen vor, die auf dem Risikoniveau basieren, das mit der beabsichtigten Verwendung des Produkts, der Dienstleistung oder des Prozesses im Hinblick auf die Wahrscheinlichkeit und die Auswirkungen eines Unfalls verbunden ist.“
Laut CyberSmart-Berater für Cybersicherheit, Adam Pilton, gibt es zwei Sicherheitsniveaus: „Erheblich“ und „Hoch“.
„Das wesentliche Niveau stellt sicher, dass die IKT-Produkte, -Dienste und -Prozesse die festgelegten Funktionalitäten erfüllen und auf einem Niveau sind, das bekannte Cybersicherheitsrisiken minimieren soll, die von Akteuren mit begrenzten Fähigkeiten und Ressourcen ausgeübt werden“, sagt er gegenüber ISMS.online.
„Die hohe Sicherheit stellt sicher, dass IKT-Produkte, -Dienste und -Prozesse die festgelegten Funktionalitäten erfüllen und sich auf einem Niveau befinden, das dazu gedacht ist, moderne Cyber-Angriffe durch Akteure mit erheblichen Fähigkeiten und Ressourcen zu minimieren.“
Die Zertifizierung kann in manchen Fällen bis zu fünf Jahre oder länger dauern. Wenn sich jedoch während der Laufzeit einer Zertifizierung ein Element des betreffenden Vermögenswerts ändert, wären Maßnahmen zur Aktualisierung der Sicherheitsstufen erforderlich. Wenn die Prüfung nicht zufriedenstellend abgeschlossen wird, kann dies zur Aussetzung oder zum Entzug der Zertifizierung führen, erklärt Pilton.
Wie der EUCC britischen Unternehmen zugute kommen könnte
Das EUCC bietet zwei Hauptvorteile. Es wird hoffentlich:
Schaffen Sie Anreize für IKT-Anbieter/-Hersteller, die Sicherheit ihrer Produkte, Dienstleistungen und Prozesse zu verbessern, indem Sie sie dazu ermutigen, die EUCC-Anforderungen einzuhalten
Bieten Sie Organisationen, die IT-Produkte und -Dienstleistungen kaufen, eine nützliche Möglichkeit, um sicherzustellen, dass ihre Einkäufe mit ihrer Risikobereitschaft in Einklang stehen
Laut Gil Bernabeu, CTO der Organisation für technische Standards GlobalPlatform, ist ein Zertifizierungssystem unerlässlich, „um sichere Geräte und Dienste zu entwickeln, einzuführen und effektiv zu verwalten“.
„SOG-IS hat dies in Europa im letzten Jahrzehnt ermöglicht. Und EUCC baut auf diesem Ansatz auf und erweitert die Reichweite und Anerkennung auf die 27 Mitgliedsstaaten, um es Anbietern zu ermöglichen, Produkte in ganz Europa im Rahmen des EU CSA zu zertifizieren und zu verkaufen“, sagt er gegenüber ISMS.online.
„Der Schlüssel zum Erfolg wird darin bestehen, sicherzustellen, dass die Sicherheitsniveaus in allen Regionen und Märkten auf transparente, branchenübliche und für den Endbenutzer zugängliche Weise einheitlich sind. Zeit, Geld und Aufwand zu sparen und gleichzeitig die Cybersicherheit in Europa zu verbessern, kann nur eine gute Sache sein.“
Obwohl das System EU-basiert ist, kann jedes Unternehmen eine Zertifizierung erhalten. Das bedeutet, dass britische IT-Anbieter die Zertifizierung nutzen könnten, um die Marktfähigkeit ihrer Lösungen bei einem EU-Kundenstamm zu verbessern. Davon profitieren auch IT-Einkäufer im Vereinigten Königreich, die versuchen, zwischen Anbietern innerhalb der Union zu differenzieren.
Laut Pilton könnte sich der Einfluss des Plans mit der Zeit sogar noch weiter ausdehnen.
„An der Beratung zu diesem Plan waren Länder auf der ganzen Welt beteiligt, darunter Großbritannien, die USA, Australien und China. Und 82 % der an der Konsultation beteiligten Teilnehmer gaben an, dass sie beabsichtigen, das EUCC-System zu nutzen“, sagt er.
„Eine EU-weite Zertifizierung wird ein vertrauenswürdigeres und sichereres Europa schaffen. Und da andere Länder ihre Absicht bekundet haben, dieses System einzuführen, wird dies zweifellos globale Auswirkungen haben und sicherstellen, dass wir Zugang zu vertrauenswürdigen Produkten, Prozessen und Dienstleistungen haben.“
Nur der Anfang
Obwohl das System freiwillig ist, könnte es erhebliche Auswirkungen haben, genau wie das im Vereinigten Königreich Cyber-Grundlagen, sagt Pilton.
„Das EUCC ist ein Programm, das einen Kontinent vereinen kann, auch einen global einflussreichen Kontinent. „Es wird natürlich direkt die Cybersicherheit der Teilnehmer verbessern, aber auch das Bewusstsein stärken und Cyberhygiene und Best Practices für alle Unternehmen fördern“, behauptet er.
„Mit der Zeit wird dies Vertrauen aufbauen und eine verantwortungsvolle Entwicklung und Bereitstellung sicherer Produkte fördern. 25 Prozent derjenigen, die an der EUCC-Konsultation teilnahmen, gaben an, dass sie beabsichtigten, ihre Produkte danach zertifizieren zu lassen.“
Der EUCC wird beispielsweise auch andere in der Entwicklung befindliche Gesetze und Richtlinien auf EU-Ebene ergänzen Unterstützung der NIS2-Konformität für Organisationen, die nachweisen müssen, dass Unternehmen in ihren Lieferketten vorgeschriebene Standards erfüllen, sagt Pilton.
Das ist auch die Meinung von Jesus Fernandez, der Mitglied der ENISA-Arbeitsgruppe zu EUCC war.
„Das freiwillige System wird das ergänzen Cyber-Resilienz-Gesetz das verbindliche Cybersicherheitsanforderungen für alle Hardware- und Softwareprodukte in der EU einführt. Das EUCC-System wird auch die Umsetzung der NIS2-Richtlinie vorantreiben.“ er argumentiert.
„An diesem Punkt ist es daher ratsam, mit künftigen vertikalen/sektoralen Vorschriften zu rechnen, die verbindliche EUCC-Zertifizierungen speziell für bestimmte Arten von IT-Produkten vorschreiben könnten, wenn sie in bestimmten Sektoren verwendet werden.“
Es sei auch daran erinnert, dass das EUCC das erste von drei Zertifizierungsprogrammen für Cybersicherheit ist, während zwei weitere, die Cloud-Dienste und 5G-Netzwerke abdecken, noch fertiggestellt werden. Gemeinsam könnten sie viel dazu beitragen, die Grundsicherheit in der gesamten Region und darüber hinaus zu verbessern.
