cepMonitor: Cybersicherheit – Teil 2: Zertifizierung (Verordnung)

Verordnung über die Zertifizierung der Cybersicherheit von Informations- und Kommunikationstechnik

Zuletzt aktualisiert am 03. Januar 2019

Diesen Monitor abonnieren
04.10.2017
Verordnungsvorschlag COM(2017) 477
08.06.2018
Rat: Allgemeine Ausrichtung
10.07.2018
EP-Ausschuss: Bericht
10.12.2018
Kommission, Rat und EP: Trilogergebnis
Definitionen

Ein „europäisches System für die Cybersicherheitszertifizierung“ (ESCZ) bezeichnet ein auf EU-Ebene festgelegtes Paket von Vorschriften, technischen Anforderungen, Normen und Verfahren für die Zertifizierung von IKT-Produkten und -Diensten (Art. 2 Ziff. 9).

Ein „europäisches Cybersicherheitszertifikat“ ist ein von einer Konformitätsbewertungsstelle ausgestelltes Dokument, in dem bescheinigt wird, dass ein IKT-Produkt oder -Dienst die in einem ESCZ festgelegten Anforderungen erfüllt (Art. 2 Ziff. 10).

Ein „europäisches System für die Cybersicherheitszertifizierung“ (ESCZ) bezeichnet ein auf EU-Ebene festgelegtes Paket von Vorschriften, technischen Anforderungen, Normen und Verfahren für die Zertifizierung oder Konformitätsbewertung von IKT-Prozessen, -Produkten und -Diensten (Art. 2 Ziff. 9).

Ein „europäisches Cybersicherheitszertifikat“ ist ein ausgestelltes Dokument, in dem bescheinigt wird, dass ein IKT-Prozess, -Produkt oder -Dienst auf die in einem ESCZ festgelegten Sicherheitsanforderungen geprüft wurde (Art. 2 Ziff. 10).

Ein „europäisches System für die Cybersicherheitszertifizierung“ (ESCZ) bezeichnet ein auf EU-Ebene und gemäß von der ENISA identifizierten internationalen und europäischen Normen und IKT-Spezifikationen festgelegtes Paket von Vorschriften, technischen Anforderungen, Normen und Verfahren für die Zertifizierung von IKT-Prozessen, -Produkten und -Diensten (Art. 2 Ziff. 9).

Ein „europäisches Cybersicherheitszertifikat“ ist ein von einer Konformitätsbewertungsstelle ausgestelltes Dokument, in dem bescheinigt wird, dass ein IKT-Prozess, -Produkt oder -Dienst die in einem ESCZ festgelegten Anforderungen erfüllt (Art. 2 Ziff. 10).

Wie Rat.

Ein „europäisches Cybersicherheitszertifikat“ ist ein von einer zuständigen Stelle ausgestelltes Dokument, in dem bescheinigt wird, dass ein IKT-Prozess, -Produkt oder -Dienst auf die in einem ESCZ festgelegten Sicherheitsanforderungen geprüft wurde (Art. 2 Ziff. 10).

Europäische(r) Systeme (Rahmen) für die Cybersicherheitszertifizierung

Europäische Systeme für die Cybersicherheitszertifizierung (ESCZ) sollen den nach den ESCZ zertifizierten IKT-Produkten und -Diensten bescheinigen, dass sie auf einer bestimmten Vertrauenswürdigkeitsstufe den festgelegten Anforderungen an ihre Fähigkeit genügen, Handlungen zu widerstehen, die darauf abzielen, die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit von gespeicherten, übermittelten oder verarbeiteten Daten, Funktionen oder Diensten zu beeinträchtigen, die von diesen Produkten, Prozessen, Diensten und Systemen angeboten oder über diese zugänglich gemacht werden (Art. 43 Abs. 1).

Der Europäische Rahmen für die Cybersicherheitszertifizierung legt einen Mechanismus zur Schaffung Europäischer Systeme für die Cybersicherheitszertifizierung (ESCZ) fest und soll den nach den ESCZ bewerteten IKT-Prozessen, -Produkten und -Diensten bescheinigen, dass sie auf einer bestimmten Vertrauenswürdigkeitsstufe den festgelegten Sicherheitsanforderungen genügen, mit dem Ziel, die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit von gespeicherten, übermittelten oder verarbeiteten Daten, Funktionen oder Diensten zu beeinträchtigen, die von diesen Produkten, Prozessen und Diensten über ihren kompletten Lebenszyklus angeboten oder über diese zugänglich gemacht werden (Art. 43 Abs. 1).

Europäische Systeme für die Cybersicherheitszertifizierung (ESCZ) sollen den nach den ESCZ zertifizierten IKT-Prozessen, -Produkten und -Diensten bescheinigen, dass diese zum Zeitpunkt der Ausstellung der Zertifikate keine bekannten Schwachstellen aufweisen und sie auf einer bestimmten Vertrauenswürdigkeitsstufe den festgelegten Anforderungen an ihre Fähigkeit über ihren kompletten Lebenszyklus genügen, Handlungen zu widerstehen, die darauf abzielen, die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit von gespeicherten, übermittelten oder verarbeiteten Daten, Funktionen oder Diensten zu beeinträchtigen, die von diesen Produkten, Prozessen und Diensten angeboten oder über diese zugänglich gemacht werden. Die ESCZ müssen spezifizierten Sicherheitszielen genügen. (Art. 43 Abs. 1)

Wie Rat.

