Der Cybersecurity-Act : Was Unternehmen bevorsteht

Nachdem es in den vergangenen Jahren vermehrt zu Cyber-Angriffen auf Unternehmen und Einrichtungen auch innerhalb der Europäischen Union kam, beschloss der Europäische Rat für die Europäische Union eine einheitliche Strategie zur Cybersicherheit zu entwickeln. Erster Bestandteil und Rechtsakt zur Umsetzung dieses Beschlusses war die Richtlinie zur Gewährleistung einer hohen Netzwerk- und Informationssicherheit (NIS-Richtlinie, vgl. 2018# 3, S. 20). Darin wurden unter anderem eine engere Zusammenarbeit der Mitgliedstaaten, Mindeststandards in Sicherheitsfragen und Meldepflichten für sogenannte kritische Infrastrukturen (KRITIS) wie Chemieanlagen und Kraftwerke sowie bestimmte Anbieter digitaler Dienste wie Clouds festgelegt.

Für die Umsetzung dieser Richtlinie hatten die Mitgliedstaaten bis zum Mai 2018 Zeit – in Deutschland ist Rechtsgrundlage für die Umsetzung dieser Richtlinie vor allem das IT-Sicherheitsgesetz (IT-SiG). Zentrale Anlaufstelle im Fall von Angriffen auf kritische Infrastrukturen ist das Bundesamt für Sicherheit in der Informationstechnik (BSI), das in der Folge allem voran sogenannte Mobile Incident-Response-Teams (MIRTs) eingerichtet hat, denen Unternehmen Cyber-Angriffe melden können, um eine schnellstmögliche Untersuchung vor Ort und eine Bewältigung der Probleme mittels der MIRTs zu erreichen.

Wozu noch ein Gesetz?

Trotz dieser Maßnahmen, die sich vor allem auf den konkreten – bereits stattgefundenen oder unmittelbar bevorstehenden – Fall von Cyber-Attacken beziehen, fehlt in der EU weiterhin eine darüber hinausgehende, einheitliche Strategie zur Cybersicherheit. Diese ist jedoch erforderlich, um sowohl den digitalen Binnenmarkt als auch Sicherheit für das Internet der Dinge (IoT) zu gewährleisten, noch bevor es zu (konkreten) Cyber-Angriffen kommt. Erst daraus entstünden dann nicht nur ein gestärkter Markt für IKT-Produkte und Dienstleistungen in Europa, sondern idealerweise auch ein gestärktes Vertrauen der Verbraucher und damit ein weiterer Wettbewerbsvorteil.

Zudem sind viele Unternehmen und staatliche Einrichtungen von sicheren und funktionierenden digitalen Netzen abhängig – Angriffe auf digitale Netze oder Einrichtungen eines Mitgliedstaates haben dabei wegen der zunehmenden Vernetzung in Europa häufig Auswirkungen auch auf andere Mitgliedstaaten. Um diesen Risiken zu begegnen, will die EU mit dem CybersecurityAct (zweiter Rechtsakt zur Cybersicherheit) das Ziel der einheitlichen Strategie zur Cybersicherheit in Europa auf eine breitere Grundlage stellen und bereits bei der Qualität von Produkten und Dienstleistungen vor deren Markteintritt ansetzen.

Um diese Ziele größerer Produkt- und Dienstleistungssicherheit zu erreichen, hat der Rat der Europäischen Union im Juni 2018 seine „Allgemeine Ausrichtung“ für einen Rechtsakt zur Cybersicherheit bekannt gegeben und damit Stellung zum Entwurf der Kommission für eine Verordnung zur Cybersicherheit (CybersecurityAct) genommen. Der Entwurf der Kommission und die Stellungnahme des Rates müssen noch im Europäischen Parlament diskutiert und bestätigt werden, bis sie in Form einer Verordnung in Kraft treten können. Diese Verordnung soll Ende 2018 fertig sein und würde dann unmittelbar – ohne Umsetzung in nationales Recht der Mitgliedstaaten – gelten.

