Die EU hat mit dem im Sommer in Kraft getretenen Cybersecurity Act Regelungen zur Abwehr von Cyberangriffen geschaffen. Auf einer Konferenz „EU Cybersecurity Act“, über die das Onlinemagazin heise.de berichtete, haben sich Mitte November Experten vor allem mit der geplanten Zertifizierung von IoT-Geräten beschäftigt.
Mit der Cybersecurity-Verordnung haben sich EU-Kommission und Mitgliedstaaten das Ziel gesetzt, die Standards und Zertifizierungsvorgaben für IKT-Sicherheit zu vereinheitlichen. Dazu gehören etwa Sicherheitskriterien für Cloud-Infrastrukturen, das Internet der Dinge und KI-Anwendungen. EU-einheitlich gültige Standards und Zertifizierungen sollen Vertrauen in sichere Infrastrukturen schaffen. Der EU Cybersecurity Act erweitert die Befugnisse der europäischen Cybersicherheitsagentur ENISA, die u. a. die zentrale Ausarbeitung von Zertifizierungssystemen übernehmen soll.
Die europäischen Akteure sollen sich bis Juni 2020 darauf einigen, welche Zertifizierungsformen für Sektoren und Anwendungsbereichen mit welcher Priorität umgesetzt werden sollen. Dann soll die ENISA Zertifizierungsschemata entwickeln. Sobald die Kommission diese Vorschläge verabschiedet hat, werden sie für die Mitgliedstaaten verpflichtend. Frühestens Anfang 2021 ist demnach mit den ersten Zertifizierungsstandards zu rechnen.
Der langwierige Prozess könnte allerdings auf Initiative der Mitgliedstaaten oder der EU-Kommission beschleunigt werden, indem der ENISA ein direkter Auftrag erteilt wird. Für die aktuellen Cybersicherheitsthemen, die allen auf den Nägeln brennen, ist das vorstellbar.
Für den Bereich der Zertifizierungen im Internet der Dinge ist bisher kein Fahrplan bekannt. Er wird voraussichtlich erst im Frühjahr 2020 bei der EU-Kommission vorliegen. Die Erhöhung der Cybersicherheit von Produkten im Internet der Dinge ist ein Kernthema im EU Cybersecurity Certification Framework.
Gedacht ist an ein freiwilliges Gütesiegel für Produkte, das über deren Sicherheitsstatus Auskunft gibt. Zahlreiche Experten haben eine solche Lösung als unzureichend kritisiert. Allerdings können die Regelungen schon ab 2023 überarbeitet werden. Zudem könte sich ein freiwilliges Gütesiegel beispielsweise durch europäische Verbraucherschutzregelungen rasch zu einem praktisch verbindlichen Sicherheitssiegel für das Internet der Dinge entwickeln.