Einheitliche Cybersecurity-Standards schaffen die Grundlage dafür, neue Sicherheitsanforderungen in Europa einheitlich umzusetzen. Mit dem geplanten Cybersecurity Act 2 (CSA2) will die EU-Kommission die europäischen Cybersicherheitsregeln weiterentwickeln. 

Der Entwurf sieht dafür unter anderem eine stärkere Rolle der EU-Agentur für Cybersicherheit ENISA vor. Künftig soll sie zusätzliche Aufgaben übernehmen, etwa bei Frühwarnungen vor Cyberbedrohungen, beim Schwachstellenmanagement und bei der Cybersicherheitszertifizierung. Zudem soll ENISA verstärkt technische Spezifikationen entwickeln. 

Damit neue Cybersicherheitsregeln in Europa effizient umgesetzt werden können, sollte die EU-Kommission auf bestehende Normungsstrukturen bei CEN und CENELEC aufbauen. Das europäische Normungssystem bringt Wirtschaft, Wissenschaft, Behörden und weitere Beteiligte zusammen und sorgt dafür, dass Standards europaweit und international breit genutzt werden können.  

DIN empfiehlt deshalb drei konkrete Anpassungen des Entwurfs: 

1. Doppelstrukturen vermeiden 

Der aktuelle Entwurf sieht vor, dass ENISA technische Spezifikationen vorrangig selbst entwickelt. Dadurch könnten neben dem bestehenden europäischen Normungssystem zusätzliche Verfahren entstehen. Das würde nicht nur den Abstimmungsaufwand erhöhen, sondern auch Ressourcen binden, die bislang in die Weiterentwicklung europäischer und internationaler Standards fließen. Zudem könnten unterschiedliche europäische und internationale Vorgaben entstehen – mit zusätzlichem Aufwand für Unternehmen und neuen Hürden für den europäischen Markt. 

Technische Standards sollten deshalb weiterhin vor allem über CEN und CENELEC entwickelt werden. Dort arbeiten Wirtschaft, Wissenschaft, öffentliche Hand und Zivilgesellschaft gemeinsam an europäischen Lösungen. So entstehen Standards, die europaweit und international breit genutzt werden können. Technische Spezifikationen von ENISA bleiben hinter diesen Vorteilen zurück und sollten daher nur in Ausnahmefällen erarbeitet werden. 

2. Breite Beteiligung sichern 

Der Entwurf des Cybersecurity Act 2 soll künftig ermöglichen, Unternehmen aus bestimmten Risikoländern von der Mitwirkung an europäischen Cybersecurity-Standards auszuschließen. Die Stärke der europäischen Normung liegt darin, dass unterschiedliche Akteure offen und transparent gemeinsam an Standards arbeiten. Ähnlich wie bei Open-Source-Software hilft genau diese Offenheit dabei, Risiken frühzeitig zu erkennen und Standards zu entwickeln, die in der Praxis funktionieren. 

Pauschale Ausschlüsse könnten die internationale Zusammenarbeit erschweren und die Akzeptanz europäischer Standards schwächen. Deshalb sollte der CSA2 auf die bewährten Prozesse der europäischen Normung setzen und Offenheit weiterhin als wichtigen Qualitätsfaktor erhalten. 

3. Regulatorik sinnvoll nutzen 

Der aktuelle Entwurf enthält detaillierte Vorgaben für Zertifizierungsstellen, obwohl internationale Standards – insbesondere die ISO/IEC-17000-Reihe – viele grundlegende Anforderungen bereits abdecken. Zusätzliche Detailvorgaben könnten bestehende Regeln unnötig doppeln und Verfahren komplizierter machen. Das würde Unternehmen und Zertifizierungsstellen zusätzlich belasten und die Abstimmung zwischen europäischen und internationalen Vorgaben erschweren. 

DIN empfiehlt deshalb, bestehende internationale Standards für Konformitätsbewerter stärker als Grundlage zu nutzen und zusätzliche cyberspezifische Anforderungen nur dort zu ergänzen, wo sie tatsächlich notwendig sind. So lassen sich Cybersicherheit, praktikable Regulierung und international abgestimmte Standards besser miteinander verbinden. 

Erfolgreiche Cybersecurity braucht starke Normungsstrukturen 

Cybersecurity braucht keine parallelen Standardisierungssysteme, sondern sollte auf die starken und gut abgestimmten europäische Normungsstrukturen setzen. 

Das DIN-Positionspapier zeigt konkrete Wege auf, wie Europa Cybersicherheit stärken, Standardisierung effizient weiterentwickeln und unnötige Doppelstrukturen vermeiden kann.