Prozess der Ausarbeitung eines ESCZ

Die ENISA konsultiert vor der Ausarbeitung eines jeden ESCZ (Art. 44 Abs. 2)

  • alle „relevanten“ Interessenträger, und
  • die „Europäische Gruppe für die Cybersicherheitszertifizierung“.

Die „Europäische Gruppe für die Cybersicherheitszertifizierung“ setzt sich aus Vertretern der nationalen Zertifizierungsbehörden unter Vorsitz der Kommission zusammen (Art. 53).

Die Europäische Gruppe für die Cybersicherheitszertifizierung unterstützt und berät die ENISA bei der Ausarbeitung eines möglichen ESCZ und gibt „nötigenfalls“ eine Stellungnahme dazu ab (Art. 44 Abs. 2).

Die Kommission beauftragt die ENISA mit der Ausarbeitung eines ESCZ (Art. 44 Abs. 1).

Die Mitgliedstaaten oder die Gruppe können der Kommission vorschlagen, die ENISA mit der Ausarbeitung zu beauftragen (Art. 44 Abs. 1).

Die ENISA legt der Kommission ausgearbeitete ESCZ vor (Art. 44 Abs. 3).

Die Kommission verabschiedet die ESCZ durch Durchführungsrechtsakte (Art. 44 Abs. 3 und 4).

Die ENISA konsultiert vor der Ausarbeitung eines jeden ESCZ (Art. 44 Abs. 2)

  • alle „relevanten“ Interessenträger über einen transparenten Konsultationsprozess, und
  • die „Europäische Gruppe für die Cybersicherheitszertifizierung“.

Die „Europäische Gruppe für die Cybersicherheitszertifizierung“ setzt sich aus Vertretern der nationalen Zertifizierungsbehörden oder Vertretern anderer nationalen Behörden unter Vorsitz der Kommission in der Funktion einer Moderatorin zusammen (Art. 53).

Die Europäische Gruppe für die Cybersicherheitszertifizierung unterstützt und berät die ENISA bei der Ausarbeitung eines möglichen ESCZ und gibt vor ihrer Übermittlung an die Kommission eine Stellungnahme dazu ab (Art. 44 Abs. 2).

Die Kommission oder die Gruppe beauftragen die ENISA mit der Ausarbeitung eines ESCZ (Art. 44 Abs. 1).

Die Mitgliedstaaten oder Interessenverbände können der Gruppe vorschlagen, die ENISA mit der Ausarbeitung zu beauftragen. Die Gruppe prüft diese Vorschläge anhand von Leitlinien, die sie selbst erlässt. (Art. 44 Abs. 1)

Die ENISA legt der Kommission ausgearbeitete ESCZ vor, wobei sie der Stellungnahme der Gruppe „weitestgehend“ Rechnung trägt (Art. 44 Abs. 3).

Wie Kommission.

Die ENISA konsultiert vor der Ausarbeitung eines jeden ESCZ (Art. 44 Abs. 2)

  • alle „relevanten“ Interessenträger über einen formellen, offenen, transparenten und integrativen Konsultationsprozess,
  • die Zertifizierungsgruppe der Mitgliedstaaten,
  • die Zertifizierungsgruppe der Interessengruppen und ihre Ad-hoc-Ausschüsse, und
  • Europäische Normungsgremien.

Die „Zertifizierungsgruppe der Mitgliedstaaten“ setzt sich aus Vertretern der nationalen Zertifizierungsbehörden aus allen Mitgliedstaaten unter Vorsitz der Kommission zusammen. Zu Sitzungen der Gruppe können auch Mitglieder der Stakeholder-Zertifizierungs-gruppe eingeladen werden. (Art. 53)

Die Zertifizierungsgruppe der Mitgliedstaaten, die Zertifizierungsgruppe der Interessengruppen, die Ad-hoc-Ausschüsse und die Europäischen Normungsgremien unterstützen und beraten die ENISA bei der Ausarbeitung eines möglichen ESCZ und geben „nötigenfalls“ Stellungnahmen dazu ab (Art. 44 Abs. 2).

Die Kommission beauftragt die ENISA mit der Ausarbeitung eines ESCZ. Sie kann vorab die ENISA, die Zertifizierungsgruppe der Mitgliedstaaten und die Zertifizierungsgruppe der Interessengruppen konsultieren. (Art. 44 Abs. -1 und 1)

Ein Kommissionsauftrag für die Ausarbeitung eines ESCZ muss auf einem fortlaufenden Arbeitsprogramm der Kommission für mögliche künftige ESCZ basieren, das die Kommission zumindest alle zwei Jahre durch delegierte Rechtsakte aktualisiert (Art. 44 Abs. -1 und -1a).

Vom EP-Ausschuss gestrichen.

