Gesetze und Normen zur Cybersicherheit

Sibylle Gabler über Sicherheit beim Internet der Dinge.

Foto von Sibylle Gabler. Im Hintergrund Berlin Tiergarten
Als Leiterin Regierungsbeziehungen bei DIN steht Sibylle Gabler in engem Austausch mit politischen Stakeholdern in Deutschland und Europa.
© DIN

Der Rechtsakt zur Cybersicherheit (Cybersecurity Act, CSA) soll die Mitgliedstaaten der Europäischen Union bei der Bewältigung von Bedrohungen und Angriffen im Cyberspace unterstützen. Er beinhaltet Regelungen für die europäische Cybersicherheitsagentur ENISA und schafft einen Rahmen für freiwillige Zertifizierungssysteme, die von der Behörde entwickelt werden sollen. Europäisches Parlament, Rat und Kommission haben im Dezember 2018 eine Einigung über den CSA erzielt, die noch im März im Parlament abgestimmt werden soll. Er könnte dann im Mai 2019 in Kraft treten.

Der europäische Gesetzgeber verspricht sich von den Regelungen, dass Verbraucher Geräten des Internets der Dinge besser vertrauen können, Unternehmen durch einen einheitlichen Zertifizierungsrahmen Kosten einsparen, weil sie Zertifikate nicht in mehreren Ländern beantragen müssen. Zudem sollen Anreize für Unternehmen geschaffen werden, in die Cybersicherheit ihrer Produkte zu investieren.

Cybersicherheit ist für die Normung kein neues Thema. Bei ISO und IEC werden unter starker deutscher Beteiligung grundlegende Normenreihen für die Informationssicherheit gepflegt. DIN hat sich dafür eingesetzt, dass der CSA den zu erarbeitenden Zertifizierungssystemen internationale Normen zugrunde legt. Mit der Gründung des gemeinsamen Technischen Komitees 13 „Cybersicherheit und Datenschutz“ von CEN/Cenelec wurde eine Struktur geschaffen, um unter Berücksichtigung der europäischen Gesetzgebung internationale Normen in Europa zu übernehmen und eventuelle Normungsaufträge zu bearbeiten.

Freiwillige Zertifizierung

Der CSA sieht die Schaffung eines Rahmens für die freiwillige Zertifizierung von Cybersicherheit in Systemen vor. Auf Normung wird an vielen Stellen Bezug genommen. ENISA soll die Normungsorganisationen bei der Entwicklung der Zertifizierungssysteme konsultieren. Eine Gruppe von Interessensvertretern sowie eine Beratungsgruppe für die Behörde soll Repräsentanten der europäischen und internationalen Normung einbinden. Wenn im Gesetzestext von einer „Norm“ die Rede ist, sind damit die Dokumente der Normungsorganisationen gemeint. Normungsaufträge der Europäischen Kommission sollen das rollierende Arbeitsprogramm für Cybersicherheit- Zertifizierungssysteme berücksichtigen.

Am interessantesten aus Normungssicht ist Artikel 47, Absatz 1b der Verordnung, welcher die Bestandteile der Zertifizierungssysteme aufzeigt: Der Bezug zu internationalen, europäischen sowie nationalen Normen ist darin ausdrücklich gefordert. Sollte es im Normungsangebot Lücken geben, können den Systemen auch technische Spezifikationen zugrunde gelegt werden. Diese müssen die Kriterien einhalten, die laut Normungsverordnung für Technische Spezifikationen (die nicht von den Normungsorganisationen erarbeitet wurden) vorgesehen sind. Zuletzt ist aber auch eine Heranziehung von „Technischen Spezifikationen und anderen Cybersicherheitsanforderungen“ möglich.

Unnötiger Spielraum

Aus Sicht der Normungsorganisationen ist der Artikel einerseits sehr begrüßenswert, weil er die Forderung aufnimmt, internationale und europäische Normen den Systemen zugrunde zu legen. Andererseits lässt er unnötigen Interpretationsspielraum, was die technischen Spezifikationen betrifft. Die Beauftragung von Europäischen Normen seitens der Kommission zu avisieren, falls notwendige Normen fehlen, wäre sinnvoller gewesen.

Dass der CSA Interpretationsspielräume lässt, zeigen die Fragen, die Steve Purser von der ENISA-Leitungsebene aufwirft. Wer entscheidet darüber, welche Norm zur Anwendung kommt? Wie gehen wir mit widersprüchlichen Normen um? Was tun wir, wenn keine passenden Normen vorhanden sind? Stimmen die Zeitabläufe des Normungsprozesses und des Zertifizierungsprozesses überein?

In der Zusammenarbeit mit den Normungsorganisationen können diese Fragen im Wesentlichen beantwortet werden. Internationale Normen sollten den Vorrang haben, außer dort, wo europäische Gesetzgebung die Erarbeitung rein europäischer Normen notwendig macht. Europäische Normen sowie internationale Normen von ISO/ IEC haben den großen Vorteil, untereinander kohärent und widerspruchsfrei zu sein. Bei fehlenden Normen sollten die Normungsorganisationen frühzeitig mit einem Normungsauftrag bedacht werden, um schnellstmöglich Europäische Normen zu erarbeiten, die dann für die Zertifizierungsprozesse zur Verfügung stehen. Fazit: Der CSA legt den Grundstein für eine Zusammenarbeit zwischen ENISA und der Normung. Die Chancen müssen in der Ausgestaltung wahrgenommen werden.