Aktuelles > cep | Mehr nationale Mitsprache bei EU-Cybersicherheit nötig

Artikel Details:

cep | Mehr nationale Mitsprache bei EU-Cybersicherheit nötig

Die Kommission will mit der Verordnung einen „europäischen Rahmen“ für die Zertifizierung der Cybersicherheit von IKT-Produkten und Diensten etablieren. Kernelement dieses Rahmens sind einzelne von der ENISA auszuarbeitende „Europäische Systeme für die Cybersicherheitszertifizierung“ (ESCZ) für spezifische IKT-Produkte und Dienste. Die sodann von der Kommission beschlossenen ESCZ stellen das jeweilige Regelwerk zur Zertifizierung der jeweiligen IKT-Produkte und -Dienste dar.

Vor dem Hintergrund zunehmender Cybersicherheitsrisiken und -angriffe ist ein koordiniertes Vorgehen der EU durchaus sinnvoll. Das cep erkennt in seiner jüngsten Analyse zum Vorschlag der EU-Kommission an, dass EU-weite Regeln für die Cybersicherheitszertifizierung den Markt für cybersichere IKT-Produkte und -Dienste durchaus beleben können. Allerdings ist fraglich, ob die EU-Kommission und die Cybersicherheitsagentur ENISA über das Wissen verfügen, für welche IKT-Produkte und Dienste ESCZ sinnvoll erscheinen und wie diese im Detail ausgestaltet sein sollten. Aus Sicht des cep sollten die Mitgliedstaaten bei der Erarbeitung von ESCZ zwingend eingebunden werden. Der EU-Gesetzgeber darf nicht so weit gehen, Cybersicherheitsregeln zu erlassen, die die nationale Sicherheit der Mitgliedstaaten berühren.

Dass nationale Cybersicherheitszertifizierungssysteme (NSCZ) unwirksam werden sollen, sobald sie durch ein korrespondierendes ESCZ ersetzt werden, und die Verpflichtung für die Mitgliedstaaten, alle ESCZ-Zertifikate anzuerkennen, können zu einer Absenkung des Schutzniveaus in den Mitgliedstaaten führen. Um ein hohes technisches Sicherheitsniveau zu erzielen, sollten die Mitgliedstaaten und die Wirtschaft bei der Erarbeitung von ESCZ zwingend eingebunden und nicht lediglich „konsultiert“ werden. Zudem – so die cep-Experten – sollte klargestellt werden, dass die Mitgliedstaaten die Verwendung von IKT-Produkten und -Diensten an strengere (nationale) Voraussetzungen knüpfen dürfen, wenn der Schutz wichtiger nationaler Interessen wie der öffentlichen Sicherheit, der Landesverteidigung oder des Strafrechts dies erfordert.

 

Hier geht es zur vollständigen Pressemitteilung des Centrums für Europäische Politik.