Im Wesentlichen wie Kommission.

Die Kommission verabschiedet die ESCZ durch delegierte Rechtsakte (Art. 44 Abs. 3 und 4).

Die ENISA konsultiert vor der Ausarbeitung eines jeden ESCZ (Art. 44 Abs. 2)

  • alle „relevanten“ Interessenträger über einen formellen, offenen, transparenten und integrativen Konsultationsprozess,
  • die „Europäische Gruppe für die Cybersicherheitszertifizierung“.

Die „Europäische Gruppe für die Cybersicherheitszertifizierung“ setzt sich aus Vertretern der nationalen Zertifizierungsbehörden oder Vertretern anderer nationalen Behörden unter Vorsitz der Kommission zusammen. Zu Sitzungen der Gruppe können auch Stakeholder und relevante Drittparteien eingeladen werden. (Art. 53)

Die Europäische Gruppe für die Cybersicherheitszertifizierung unterstützt und berät die ENISA bei der Ausarbeitung eines möglichen ESCZ und gibt eine Stellungnahme dazu ab (Art. 44 Abs. 2b).

Im Wesentlichen wie Kommission.

Beauftragt die Kommission die ENISA, „muss“ diese ein ESCZ ausarbeiten. Kommt der Auftrag von der Gruppe „kann“ sie ein ESCZ ausarbeiten. Folgt sie dem Auftrag der Gruppe nicht, muss sie dies begründen. Eine Nichtbefolgung des Auftrags der Gruppe bedarf der Zustimmung des Verwaltungsrats der ENISA. (Art. 44 Abs. 1a)

Ein Kommissionsauftrag für die Ausarbeitung eines ESCZ muss auf einem fortlaufenden Arbeitsprogramm der Kommission für mögliche künftige ESCZ basieren, das die Kommission zumindest alle drei Jahre aktualisiert. Nur im Ausnahmefall darf die Kommission oder die Gruppe ein ESCZ vorschlagen, dass nicht im fortlaufenden Arbeitsprogramm steht. (Art. 44 Abs. -1 und -1a)

Im Trilog gestrichen.

Die ENISA legt der Kommission ausgearbeitete ESCZ vor, wobei sie der Stellungnahme der Gruppe „weitestgehend“ Rechnung trägt. Die Stellungnahme ist für die ENISA jedoch nicht-bindend. Sie kann die Vorlage an die Kommission nicht verhindern. (Art. 44 Abs. 3)

Wie Kommission.

Überprüfung eines ESCZ

Die ENISA überprüft mindestens alle fünf Jahre in enger Zusammenarbeit mit der Gruppe angenommene ESCZ. Die Kommission oder die Gruppe können die ENISA daraufhin ggfs. mit der Überarbeitung des ESCZ beauftragen. (Art. 44a Abs. 2)

Die ENISA überprüft angenommene ESCZ am Ende ihrer Geltungsdauer oder auf Antrag der Kommission (Art. 44 Abs. 5a).

Die ENISA überprüft angenommene ESCZ mindestens alle fünf Jahre. Die Kommission oder die Gruppe können die ENISA daraufhin ggfs. mit der Überarbeitung des ESCZ beauftragen. (Art. 44a Abs. 2)

Sicherheitsziele, Mindestinhalte und Vertrauenswürdigkeitsstufen der verschiedenen ESCZ

Für ESCZ gelten u.a., sofern zutreffend, folgende „Sicherheitsziele“ (Art. 45):

  • Daten sind u.a. geschützt vor zufälliger oder unbefugter Speicherung, Verarbeitung oder Preisgabe,
  • nur befugte Personen, Programme und Maschinen haben Zugriff auf Daten, Dienste und Funktionen,
  • IKT-Produkte und ‑Dienste werden mit aktueller Software ohne bekannte Sicherheitslücken bereitgestellt.

Bei der Ausarbeitung eines spezifischen ESCZ müssen u.a. folgende „Mindestinhalte“ festgelegt werden (Art. 47 Abs. 1):

  • die Spezifikation der Cybersicherheitsanforderungen, z.B. durch Bezugnahme auf europäische oder internationale Normen,
  • die Art(en) und Kategorie(n) der IKT-Produkte und -Dienste, die von dem ESCZ erfasst sind, und
  • ggfs. die Vertrauenswürdigkeitsstufen. die durch das ESCZ gewährleistet werden sollen.

ESCZ-zertifizierte IKT-Produkte und -Dienste können in drei Vertrauenswürdigkeitsstufen – niedrig, mittel, hoch – eingestuft werden (Art. 46).

Für ESCZ gelten u.a., sofern zutreffend, mindestens folgende „Sicherheitsziele“ (Art. 45):

  • Daten sind während des gesamten Lebenszyklus des IKT-Prozesses, -Produkts oder -Dienstes u.a. geschützt vor zufälliger oder unbefugter Speicherung, Verarbeitung, Preisgabe oder mangelnder Verfügbarkeit,
  • nur befugte Personen, Programme und Maschinen haben Zugriff auf Daten, Dienste und Funktionen,
  • IKT-Prozesse, -Produkte und ‑Dienste werden mit aktueller Software und Hardware ohne allgemein bekannte Sicherheitslücken bereitgestellt,
  • IKT-Prozesse, -Produkte und ‑Dienste stehen in Einklang mit den für sie durch das ESCZ vorgegebenen Sicherheitsanforderungen.

