EU Cybersecurity-Act : Europäische Cybersicherheitszertifizierung – der große Sprung nach vorn?
Mit dem Cybersecurity-Act (CSA) legt die Europäische Kommission den Grundstein für die europaweite Anerkennung und Harmonisierung von Sicherheitsevaluationen. Der Rechtsrahmen, die Motivation und die Ziele des CSA haben einen großen Einfluss auf die Ausgestaltung der Zertifizierung in Europa. In der vorherigen Ausgabe des BSI-Forums in
Von Dietmar Bremser, BSI, und Sebastian Fritsch, secuvera GmbH
Nach zwei Jahren Edition und Verhandlung der Europäischen Kommission im Trilog mit dem Europäischen Rat und dem Europäischen Parlament wurde am 27. Juni 2019 der Cybersecurity-Act (CSA) 2019/881 [1] in Kraft gesetzt. Dieser bereitet den Weg zu harmonisierten und verbriefbaren Aussagen in der Cybersicherheit und stellt bestehenden Regulierungen – zum Beispiel über die elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen (eIDAS), das gemeinsame Sicherheitsniveau von Netz- und Informationssystemen in der Union (NIS) oder der EU Datenschutzgrundverordnung (DSGVO) – ein Instrument zur Qualifikation von Sicherheitsprodukten, -diensten und -prozessen zur Seite.
Das Zertifizierungsrahmenwerk des CSA bietet eine europaweite abgestimmte Lösung für den Umgang mit negativen Externalitäten aufgrund der zunehmenden Verbreitung und Konnektivität der Netzwerk- und Informationssysteme. Bisher wurden die zugrunde liegenden Informationsasymmetrien auf der lokalen Ebene einzelner Mitgliedsstaaten oder Initiativen wie der „Senior Officials Group for Information Security“ (SOG-IS) sichtbar gemacht und behandelt.
Dabei wirken Fragen der Cybersicherheit (siehe Rn. 54, 67 CSA [1]) vorwiegend gleichförmig in und über alle Branchen hinweg, wurden aber nur dort, also vertikal und letztlich fragmentiert behandelt. Zwar wenden die Akteure in den Sektoren dieselben Sicherheitsstandards an, allerdings variieren deren Sicherheitsmaßnahmen aufgrund ihrer verschiedenen Risikoaffinitäten. In den letzten Jahren erließ die EU-Kommission für einzelne Sektoren wegen ihrer Relevanz für das öffentliche Leben und die Sicherheit Richtlinien, zum Beispiel für Zahlungsdienstleister, über digitale Tachografen oder elektronische Identitäten.
Einheitliche und breitenwirksame Zusicherungen sind daher nicht mittels einheitlicher systemischer Anforderungen und Maßnahmen, sondern mittels horizontaler und damit sektorüberspannender Prüfanforderungen zu erreichen (siehe Rn. 67, 69 CSA). Ein solches europäisches Zertifizierungsschema motiviert die Inklusion von „Security by Design“, um die Sicherheit und Resilienz von Informationssystemen zu fördern. Als viel beachtetes Hauptinstrument des CSA stärkt ein Zertifizierungsschema das Vertrauen europäischer Konsumenten in informationstechnische Produkte, Dienste und Prozesse anhand risikobasierter Sicherheitsaussagen bezüglich transparenter Anforderungen.
Die Europäische Kommission zielt mit ihrem für den CSA zuständigen Generaldirektorat „DG Connect“ auf die Förderung und tiefere Integration des europäischen Binnenmarktes. Dafür stärkt sie die Position der ENISA als europäische Agentur beim Aufbau der Reaktionsfähigkeit auf Sicherheitsbedrohungen in den Mitgliedsstaaten, bei der Etablierung europaweiter risikobasierter Zertifizierungsschemata und der Implementierung einer europäischen Cybersicherheitspolitik mit einem dauerhaften Mandat.
Der Rechtsrahmen
Der Zertifizierungsrahmen des CSA [1] legt die folgenden Prinzipien nieder:
- Ein „Europäisches Schema für die Cybersicherheitszertifizierung bezeichnet ein umfassendes Paket von Vorschriften, technischen Anforderungen, Normen und Verfahren, die auf Unionsebene festgelegt werden und für die Zertifizierung oder Konformitätsbewertung von bestimmten IKT-Produkten, -Diensten und -Prozessen gelten“ (siehe Art. 2, Abs. 9 CSA)./li>
- Innerhalb des Rechtsrahmens kann es verschiedene Zertifizierungsschemata für verschiedene Kategorien an IKT-Produkten, -Diensten und -Prozessen geben (siehe Art. 46, Abs. 2 und Art. 2, Abs. 9 CSA)./li>
- Die Anwendung eines europäischen Zertifizierungsschemas ist initial freiwillig. Mit der europaweit verbindlichen Implementierung eines Zertifizierungsschemas über einen Durchführungsrechtsakt sind entsprechende nationale Schemata unwirksam (siehe Art. 57, Abs. 1 CSA).
