CSA
Was ist eigentlich der Cyber Security Act - EU CSA?
Der EU Cyber Security Act ist eine Verordnung, die die Cybersicherheit in der EU durch die Stärkung der Rolle der Europäischen Agentur für Netz- und Informationssicherheit (ENISA) und die Einführung eines EU-weiten Zertifizierungssystems für IT-Produkte und -Dienste verbessert.
Der EU Cyber Security Act, auch bekannt als Verordnung (EU) 2019/881, wurde am 27. Juni 2019 offiziell in Kraft gesetzt. Er stellt einen bedeutenden Schritt der Europäischen Union dar, um die Cybersicherheit in der gesamten EU zu stärken.
Ziel und Zweck der Verordnung: Der Hauptzweck des Cyber Security Act ist die Schaffung eines einheitlichen Rahmens für die Cybersicherheitszertifizierung von Produkten, Dienstleistungen und Prozessen innerhalb der EU. Er zielt darauf ab, das Vertrauen in digitale Technologien zu erhöhen und die Widerstandsfähigkeit gegen Cyberbedrohungen zu verbessern. Der Act etabliert die Europäische Agentur für Cybersicherheit (ENISA) als zentrale Institution zur Unterstützung der Mitgliedstaaten und zur Entwicklung von Zertifizierungsschemata. Die ENISA hat damit ein erweitertes Mandat erhalten, um das europäische Cybersecurity Zertifizierungsrahmenwerk weiter zu entwickeln und zu pflegen.
Der EU Cyber Security Act ist ein entscheidender Schritt zur Harmonisierung der Cybersicherheitsstandards in Europa und zur Förderung eines sicheren digitalen Binnenmarkts.
Der Cyber Security Act ist in der gesamten EU in Kraft und wird kontinuierlich weiterentwickelt, um den sich wandelnden Anforderungen der Cybersicherheit gerecht zu werden. ENISA arbeitet aktiv an der Entwicklung und Implementierung von Zertifizierungsschemata, die den Anforderungen des Acts entsprechen.
Der Cyber Security Act sieht die Entwicklung von EU-weiten Cybersicherheitszertifizierungsschemata vor. Diese Schemata sollen die Sicherheit von IT-Produkten, -Dienstleistungen und -Prozessen bewerten und zertifizieren. ENISA hat bereits mehrere Schemata in Arbeit, darunter solche für Cloud-Dienste und IoT-Geräte. Diese Zertifizierungen sind freiwillig, sollen jedoch als Standard für Cybersicherheit in der EU etabliert werden, um ein hohes Maß an Sicherheit und Vertrauen zu gewährleisten.
Bis jetzt wurden folgende Zertifizierungssysteme entwickelt:
EUCC (EU Common Criteria): Das EU-Zertifizierungssystem für Cybersicherheit nach Common Criteria (EUCC) wurde am 31. Januar 2024 erlassen. Es ist damit das erste europäische Zertifizierungsschema und ist am 27. Februar 2025 in Geltung getreten. Dieses Zertifizierungssystem basiert auf den Common Criteria und ist für die Bewertung und Zertifizierung der Sicherheit von IT-Produkten vorgesehen. Es bietet eine standardisierte Methodik zur Bewertung der Sicherheitseigenschaften von Produkten.
EUCS (EU Cloud Services): Dieses Zertifizierungssystem ist speziell für Cloud-Dienste konzipiert und zielt darauf ab, die Sicherheit und Vertrauenswürdigkeit von Cloud-Dienstleistungen zu gewährleisten. Es umfasst verschiedene Sicherheitsanforderungen, die Cloud-Anbieter erfüllen müssen.
EU5G (EU 5G Security): Dieses Zertifizierungssystem konzentriert sich auf die Sicherheit von 5G-Netzwerken und -Infrastrukturen. Es soll sicherstellen, dass 5G-Technologien den erforderlichen Sicherheitsstandards entsprechen und widerstandsfähig gegen Bedrohungen sind.