Bei der Ausarbeitung eines spezifischen ESCZ müssen u.a. folgende „Mindestinhalte“ festgelegt werden (Art. 47 Abs. 1):

  • Bezugnahme auf europäische, internationale oder nationalen Normen; sind keine Normen verfügbar, wird auf „technische Spezifikationen“ oder Cybersicherheitsanforderungen Bezug genommen,
  • die Art(en) und Kategorie(n) der IKT-Prozesse, -Produkte und -Dienste, die von dem ESCZ erfasst sind sowie eine Ausarbeitung inwiefern das ESCZ den Bedürfnissen der Zielgruppen genügt,
  • ggfs. die Vertrauenswürdigkeitsstufen. die durch das ESCZ gewährleistet werden sollen,
  • ggfs. spezielle Anforderungen an die Konformitätsbewertungsstellen zur Gewährleistung ihrer „technischen Kompetenz,
  • Speicherzeitraum der „EU-Konformitätserklärung und der technischen Dokumentation durch die Hersteller oder Anbieter,
  • maximale Gültigkeitsdauer der Zertifikate,
  • Offenlegungspolitik für Zertifikate;
  • Bedingungen für die Anerkennung von Zertifizierungssystemen von Drittländern, und
  • ggfs. Regeln für einen Peer-Review-Prozess bei Ausstellung von Zertifikaten mit einer hohen Vertrauenswürdigkeitsstufe.

ESCZ-zertifizierte IKT-Prozesse, -Produkte und -Dienste können in drei Vertrauenswürdigkeitsstufen – niedrig, mittel, hoch – eingestuft werden. Es können in einem ESCZ aber auch mehrere „Bewertungsniveaus“ angegeben werden, wobei jedes Bewertungsniveau einer Vertrauenswürdigkeitsstufe entspricht. (Art. 46)

Für ESCZ gelten u.a., sofern zutreffend, folgende „Sicherheitsziele“ (Art. 45):

  • die Vertraulichkeit, Integrität, Verfügbarkeit und Privatsphäre von Dienste, Funktionen und Daten ist gewahrt,
  • nur befugte Personen, Programme und Systeme haben Zugriff auf Daten, Dienste und Funktionen,
  • IKT-Produkte und ‑Dienste werden mit aktueller Software ohne bekannte Sicherheitslücken bereitgestellt,
  • IKT-Prozesse, -Produkte und -Dienste sind durch Voreinstellungen und Technikgestaltung sicher („secure by default and by design“).

Bei der Ausarbeitung eines spezifischen ESCZ müssen u.a. folgende „Mindestinhalte“ festgelegt werden (Art. 47 Abs. 1):

  • die Spezifikation der Cybersicherheitsanforderungen, z.B. durch Bezugnahme auf europäische oder internationale Normen; dergestalt, dass die Zertifizierung in die Sicherheitsprozesse des Herstellers integriert werden kann,
  • die Art(en) und Kategorie(n) der IKT-Prozesse, -Produkte und -Dienste, die von dem ESCZ erfasst sind,
  • der Anwendungsbereich und die Cybersicherheitsanforderungen,
  • ggfs. die Vertrauenswürdigkeitsstufen. die auf Basis eines risikobasierten Ansatzes durch das ESCZ gewährleistet werden sollen,
  • maximale Gültigkeitsdauer des Zertifizierungsrahmens,
  • Bedingungen für die Anerkennung von Zertifizierungssystemen von Drittländern, und
  • die Angabe, ob auch Selbstzertifizierungen möglich sind.

ESCZ-zertifizierte IKT-Prozesse, -Produkte und -Dienste können in drei Vertrauenswürdigkeitsstufen – niedrig, mittel, hoch – eingestuft werden (Art. 46).

Für ESCZ gelten u.a., sofern zutreffend, mindestens folgende „Sicherheitsziele“ (Art. 45):

  • Daten sind während des gesamten Lebenszyklus des IKT-Prozesses, -Produkts oder -Dienstes u.a. geschützt vor zufälliger oder unbefugter Speicherung, Verarbeitung, Preisgabe oder mangelnder Verfügbarkeit,
  • nur befugte Personen, Programme und Maschinen haben Zugriff auf Daten, Dienste und Funktionen,
  • IKT-Prozesse, -Produkte und ‑Dienste werden mit aktueller Software und Hardware ohne allgemein bekannte Sicherheitslücken bereitgestellt,
  • IKT-Prozesse, -Produkte und -Dienste sind durch Voreinstellungen und Technikgestaltung sicher („secure by default and by design“).