Zentrale Aussagen des Entwurfs

Kern der „Allgemeinen Ausrichtung“ des Rates und des Vorschlags der Kommission ist es, unabhängig von unmittelbar bevorstehenden Cyber-Angriffen durch eine langfristige Strategie die Widerstandsfähigkeit gegen Cyber-Angriffe zu erhöhen. Dazu soll ein EU-weiter Rahmen für die Zertifizierung der Cybersicherheit von Produkten, Diensten und Verfahren der Informations- und Kommunikationstechnik (IKT) geschaffen werden.

Dabei greift der Rat in seiner Stellungnahme auf die Erfahrungen bestimmter Industriezweige im Zusammenhang mit der Zertifizierung von Produkten zurück. Als Beispiele werden „Smart Cars“, elektronische Produkte in der Medizin und andere Sparten genannt. Diese Erfahrungen könnten dazu dienen, ähnliche Zertifizierungssysteme für alle genannten Produkte und Dienstleistungen einzuführen. Erhält ein Produkt eine solche Zertifizierung der EU, soll damit bestätigt werden, dass die Verfügbarkeit, Echtheit, Sicherheit und Vertraulichkeit verwendeter Daten, die über die zertifizierten Produkte und Dienstleistungen übertragen oder damit verarbeitet werden, gewahrt bleiben.

Zertifizierungen sollen vor allem dann ausgesprochen werden, wenn gewährleistet werden kann, dass Daten gegen unbefugten Zugang, unbefugte Speicherung und unbefugte Weitergabe sowie Beschädigung geschützt sind. Dazu müssten Produkte und Dienstleistungen jeden Datenzugang und die Akteure, die einen Zugang versuchen, aufzeichnen und speichern. Zudem müssten Daten so gespeichert werden, dass sie etwa im Falle von CyberAngriffen wiederherzustellen sind. Und nicht zuletzt wäre der Einsatz immer aktueller Soft- und Hardware vonnöten – Sicherheitslücken dürften dafür nicht öffentlich bekannt sein und Updates müssten auf eine sichere Weise und ohne erkennbare Angriffsflächen durchgeführt werden.

Stufen der Zertifizierung

Geplant sind Zertifizierungen mit den Sicherheitslevels „basic“, „substantial“ und „high“ – je nachdem inwieweit Produkte und Dienstleistungen gegen Angriffe von geringer oder höherer Intensität, etwa durch erfahrene, staatlich beauftragte Hacker, geschützt wären. Dabei könnte das Basic-Zertifikat unter Umständen auch dann schon ausgestellt werden, wenn ein Unternehmen selbst die Sicherheit seiner Produkte und Dienstleistungen gegenüber geringen Risiken wie kleineren Cyber-Attacken geprüft und bestätigt hätte.

Zertifikate können sowohl durch nationale Behörden als auch durch solche der EU vergeben werden. Mit Wirkung des Cyber-Security-Acts verlieren jedoch bisherige nationale Zertifikate im Anwendungsbereich der Verordnung ihre Wirkung.

Der jetzige Entwurf des Cybersecurity-Acts von Kommission und Rat sieht vor, dass eine Zertifizierung freiwillig erfolgt, solange und soweit nationales Recht oder das Recht der EU nichts anderes vorsehen. Daraus könnte im Umkehrschluss folgen, dass die Zertifizierung doch irgendwann einmal verpflichtend wird, wenn die Ziele größerer Cybersicherheit nicht erreicht werden. Die bisher für eine freiwillige Zertifizierung entwickelten Kriterien müsste man dann auf eine obligatorische Zertifizierung übertragen, was Unternehmen vor große Herausforderungen stellen könnte. Es bleibt abzuwarten, ob der europäische Gesetzgeber für den Fall einer verpflichtenden Zertifizierung die Verordnung um Mindestanforderungen ergänzt, die für eine verpflichtende Zertifizierung ausreichend erscheinen.

Veränderungen, Vor- und Nachteile

Neben dem beschriebenen Evaluierungssystem soll die EU-Agentur für Netz- und Informationssicherheit (ENISA) in eine ständige EU-Agentur für Cybersicherheit umgewandelt und mit größeren Befugnissen ausgestattet werden. Sie soll dabei ihre Kenntnisse im Bereich der Zertifizierung relevanter Produkte und Dienstleistungen ausbauen und das System der Cyber-Zertifizierung in Europa vorantreiben.

