Definition Cybersecurity Act| CSA Was ist der Cybersecurity Act?

Der Cybersecurity Act ist eine 2019 in der EU in Kraft getretene Verordnung zur Cybersicherheit. Sie stärkt das Mandat der europäischen Cybersicherheitsagentur ENISA (European Union Agency for Cybersecurity) und führt ein einheitliches europäisches Zertifizierungsrahmenwerk für ITK-Produkte und -Dienstleistungen ein. Die EU-Staaten sind verpflichtet, den CSA in vollem Umfang umzusetzen.

Anbieter zum Thema

FTAPI Software GmbH

valvisio international AG

Die deutsche Bezeichnung für den EU Cybersecurity Act, abgekürzt EU CSA, lautet europäischer Rechtsakt zur Cybersicherheit. Die Verordnung mit der Benennung (EU) 2019/881 trat im Jahr 2019 in Kraft. Sie ist Teil eines im Jahr 2017 von der Europäischen Kommission vorgelegten Maßnahmenpakets zur Stärkung der Cybersicherheit in der Europäischen Union. Der Cybersecurity Act ersetzt die Verordnung (EU) 526/2013 und muss von den EU-Staaten verpflichtend in vollem Umfang umgesetzt werden. Kernelemente der Verordnung sind die Stärkung des permanenten Mandats der europäischen Cybersicherheitsagentur ENISA (European Union Agency for Cybersecurity - ehemals European Network and Information Security Agency) und die Einführung eines einheitlichen europäischen Zertifizierungsrahmenwerks für ITK-Produkte und -Dienstleistungen. Das Rahmenwerk sieht unter anderem definierte Sicherheitslevel für ITK-Produkte und ITK-Dienstleistungen in Form der Stufen "niedrig", "mittel" und "hoch" vor. An der Umsetzung des Cybersecurity Acts sind neben der ENISA weitere Institutionen beteiligt wie die Stakeholder Cybersecurity Certification Group (SCCG), die European Cybersecurity Certification Group (ECCG), die Europäische Kommission und Ad-hoc-Arbeitsgruppen.

Zielsetzungen des Cybersecurity Acts

Als Teil des 2017 vorgelegten Maßnahmenpakets verfolgt der CSA die grundsätzliche Zielsetzung, die Cybersicherheit im europäischen Binnenmarkt zu verbessern und die Widerstandskraft gegenüber Cyberbedrohungen zu stärken. Insbesondere soll auch das Vertrauen in das Internet der Dinge (IoT) gestärkt werden. Der Cybersecurity Act sorgt für mehr Rechtssicherheit für in der EU tätige außereuropäische Unternehmen und bringt Klarheit für Verbraucher. Für die Unternehmen sollen Anreize geschaffen werden, in die Cybersicherheit digitaler Produkte zu investieren. Im Detail umfasst der CSA die folgenden beiden Regelungskomplexe: „EU-Cybersicherheitsagentur (ENISA)“ und „Zertifizierungsrahmenwerk“

Der Regelungskomplex ENISA beinhaltet ein dauerhaftes, robustes Mandat für die im Jahr 2004 gegründete EU-Cybersicherheitsagentur ENISA. Es werden sowohl die personellen als auch die finanziellen Mittel der Agentur deutlich aufgestockt. Die ENISA agiert als ein unabhängiges Kompetenzzentrum und stärkt die Abwehrkraft gegenüber Cyberbedrohungen in der Europäischen Union. Aufgabe der ENISA ist es, EU-Staaten und EU-Institutionen im Bereich Cybersicherheit zu unterstützen. Gleichzeitig wirkt sie bei der Entwicklung von Gesetzesvorhaben mit.

Der Regelungskomplex Zertifizierungsrahmenwerk schafft einen einheitlichen Rahmen innerhalb der Europäischen Union, um die Sicherheit von Produkten, Dienstleistungen und Prozessen von Informations- und Kommunikationstechnologien (IKT) zu zertifizieren. Ausgestellte Zertifikate sind in den Mitgliedsstaaten der EU gültig. Sie informieren über die von den Produkten und Dienstleistungen erfüllten Sicherheitsanforderungen. Das Rahmenwerk sieht definierte Sicherheitslevel in Form der Stufen "niedrig", "mittel" und "hoch" vor, die eine Risikoabwägung im Hinblick auf die Wahrscheinlichkeit eines Sicherheitsvorfalls beinhalten. In der niedrigsten Stufe können Hersteller die Konformität ihrer Produkte und Dienstleistungen selbst bewerten. Die höchste Stufe bestätigt umfangreiche Fähigkeiten, Cyberangriffe auf dem aktuellsten Stand der Technik abzuwehren. Die Basis für das Zertifizierungsrahmenwerk sollen internationale Standards bilden.

(ID:48089650)