Bei der Ausarbeitung eines spezifischen ESCZ müssen u.a. folgende „Mindestinhalte“ festgelegt werden (Art. 47 Abs. 1):

  • Bezugnahme auf europäische, internationale oder nationalen Normen; sind keine Normen verfügbar oder sind sie nicht geeignet, wird auf „technische Spezifikationen“ oder Cybersicherheitsanforderungen Bezug genommen,
  • die Art(en) und Kategorie(n) der IKT-Prozesse, -Produkte und -Dienste, die von dem ESCZ erfasst sind sowie eine Beschreibung der Ziele des ESCZ und eine Ausarbeitung inwiefern die ausgewählten Normen, Bewertungsverfahren und Vertrauenswürdigkeitsstufen den Bedürfnissen der Zielgruppen genügt,
  • ggfs. die Vertrauenswürdigkeitsstufen. die durch das ESCZ gewährleistet werden sollen,
  • ggfs. spezielle Anforderungen an die Konformitätsbewertungsstellen zur Gewährleistung ihrer „technischen Kompetenz“,
  • Speicherzeitraum der „EU-Konformitätserklärung und der technischen Dokumentation durch die Hersteller oder Anbieter,
  • maximale Gültigkeitsdauer der Zertifikate,
  • Offenlegungspolitik für Zertifikate;
  • Bedingungen für die Anerkennung von Zertifizierungssystemen von Drittländern,
  • ggfs. Regeln für einen Peer-Review-Prozess bei Ausstellung von Zertifikaten mit einer hohen Vertrauenswürdigkeitsstufe,
  • die Angabe, ob auch Selbstzertifizierungen möglich sind.

Wie Rat.

Selbstbewertung der Konformität

Ein ESCZ kann vorsehen, dass Hersteller oder Anbieter von IKT-Produkten und -Diensten die Bewertung der Konformität auch selbst vornehmen dürfen. Dies gilt jedoch nur bei ESCZ, die die Vertrauenswürdigkeitsstufe "niedrig" vorsehen. (Art. 47a Abs. 1)

Der Hersteller oder Anbieter von IKT-Produkten und -Diensten kann eine „EU-Konformitätserklärung“ ausstellen. Damit übernimmt er die Verantwortung dafür, dass das IKT-Produkt bzw. der IKT-Dienst den Anforderungen des ESCZ genügt. (Art 47a Abs. 2)

Die Ausstellung einer „EU-Konformitätserklärung“ ist freiwillig, außer das EU-Recht oder das Recht der Mitgliedstaaten sehen etwas Anderes vor (Art. 47a Abs. 4).

„EU-Konformitätserklärungen“ werden in allen Mitgliedstaaten anerkannt (Art. 47a Abs. 5).

Ein ESCZ kann vorsehen, dass Hersteller oder Anbieter von IKT-Prozessen, -Produkten und -Diensten die Bewertung der Konformität auch selbst vornehmen dürfen. Dies gilt jedoch nur bei ESCZ, die die Vertrauenswürdigkeitsstufe "niedrig" vorsehen. (Art. 46a Abs. 1, Art. 47 Abs. 1 lit. ca)

Die Konformitätsbewertungsstellen prüfen die internen Verfahren der Hersteller zur Selbstbewertung der Konformität (Art. 51 Abs. 2b).

Wie Rat (Art. 46a Abs. 1).

Wie Rat (Art 46a Abs. 2).

Wie Rat (Art. 46a Abs. 4).

Wie Rat (Art. 46a Abs. 5).

Cybersicherheitszertifizierung auf Grundlage eines ESCZ

Natürliche und juristische Personen, die ihre IKT-Produkte oder -Dienste auf der Grundlage eines spezifischen ESCZ zertifizieren lassen wollen, müssen die Zertifizierung bei einer „Konformitätsbewertungsstelle“ beantragen und dieser die notwendigen Informationen zur Verfügung stellen (Art. 48 Abs. 5).

Die Konformitätsbewertungsstelle bewertet, ob die IKT-Produkte oder ‑Dienste die Anforderungen des jeweiligen ESCZ erfüllen und stellt die Cybersicherheitszertifikate aus (Art. 48 Abs. 3).

Von den Mitgliedstaaten benannte „nationale Akkreditierungsstellen“ erteilen den Konformitätsbewertungsstellen die Akkreditierung für ihre Tätigkeit (Art. 51 Abs. 1).

Die Akkreditierungen werden für fünf Jahre erteilt, können aber verlängert werden. (Art. 51 Abs. 2)

Für ausgestellte Zertifikate gilt die „Vermutung“ der Konformität mit den Anforderungen des spezifischen ESCZ (Art. 48 Abs. 1).

Zertifikate werden für maximal fünf Jahre erteilt, können aber verlängert werden (Art. 48 Abs. 6).

Ausgestelle Zertifikate müssen in allen Mitgliedstaaten anerkannt werden (Art. 48 Abs. 7).

Die Zertifizierung ist freiwillig, sofern das EU-Recht nichts Anderes festlegt (Art. 48 Abs. 2).

Natürliche und juristische Personen, die ihre IKT-Prozesse, -Produkte oder -Dienste auf der Grundlage eines spezifischen ESCZ zertifizieren lassen wollen, müssen die Zertifizierung bei einer „Konformitätsbewertungsstelle“ oder der nationalen Zertifizierungsbehörde, falls diese zuständig ist, beantragen und dieser die notwendigen Informationen zur Verfügung stellen (Art. 48 Abs. 5).