Dem Rat zufolge ist es das Ziel der EU, interoperable technische Standards zu etablieren und diese um EU-weite Zertifizierungen zu ergänzen, um so einen einheitlichen Markt im Bereich der ICT-bezogenen Produkte und Dienstleistungen sowie der Cybersecurity zu erreichen. Die damit einhergehende Erschwernis, im internationalen Markt zu konkurrieren, werde durch den Vorteil leicht erkennbarer Sicherheitsstandards kompensiert, die Unternehmen eine langwierige Suche nach sicherer Technologie ersparen. Zudem reduzierten einheitliche EU-Zertifizierungen auch Kosten für Unternehmen, weil man nicht länger auf verschiedene, sich unter Umständen überschneidende nationale Zertifizierungen Rücksicht nehmen müsste.

In Verbindung mit dem europäischen Datenschutzrecht genießt die von der EU bestätigte Sicherheit technischer Produkte und Dienstleistungen im weltweiten Vergleich ein hohes Ansehen, sodass der CybersecurityAct auch den Export entsprechender Leistungen begünstigen kann

Speziell für deutsche Unternehmen, deren Produkte bereits in Deutschland zertifiziert wurden, dürfte die Erlangung EU-weiter Zertifizierungen leichter gelingen als für Unternehmen aus anderen Mitgliedstaaten, da das Sicherheitsniveau – vor allem im Bereich des ITSicherheitsgesetzes – in Deutschland als sehr hoch gilt. Dadurch können kostspielige Umstellungen auf die neuen gesetzlichen Anforderungen der EU vermieden werden. Gleiches gilt für Unternehmen, die bereits in Branchen mit zertifizierten Produkten wie „Smart Cars“ oder „Smart Homes“ tätig sind.

Der größte Vorteil dürfte jedoch insgesamt in der zuküntigen Vermeidung erheblicher Kosten durch Cyber-Angriffe auf Unternehmen liegen – sofern der Cybersecurity-Act Erfolg haben sollte.

Nachteilig erscheint im Moment vor allem die unklare Rechtslage bezüglich der Freiwilligkeit der Zertifizierung. Hier gilt es für den europäischen Gesetzgeber, Klarheit zu schaffen, bevor die Verordnung in Kraft tritt. Zudem sollte eine einheitliche Zertifizierung nicht zum Absenken von Sicherheitsstandards für Produkte aus Unternehmen mit hohem Sicherheitsniveau führen, da hierdurch – vor allem für deutsche Unternehmen – Vertrauensverluste und Wettbewerbsnachteile einhergehen könnten.

Die Pflicht zur jederzeitigen Datenerhebung und -speicherung könnte zudem mit der Datenschutzstrategie von Unternehmen kollidieren – hier sind ebenfalls Klarstellungen durch den EU-Gesetzgeber angezeigt

Fazit

Der Cybersecurity-Act setzt an der richtigen Stelle an. Die Sicherheit im digitalen Raum Europas muss bereits im Vorfeld von Cyber-Angriffen gewährleistet sein. Das Kriterium der Freiwilligkeit einer Zertifizierung würde zwar unbillige Härten für Unternehmen vermeiden. Sollte der europäische Gesetzgeber eine gangbare Lösung für die Umstellung auf eine mögliche verpflichtende Zertifizierung finden, könnte der Cybersecurity-Act jedoch einen großen Schritt zu mehr Cybersicherheit und Wettbewerbsfähigkeit für Europa bedeuten.

Ein gesteigertes Vertrauen von Verbrauchern könnte den Innovationsvorsprung etwa des asiatischen Marktes in Teilen kompensieren, aber – wenn eine einfache Umsetzung versagt – auch den europäischen Markt lähmen.

Kathrin Schürmann ist Rechtsanwältin und Partnerin bei Schürmann Rosenthal Dreyer in Berlin sowie Co-Founder von lawpilots, einem E-Learning-Anbieter für die rechtlichen Herausforderungen der Digitalisierung mit Schwerpunkt Datenschutz und IT-Sicherheit. In ihrer Funktion als Datenschutzexpertin arbeitet Kathrin Schürmann zudem als Beraterin für die ISiCO Datenschutz GmbH.