Mit dem „Cybersecurity Act“ soll ein EU-weites Zertifizierungs- und Kennzeichnungssystem der Cybersicherheit von Produkten, Dienstleistungen und ggf. Prozessen etabliert werden (vgl. BDEWplus Artikel vom 18.12.2017). Hierdurch soll zukünftig ermöglicht werden, EU-weit sicherheitszertifizierte IT-Produkte (z.B. Tablets, Smartphones, Router etc.), Dienstleistungen und Produkte anzubieten. Nach dem Kommissionsvorschlag soll diese Zertifizierung zunächst freiwillig erfolgen. Sobald ein EU-Zertifizierungsschema vorliegt, wären einzelne, nationale Zertifizierungsschemata in einzelnen Mitgliedsstaaten für diesen Bereich jedoch ausgeschlossen.
Gütesiegel für IT-Sicherheit
In Deutschland ist dieses Vorhaben auch im Zusammenhang mit den Plänen der aktuellen Regierungskoalition zur Einführung eines Gütesiegels für die IT-Sicherheit zu sehen. Dieses Gütesiegel zielt darauf ab, Verbraucher in die Lage zu versetzen, ihre Kaufentscheidung bei IT-Produkten auch von Eigenschaften bezüglich der IT-Sicherheit abhängig zu machen, ähnlich wie dies schon jetzt bei den bereits eingeführten EU-Energieeffizienzlabels für Haushaltsgeräte erfolgt.
Der BDEW hatte sich bereits Anfang des Jahres 2018 mit einer Stellungnahme zum Verordnungsentwurf der Kommission geäußert und seine Position aktiv in das EU-Parlament und beim Rat der Europäischen Union eingebracht (vgl. BDEWplus Artikel vom 17.1.2018).
Unter anderem konnte der BDEW hierdurch bereits erreichen, dass in der Position des Parlaments und/oder des Rats aufgenommen wurde, dass
- bei neuen Zertifizierungsschemata die Kompatibilität zu bestehenden internationalen und europäischen Standards sichergestellt wird (Artikel 2 + 4),
- die ENISA bei der Umsetzung von Unionsrecht eine enge Kooperation mit Interessensvertretern der Wirtschaft vorsieht (Artikel 8),
- bei der Auswahl von neuen Zertifizierungsschemata die Interessen von Betreibern Kritischer Infrastrukturen („operators of essential services / Betreiber wesentlicher Dienste“) und von europäischen Normungsorganisationen berücksichtigt werden müssen (Artikel 20 + 44).
Vorgaben zum Einsatz zertifizierter Produkte
Seit Mitte September laufen in Brüssel die Trilogverhandlungen zwischen EU-Kommission, Parlament und Rat. Obwohl im ursprünglichen Entwurf der Kommission eine freiwillige Zertifizierung vorgesehen war, zielen aktuelle Diskussionen sowohl im Parlament als auch im Rat darauf ab, in bestimmten Bereichen, wie z.B. Kritischen Infrastrukturen, eine Zertifizierung verpflichtend vorzuschreiben (Artikel 48 +48a).
Dies wird vom BDEW kritisch gesehen, da Zertifizierungsvorgaben oder Vorgaben zum Einsatz zertifizierter Produkte oder Prozesse nur sinnvoll sein können, wenn zuvor die Eignung und Anwendbarkeit für den spezifischen Anwendungsfall qualifiziert geprüft wurden. Dies kann nur unter Einbeziehung der für die jeweiligen Anwendungsfälle zuständigen Standardisierungsgremien in den Mitgliedsstaaten sowie in den europäischen Normungsorganisationen CEN, CEN ELEC und ETSI erfolgen. Des Weiteren zeigen die aktuellen Erfahrungen der Branche im Kontext intelligenter Messsysteme, dass auch die ausreichende Verfügbarkeit zertifizierter Produkte sichergestellt sein muss, bevor ihr Einsatz verpflichtend vorgeschrieben werden kann.
Die österreichische Ratspräsidentschaft hat angekündigt, den Gesetzgebungsprozess bis Ende 2018/Anfang 2019 abschließen zu wollen. Der BDEW wird seine oben beschriebene Position weiterhin in die Verhandlungen einbringen und seine Mitgliedsunternehmen zu neuen Entwicklungen zeitnah informieren.