Die Konformitätsbewertungsstelle bewertet, sofern das ESCZ die Vertrauenswürdigkeitsstufen „niedrig“ oder „mittel“ vorsieht, ob die IKT-Prozesse, -Produkte oder ‑Dienste die Anforderungen des jeweiligen ESCZ erfüllen und stellt die Cybersicherheitszertifikate aus (Art. 48 Abs. 3).

Sieht ein ESCZ die Vertrauenswürdigkeitsstufe „hoch“ vor, stellt die Zertifikate aus entweder (Art. 48 Abs. 4a)

  • die nationale Zertifizierungsbehörde, oder
  • eine Konformitätsbewertungsstelle, sofern die nationale Zertifizierungsbehörde der jeweiligen Ausstellung zustimmt oder sie von der Behörde generell mit dieser Aufgabe betraut wurde.

Wie Kommission.

Stellt eine nationale Zertifizierungsbehörde ein Zertifikat aus, wird die Zertifizierungsstelle der nationalen Zertifizierungsbehörde als Konformitätsbewertungsstelle akkreditiert (Art. 51 Abs. 1a).

Wie Kommission.

Wie Kommission.

Zertifikate werden für einen im ESCZ festgelegten Zeitraum erteilt, können aber verlängert werden (Art. 48 Abs. 6).

Wie Kommission.

Die Zertifizierung ist freiwillig, sofern das EU-Recht oder das Recht der Mitgliedstaaten nichts Anderes festlegt (Art. 48 Abs. 2).

Zertifikatinhaber müssen die Stelle, die das Zertifikat ausgestellt hat, über etwaige später festgestellte Schwachstellen des zertifizierten IKT-Prozesses, -Produkts oder -Dienstes informieren. Die Stelle muss diese Information an die nationale Zertifizierungsbehörde weiterleiten. (Art. 48 Abs. 5a)

Natürliche und juristische Personen, die ihre IKT-Prozesse, -Produkte oder -Dienste auf der Grundlage eines spezifischen ESCZ zertifizieren lassen wollen, müssen die Zertifizierung bei einer „Konformitätsbewertungsstelle“ beantragen und dieser die notwendigen Informationen zur Verfügung stellen, inklusiver solcher zu bekannten Sicherheitslücken (Art. 48 Abs. 5).

Wie Kommission.

Sieht ein ESCZ die Vertrauenswürdigkeitsstufe „hoch“ vor, stellt die Zertifikate aus (Art. 51 Abs. 1a)

  • eine Konformitätsbewertungsstelle, wobei diese bezüglich ihrer Kompetenz und Expertise von der nationalen Zertifizierungsbehörde eine Notifizierung für die Tätigkeit benötigt.

Wie Kommission.

Wie Kommission.

Wie Kommission.

Zertifikate werden für einen im ESCZ festgelegten Zeitraum, aber maximal fünf Jahre erteilt, können aber verlängert werden (Art. 48 Abs. 6).

Im Wesentlichen wie Kommission.

Wie Kommission.

Wie Rat.

Die Konformitätsbewertungsstelle bewertet, sofern das ESCZ die Vertrauenswürdigkeitsstufen „niedrig“ oder „mittel“ vorsieht, ob die IKT-Prozesse, -Produkte oder ‑Dienste die Anforderungen des jeweiligen ESCZ erfüllen und stellt die Cybersicherheitszertifikate aus (Art. 48 Abs. 3).

Wie Rat.

Wie Kommission.

Wie Rat.

Wie Kommission.

Wie Kommission.

Wie Rat.

Wie Kommission.

Wie Rat.

Wie Rat.

Die Kommission prüft regelmäßig, spätestens aber bis Ende 2023 und zumindest alle zwei Jahre, ob bestimmte Zertifizierungssysteme verbindlich gemacht werden sollen. Prioritär soll sie dabei IKT-Prozesse, -Produkte und -Dienste von Sektoren mit Betreibern wesentlicher Dienste ins Auge fassen. (Art. 48 Abs. 2a)

Rolle der Mitgliedstaaten und der nationalen Aufsichtsbehörden

Jeder Mitgliedstaat benennt eine nationale Zertifizierungsaufsichtsbehörde, die u.a. (Art. 50 Abs. 1, 6)

  • die von den Konformitätsbewertungsstellen ausgestellten Zertifikate überprüft,
  • die Tätigkeiten der Konformitätsbewertungsstellen beaufsichtigt, und
  • mit anderen nationalen Zertifizierungsaufsichtsbehörden und öffentlichen Stellen zusammenarbeitet.

Die nationalen Aufsichtsbehörden müssen der Kommission für jedes ESCZ eine zuständige Konformitätsbewertungsstelle benennen (Art. 52).