- Grundlage eines Schemas sind europäische oder internationale Normen (siehe Art. 54, Abs. 1c CSA) oder technische Spezifikationen, die mindestens nach den internationalen Standardisierungsgrundsätzen Offenheit, Konsens, Transparenz, Relevanz, Neutralität und Stabilität erstellt wurden (siehe Rn. 2, 13, Anhang 2 in [4] sowie Rn. 280-284 in [2]).
- Die risikobasierte Sicherheitsaussage eines Zertifikats ist einer Vertrauenswürdigkeitsstufe Niedrig, Mittel und Hoch (engl. Basic, Substantial, High) zugeordnet (siehe Art. 52, Abs. 1 CSA). Eine Vertrauenswürdigkeitsstufe kann feiner in einzelne Prüfniveaus und Prüfkomponenten unterteilt werden (siehe Art. 52, Abs. 8 CSA).
- Ein Schema kann sich über mehrere Vertrauenswürdigkeitsstufen erstrecken (siehe Art. 52, Abs. 1 und Art. 54, Abs. 1d CSA). Ferner gibt ein Schema an, welche Sicherheitsziele es für welche Kategorie an Produkten, Prozessen oder Diensten verfolgt (siehe Art. 51 CSA).
- Die Verfahrensordnung, zum Beispiel die Gültigkeitsdauer der Zertifikate, wird vom Schema festgelegt (siehe Art. 54 CSA). Die Anwendung der Vorschriften des CSA wird von der zuständigen nationalen Behörde für die Cybersicherheitszertifizierung überwacht (siehe Art. 58 CSA).
- Schemata werden alle fünf Jahre auf ihren Anwendungsbereich und Erfolg validiert (siehe Art. 49, Abs. 8 CSA), um sie neuen Sicherheitsherausforderungen anzupassen und die Überlappung von Schemata zu vermeiden.
- Die EU-Kommission hat die Federführung bei der Ausarbeitung von Zertifizierungsschemata und kann diese Aufgabe an die ENISA delegieren (siehe Art. 48 CSA). Dafür kann die ENISA von Ad-hoc-Arbeitsgruppen unterstützt werden (siehe Art. 49 CSA).
- Die nationalen Behörden für die Cybersicherheitszertifizierung der Mitgliedsstaaten (National Cybersecurity Certification Authority, NCCA) bilden die Europäische Gruppe für die Cybersicherheitszertifizierung (European Cybersecurity Certification Group, ECCG) und unterstützen EU-Kommission und die European Union Agency for Cybersecurity (ENISA) bei der Umsetzung der Zertifizierungsschemata. Sie können in Einzelfällen selbst Zertifizierungsschemata beauftragen (siehe Art. 62 CSA).
- Die Gruppe der Interessenträger für die Cybersicherheitszertifizierung (Stakeholder Cybersecurity Certification Group, SCCG) berät EU-Kommission und ENISA in strategischen Fragen der Cybersicherheitszertifizierung.
Die Gruppe rekrutiert nach Auswahl der EU-Kommission aus einem Kreis sachverständiger Interessenvertreter (siehe Art. 22 CSA).
Ein Zertifizierungsschema kann damit die Effektivität der Sicherheitsmaßnahmen und ihrer zugrunde liegenden Sicherheitsanforderungen für alle Sektoren qualifizieren und vergleichbar machen. Bei vergleichbarer Anwendung und Wirkung der Maßnahmen über alle Sektoren hinweg ist das Ziel des CSA zur Bewältigung horizontaler Sicherheitsherausforderungen erfüllt.
Die Berücksichtigung bestehender Zertifizierungskonzepte nach dem Prinzip der Vertikal- oder Co-Regulierung stellt eine erste Herausforderung bei der Umsetzung des Europäischen Zertifizierungsrahmens dar. Eine weitere Herausforderung stellt die Bestimmung einer Vertrauenswürdigkeitsstufe im angemessenen Verhältnis zum akzeptierten Risiko und den Prüfanforderungen dar.
Was heißt Vertrauenswürdigkeit?
Ein mit dem CSA begründetes europäisches Zertifizierungsschema soll das Vertrauen von Bürgern, Unternehmen und öffentlichen Institutionen in die Digitalisierung stärken, indem es präzise Informationen über die Vertrauenswürdigkeitsstufe der zertifizierten digitalen Produkte, Dienste und Prozesse zur Verfügung stellt (siehe Rn 7, 10, 48, 57 CSA).
