„Cybersecurity Act – Establishing the link between Standardization and Certification” ist der Titel einer gemeinsamen Konferenz von CEN-CENELEC, ETSI und ENISA, die am 13. Februar 2018 in Brüssel stattgefunden hat. Das Programm wurde wesentlich von der von DIN geführten Cyber Securuity Focus Group (CSCG) organisiert. 200 Teilnehmer vor Ort haben in Brüssel an den Vorträgen und Paneldiskussionen teilgenommen. Die Teilnehmer wurden durch Bernhard Thies (CENELEC Präsident), Luis Jorge Romero (Director General ETSI) und Steve Purser (Head of Core Operations Department ENISA) begrüßt. Im Verlauf des Tages wurden folgende Themen durch Keynotes und intensive Paneldiskussionen unter Einbeziehung eines interessierten und aktiven Auditoriums behandelt:

• Wie kann mithilfe des Cybersecurity Act das Vertrauen in ICT Produkte und Dienstleistungen im europäischen Markt erhöht werden?
• Wie kann ein EU Zertifizierungsrahmen eingerichtet werden? Welche Marktperspektiven sind dafür gegeben?
• Cyberstandardisierung für Produkte und Dienstleistungen: Welche Perspektiven für europäische und internationale Standards gibt es durch den European Cybersecurity Act?

Einigkeit herrschte darin, dass Zertifizierungsschemata sinnvoll auf Standards und Normen aufsetzen sollen. Standards und Normen setzen auf politischen Zielvorgaben auf und beschreiben die technische Umsetzung. Ein europaweit einheitliches und harmonisiertes Vorgehen anstelle von einzelstaatlichen Vorgaben und Regularien ist das richtige Ziel.

Unklarheit herrscht in Bezug auf den Grad der Verpflichtung zur Umsetzung. Hier muss dringend seitens der Politik nachgebessert werden: Bleibt es bei einer freiwilligen Zertifizierung oder wird diese verpflichtend? Sollte die Zertifizierung verpflichtend werden, wofür sich vor allem die Vertreter der Verbraucher (ANEC) aussprechen, dann ist eine Umsetzung über den NLF gefordert.

Sehr deutlich wurde, dass das neue CEN-CENELEC JTC 13 Cybersecurity and Data Protection mit seiner Arbeit die richtigen Impulse setzt. Es setzt sich dafür ein, dass internationale Normen, vordinglich die des ISO-IEC-JTC 1 Information Technology als Europäische Normen übernommen werden und nur dort, wo EU-Regularien Besonderheiten hinsichtlich der Anwendung von internationalen Technology Standards vorsehen, diese durch Technical Reports ergänzt werden. Damit ist eine für die Entwicklung eines Zertifizierungsrahmens gegebene Basis an Normen bereits vorhanden. Man muss also das Rad nicht neu erfinden, sondern lediglich beschreiben, wie das Rad in Europa mit den hier gültigen Verkehrsregeln gefahren wird.