Die Mitgliedstaaten behalten „unberührt“ von den Aufgaben der ENISA ihre Zuständigkeiten für Cybersicherheit. Dies gilt „in jedem Fall“ für Tätigkeiten in Zusammenhang mit der nationalen und öffentlichen Sicherheit, der Landesverteidigung und für strafrechtliche Belange. (Art. 3 Abs. 3)

Jeder Mitgliedstaat benennt eine oder mehrere nationale Zertifizierungsbehörden, die u.a. (Art. 50 Abs. 1, 6)

  • die Akkreditierungsstellen bei der Beaufsichtigung der Tätigkeiten der Konformitätsbewertungsstellen unterstützen,
  • mit anderen nationalen Zertifizierungsbehörden und öffentlichen Stellen zusammenarbeiten,
  • die Verpflichtungen der Hersteller und Anbieter bezüglich „EU-Konformitätserklärungen“ überwachen und durchsetzen, und
  • die öffentlichen Stellen, die auch Zertifikate ausstellen, überwachen und beaufsichtigen.

Ein Mitgliedstaat kann auch in gegenseitigem Einverständnis mit einem anderen Mitgliedstaat eine oder mehrere zuständige Behörden für diesen anderen Mitgliedstaat festlegen (Art. 50 Abs. 1).

Zertifizierungsaufgaben und Aufsichtsaufgaben müssen bei den nationalen Zertifizierungsbehörden einer „strengen Trennung unterliegen. Beide Tätigkeiten müssen unabhängig voneinander durchgeführt werden. (Art. 50 Abs. 3a)

Im Wesentlichen wie Kommission.

Die Mitgliedstaaten behalten „unberührt“ von dieser Verordnung ihre Zuständigkeiten für Cybersicherheit. Dies gilt „in jedem Fall“ für Tätigkeiten in Zusammenhang mit der nationalen und öffentlichen Sicherheit, der Landesverteidigung und für strafrechtliche Belange. (Art. 1 Abs. 2)

Jeder Mitgliedstaat benennt eine nationale Zertifizierungsaufsichtsbehörde, die u.a. (Art. 50 Abs. 1, 6)

  • die von den Konformitätsbewertungsstellen ausgestellten Zertifikate überprüft,
  • die Tätigkeiten der Konformitätsbewertungsstellen beaufsichtigt,
  • mit anderen nationalen Zertifizierungsaufsichtsbehörden und öffentlichen Stellen – auch Datenschutzbehörden – zusammenarbeitet,
  • die Selbstbewertungen zur Konformität überprüft.

Wie Kommission.

Im Wesentlichen wie Kommission (Art. 1 Abs. 1a).

Jeder Mitgliedstaat benennt eine oder mehrere nationale Zertifizierungsbehörden, die u.a. (Art. 50 Abs. 1, 6)

  • die Akkreditierungsstellen bei der Beaufsichtigung der Tätigkeiten der Konformitätsbewertungsstellen unterstützt,
  • mit anderen nationalen Zertifizierungsbehörden und öffentlichen Stellen zusammenarbeitet,
  • die Verpflichtungen der Hersteller und Anbieter bezüglich „EU-Konformitätserklärungen“ überwacht und durchsetzt, und
  • die öffentlichen Stellen, die auch Zertifikate ausstellen, überwacht und beaufsichtigt.

Wie Rat.

Wie Rat.

Im Wesentlichen wie Kommission.

Die Mitgliedstaaten behalten „unberührt“ von ihren Kompetenzen ihre Zuständigkeiten für Tätigkeiten in Zusammenhang mit der nationalen und öffentlichen Sicherheit, der Landesverteidigung und für strafrechtliche Belange. (Art. 1 Abs. 2)

Nationale und industrielle Cybersicherheitszertifizierungssysteme

Umfasst ein bestehendes nationales System für die Cybersicherheitszertifizierung („NSCZ“) IKT-Produkte und -Dienste, die auch Gegenstand eines ESCZ sind, ist das NSCZ ab dem Zeitpunkt unwirksam, den die Kommission dafür in ihrem Durchführungsrechtsakt zu dem ESCZ festgelegt hat (Art. 49 Abs. 1).

Die Mitgliedstaaten dürfen keine neuen NSCZ für IKT-Produkte und ‑Dienste einführen, die unter ein ESCZ fallen. Unter den NSCZ ausgestellte Zertifikate gelten bis zum Ende ihrer Geltungsdauer fort. (Art. 49 Abs.2 und 3)

Private Zertifizierungssysteme u.a. der Industrie sind nicht Gegenstand der Verordnung. Verantwortliche Stellen können ihre Systeme der Kommission aber zur Genehmigung als ESCZ vorschlagen. (Erwägungsgrund 53)

Umfasst ein bestehendes nationales System für die Cybersicherheitszertifizierung („NSCZ“) IKT-Prozesse, -Produkte und -Dienste, die auch Gegenstand eines ESCZ sind, ist das NSCZ ab dem Zeitpunkt unwirksam, den die Kommission dafür in ihrem Durchführungsrechtsakt zu dem ESCZ festgelegt hat (Art. 49 Abs. 1).

Die Mitgliedstaaten dürfen keine neuen NSCZ für IKT-Prozesse, -Produkte und ‑Dienste einführen, die unter ein ESCZ fallen. Unter den NSCZ ausgestellte Zertifikate, die unter ein ESCZ fallen, gelten bis zum Ende ihrer Geltungsdauer fort. (Art. 49 Abs.2 und 3)

Wie Kommission.