Die Vertrauenswürdigkeitsstufe (Assurance Level) eines Schemas muss das Risikoniveau ausdrücken, das der beabsichtigten Nutzung eines IKT-Produkts, -Dienstes oder -Prozesses angemessen ist (siehe Art. 52, Abs. 1 CSA). Das Risikoniveau wiederum beschreibt das erforderliche Maß an Bedrohungsresistenz der realisierten Sicherheitsanforderungen und die dafür notwendigen Evaluationsaktivitäten, wie in Tabelle 1 aufgeführt.
Sollten die im Text des CSA benannten Evaluationsaktivitäten für ein zu begründendes Schema nicht zur Feststellung einer Vertrauenswürdigkeitsstufe eines Prüfgegenstands geeignet sein, können alternative Prüfungen mit gleicher Wirkung vorgenommen werden. Beispielsweise kann für Prüfgegenstände wie Webserver ein Penetrationstest eher zu realisieren und aussagekräftiger sein als die Prüfung seiner technischen Dokumentation.
Ein Zertifizierungsschema kann je nach Genauigkeit und Prüftiefe der Evaluierungsmethodik verschiedene Bewertungsniveaus annehmen, wobei jedes Niveau einer Vertrauenswürdigkeitsstufe entspricht. Auf diese Weise ist es möglich, die etablierten Zusicherungsniveaus der Common Criteria (CC) aus der SOG-IS in den CSA zu überführen und als Zertifizierungsschema europaweit auszudehnen. Auf Grundlage der im CSA genannten Anforderungen an die Schwachstellenanalyse, kann die in EAL 4 enthaltene Komponente AVA_VAN.3 der Vertrauenswürdigkeitsstufe High zugeordnet werden. Analog lassen sich EAL 2 und 3 in der Stufe Substantial und EAL 1 in der Stufe Basic ansiedeln.
Ausschließlich in der Stufe Basic liegt es im Ermessen der Gründer eines Zertifizierungsschemas, neben der Herausgabe von Zertifikaten auch Konformitätserklärungen zuzulassen (siehe Rn. 87 CSA). Die aus dem „New Legislative Framework“ bekannten Selbsterklärungen der Hersteller über die Beachtung essenzieller Vorgaben könnten damit ebenfalls Eingang in den CSA finden.
Grundsätzlich werden Zertifikate von Konformitätsbewertungsstellen (Conformity Assessment Body, CAB) herausgegeben (siehe Art. 56, Abs. 4 CSA). In der Stufe High werden Zertifikate nur von einer nationalen Behörde für die Cybersicherheitszertifizierung (NCCA) oder von diesen beliehenen Stellen herausgegeben (siehe Art. 56, Abs. 6 CSA).
Tabelle 1: Eigenschaften der Vertrauenswürdigkeitsstufen
Ein Zertifikat oder eine Konformitätserklärung enthält mindestens die Vertrauenswürdigkeitsstufe, die vom Prüfgegenstand
erfüllten Sicherheitsziele und die Evaluierungsaktivitäten samt der zugrundeliegenden technischen Spezifikation beziehungsweise Norm (siehe Art. 52, Abs. 2–4 CSA). Diese Mindestangaben und die Reputation der Konformitätsbewertungsstellen begründen die Vertrauenswürdigkeit des Prüfgegenstands und des Zertifikats.
Literatur
[1] Europäische Union, Regulation (EU) 2019/881 of the European Parliament and of the Council of 17 April 2019 on ENISA (the European Union Agency for Cybersecurity) and on information and communications technology cybersecurity certification and repealing Regulation (EU) No 526/2013 (Cybersecurity Act), April 2019, https://eurlex.europa.eu/eli/reg/2019/881/oj
[2] Europäische Union, Guidelines on horizontal cooperation agreements, Mai 2011, https://eurlex.europa.eu/legalcontent/EN/TXT/?uri=LEGISSUM:l26062
[3] Europäische Union, Directive (EU) 2016/1148 of the European Parliament and of the Council of 6 July 2016 concerning measures for a high common level of security of network and information systems across the Union, Juli 2016, https://eurlex.europa.eu/eli/dir/2016/1148/oj
[4] Europäische Union, Regulation (EU) No 1025/2012 of the European Parliament and of the Council of 25 October 2012 on European standardisation, amending Council Directives 89/686/EEC and 93/15/EEC and Directives 94/9/ EC, 94/25/EC, 95/16/EC, 97/23/EC, 98/34/EC, 2004/22/EC, 2007/23/ EC, 2009/23/EC and 2009/105/EC of the European Parliament and of the Council and repealing Council Decision 87/95/EEC and Decision No 1673/2006/EC of the European Parliament and of the Council Text with EEA relevance, Oktober 2012, https://eur-lex.europa.eu/eli/reg/2012/1025/oj