Cybersecurity Act tritt in Kraft – Relevanz für Hersteller von IT-Produkten und Anbietern von IT-Dienstleistungen

Cybersecurity Act tritt in Kraft – Relevanz für Hersteller von IT-Produkten und Anbietern von IT-Dienstleistungen

Am 27. Juni 2019 trat die EU-Verordnung 2019/881 (sog. Cybersecurity Act) in Kraft. Die Regelung schafft einen europäischen Rahmen für eine mögliche Zertifizierung der Cybersicherheit für Produkte, Dienstleistungen und Prozesse der Informations- und Kommunikationstechnologie (nachfolgend als „IKT-Gegenstände“ zusammengefasst). Eine Pflicht zur Durchführung einer Cybersicherheitszertifizierung wird durch den Cybersecurity Act (noch) nicht begründet. Vielmehr wird ein Rechtsrahmen geschaffen, der eine europaweit einheitliche freiwillige Zertifizierung ermöglicht.

Hintergrund des Cybersecurity Acts

Das Cybersecurity Act reiht sich in einen legislativen Maßnahmenkatalog der EU ein, welcher seit 2013 schrittweise umgesetzt wird, um den Schutz vor IT-Angriffen zu erhöhen und die Bereitschaft zur Cyber Security innerhalb der EU zu verbessern. Die wichtigste Maßnahme der Verordnung ist der Aufbau eines einheitlichen EU-Zertifizierungssystems, das so bisher nicht existiert und sich insbesondere an Hersteller und Anbieter von IKT-Gegenständen richtet.

Zur Zertifizierung von IKT-Gegenständen werden heute in den Ländern der EU bei der Mehrzahl der Zertifizierungen unterschiedliche Normen oder Zertifizierungsprogramme verlangt (z.B. das ISO 27001-Zertifikat). Dies hat zur Konsequenz, dass zum Beispiel Hersteller von Computerhardware für jedes Land, in dem sie eine Zertifizierung benötigen, jeweils einmal den Zertifizierungsprozess durchlaufen müssen.

Dieses kostspielige und zeitaufwändige Verfahren kann nunmehr durch den Cybersecurity Act umgangen werden. Die Verordnung gibt der EU-Kommission die Befugnis, Zertifizierungssysteme für Cybersicherheit zu verabschieden, die EU-weit gelten, sobald auf EU-Ebene eine Einigung über die Sicherheitsstandards für jeden IKT-Gegenstand erzielt wurde. Mit der Zertifizierung soll sodann bestätigt und sichergestellt werden, dass IKT-Gegenstände europaweit einen einheitlichen Standard zur IT-Sicherheit aufweisen.

Praktische Relevanz für Hersteller/Anbieter von IKT-Gegenständen

Grundsätzlich erfolgt die Zertifizierung von IKT-Gegenständen auf freiwilliger Basis. Ein Zertifizierungsschema kann allerdings verbindlich werden, wenn das EU-Recht dies erfordert. In diesem Zusammenhang plant die Europäische Kommission, bis zum 31.12.2023 eine Liste verbindlicher Zertifizierungsschemata vorzulegen.

Vor diesem Hintergrund sollten Hersteller und Anbieter von IKT-Gegenständen möglichst zeitnah Compliance-Mechanismen einführen, die auf eine Beobachtung der aktuellen Entwicklungen zu Zertifizierungsschemata auf EU-Ebene gerichtet ist. Entsprechende Informationen zu den europäischen Schemata für die Cyber Security-Zertifizierung, die europäischen Cybersicherheitszertifikate und EU-Konformitätserklärungen werden auf der Internetseite der Europäischen Agentur für Netz- und Informationssicherheit (ENISA) eingestellt.

Ungeachtet einer etwaigen obligatorischen Einführung von Zertifizierungsschemata sollten Unternehmen möglichst früh prüfen, ob nicht bereits eine freiwillige Zertifizierung ihrer IKT-Gegenstände durchgeführt werden sollte. Die freiwillige Zertifizierung kann beispielsweise im Zusammenhang mit öffentlichen Aufträgen von Relevanz sein, wenn die Lieferung von IKT-Gegenständen unter Einhaltung von EU-Sicherheitsstandards nach dem Cybersecurity Act ausgeschrieben wird.

Auch aus vertragsrechtlicher Sicht sollte der Cybersecurity Act von nun an Berücksichtigung finden. Werden bestehende Verträge angepasst oder neu abgeschlossen, sollten – ein entsprechender Kontext vorausgesetzt – auch Regelungen für den Fall von IT-Sicherheitsvorfällen oder Verpflichtungen auf bestimmte Sicherheitsstandards enthalten sein. So kann beispielsweise der Lieferant einer IKT-Komponente nicht nur auf bestimmte optische oder physische Leistungsmerkmale, sondern auch auf Sicherheitsstandards oder -Features verpflichtet werden.

Fazit

  • Der neue Zertifizierungsrahmen, den der Cybersecurity Act regelt, bietet insbesondere für kleine und mittlere Unternehmen (KMU) Vorteile, denn zukünftig wird die Einholung von nationalen Einzel-Zertifikaten obsolet, da es ein EU-weiteres Zertifizierungssystem geben wird.
  • Es scheint wahrscheinlich, dass EU-weite Zertifizierungen ab dem Jahr 2023 verbindlich durchzuführen sind, sodass Unternehmen bereits jetzt die konkreten Entwicklungen um die Vorgaben für Zertifizierungen verfolgen und möglicherweise umsetzen sollten.

Dr. Matthias Lachenmann & Ioannis Giakoumelos