Wie Rat.

Die Mitgliedstaaten dürfen keine neuen NSCZ für IKT-Prozesse, -Produkte und ‑Dienste einführen, die unter ein ESCZ fallen. Unter den NSCZ ausgestellte Zertifikate gelten bis zum Ende ihrer Geltungsdauer fort. (Art. 49 Abs. 2 und 3)

Wie Kommission.

Zusätzlich: Die ENISA kann prüfen, ob private Zertifizierungssysteme auch für ein ESCZ in Frage kommen könnten.

Wie Rat.

Wie Rat.

Wie Kommission.

Informationspflichten

Der Hersteller oder Anbieter eines zertifizierten IKT-Prozesses, -Produkts oder -Dienstes muss Endnutzern ein Dokument bereitstellen mit Informationen zu (Art. 47a Abs. 1)

  • der anvisierten Vertrauenswürdigkeitsstufe,
  • den Risiken, gegen die das Zertifikat Schutz gewähren soll,
  • Maßnahmen, wie der Nutzer die Cybersicherheit des IKT-Prozesses, -Produkts oder -Dienstes weiter steigern kann,
  • der Regelmäßigkeit von Updates und dem Unterstützungszeitraum nach Updates, und
  • empfohlenen Maßnahmen im Falle einer Attacke.

Die Kommission erstellt dazu eine Vorlage im Wege eines Durchführungsrechtsakts (Art. 47a Abs. 3).

Der Hersteller oder Anbieter eines zertifizierten IKT-Prozesses, -Produkts oder -Dienstes muss Informationen bereitstellen zu (Art. 47a Abs. 1)

  • Schritten, wie der Nutzer die IKT-Produkte oder -Dienste sicher konfigurieren, installieren und nutzen kann,
  • dem Unterstützungszeitraum mit Updates, insbesondere von cybersicherheitsrelevanten Updates,
  • Kontaktadressen und Verfahren zum Erhalt von Informationen zu Schwachstellen durch Endnutzer und Sicherheitsforschern, und
  • Online-Verzeichnissen, die Informationen zu Schwachstellen der Produkte und Dienste aufzeigen.

Pflicht zur Nutzung zertifizierter IKT-Prozesse, -Produkte und -Dienste für Betreiber wesentlicher Dienste

Die Kommission erlässt delegierte Rechtsakte mit einer Liste der Kategorien von IKT-Prozessen, -Produkten und -Diensten, (Art. 48a Abs. 2)

  • die für die Nutzung durch Betreiber wesentlicher Dienste bestimmt sind und
  • deren Fehlfunktion erhebliche Auswirkungen für die Erbringung der wesentlichen Dienste hätte.

Die Kommission beauftragt die ENISA damit, ESCZ für die in der Liste genannten Kategorien von IKT-Prozessen, -Produkten und -Diensten auszuarbeiten Die Zertifikate dieser ESCZ müssen eine hohe Vertrauenswürdigkeitsstufe aufweisen. (Art. 48a Abs. 4)

Betreiber wesentlicher Dienste müssen sodann solche IKT-Prozesse, -Produkte oder -Dienste nutzen, die einem ESCZ unterliegen (Art. 48a Abs. 1).

Peer-Review Prozess

Die nationalen Zertifizierungsbehörden unterliegen Peer Reviews (Art. 50a).

Diese werden gemeinsam durch zwei nationale Zertifizierungsbehörden von anderen Mitgliedstaaten und der Kommission durchgeführt. Die ENISA kann auch teilnehmen. (Art. 50a Abs. 3)

Der Peer Review einer Zertifizierungsbehörde erfolgt mindestens alle fünf Jahre (Art. 50a Abs. 3).

Die Kommission erstellt mittels delegierter Rechtsakte einen Plan für die Peer Reviews und legt Details fest (Art. 50a Abs. 4).

Die „Zertifizierungsgruppe der Mitgliedstaaten“ prüft die Ergebnisse der Peer Reviews (Art. 50a Abs. 5).

Die ENISA veröffentlicht eine Zusammenfassung der Ergebnisse (Art. 50a Abs. 5)

Wie EP-Ausschuss.

Wie EP-Ausschuss.

Wie EP-Ausschuss.

Die Kommission erstellt mittels Durchführungsrechtsakten einen Plan für die Peer Reviews und legt Details fest (Art. 50a Abs. 4).

Die Die „Europäische Gruppe für die Cybersicherheitszertifizierung“ prüft die Ergebnisse der Peer Reviews (Art. 50a Abs. 5).

Die „Europäische Gruppe für die Cybersicherheitszertifizierung“ veröffentlicht eine Zusammenfassung der Ergebnisse und richtet ggfs. Leitlinien oder Empfehlungen für zu treffende Maßnahmen an die untersuchten Zertifizierungsbehörden. (Art. 50a Abs. 6).

Nächste Schritte im EU-Gesetzgebungsverfahren:

Das Gesetzgebungsverfahren ist abgeschlossen.