Die europäische Cybersicherheitszertifizierung ist überfällig

Der europäische Binnenmarkt für Cybersicherheit ist vorerst noch nicht da. Ursprünglich parallel zur überarbeiteten Richtlinie zur Informations- und Netzsicherheit entschieden werden sollte, bleibt die Frage einer gemeinsamen Politik für die Bewertung und Kennzeichnung von Cybersicherheitstechnologien vier Jahre nach der Einführung der Verordnung zur Cybersicherheit anhängig.

Während die Richtlinie kurz vor der offiziellen Verabschiedung stand, verrutschte das Thema innerhalb der europäischen Arbeitsgruppe. Während Fachleute der Branche vor einem Jahr von einer Umsetzung bis 2022 sprachen, hofften diejenigen, die sich Anfang Juni in Lille auf einem internationalen Forum für Cybersicherheit trafen, nicht mehr auf etwas vor 2024.

Sicherheitsvisum

„Wir wollten, dass die europäische Zertifizierung etwas schneller das Licht der Welt erblickt“, bedauert Pierre-Yves Hentzen, CEO von Stormshield, dem hundertprozentigen Herausgeber der Firewall-Software Airbus CyberSecurity. Die Herausforderung besteht darin, die europaweiten Exporte der nationalen Champions der Branche zu beschleunigen, die heute gezwungen sind, ihre Technologie mehreren Audits für jedes Land zu unterziehen, in dem sie wichtige Unternehmen als Kunden haben.

Wie ein Sicherheitsvisum in Frankreich garantiert diese für drei Jahre gültige Zertifizierung Unternehmen und Verwaltungen, welchen Produkten oder Dienstleistungen wirklich vertraut werden kann. In einigen Fällen können Vorschriften Unternehmen dazu verpflichten, zertifizierte Software zu verwenden. Die Idee des europäischen Labels ist es, der National Information Systems Security Agency (ANssi) und Information Technology Security Assessment Centers (Cesti) in Frankreich – wie Amossys, Serma oder Oppida – zu ermöglichen, Audits durchzuführen, die für den gesamten Kontinent gelten.

Abgesehen davon, dass die EU sich schwer tut, sich auf gemeinsame Kriterien zu einigen. Auf fachlicher Ebene ist die Zurückhaltung einiger Länder, die sich aufgrund mangelnder Kompetenz davor fürchteten, sich auf die Bewertung anderer Länder zu verlassen, verschwunden. Doch die Rechtsfrage der Undurchlässigkeit ausländischen Rechts, insbesondere des amerikanischen, verspricht noch lange Debatten.

In Bezug auf die Online-Computing-Kennzeichnung – das sensibelste Thema – wurden zwei Ebenen der technischen Kennzeichnung definiert: die erste Ebene, die den deutschen C5-Zertifizierungskriterien entspricht, und die zweite, anspruchsvollere, die das französische Visum SecNumCloud übernimmt.

Nationale Probleme bestehen weiterhin

Doch die Diskussion zwischen den Anwälten ist noch nicht beendet. Frankreich fordert eine maximale Überprüfung von Cloud-Technologien, die aufgrund der Kapitalbeziehungen zwischen den Vereinigten Staaten und den Unternehmen, die sie betreiben, unter amerikanisches Recht fallen. Das heißt, Marktführer wie Amazon, Microsoft oder Google von den sensibelsten Unternehmen auszuschließen, es sei denn, sie arbeiten mit europäischen Unternehmen zusammen. Aber andere europäische Länder wollen Amerikas Verbündete in dieser Frage nicht vor den Kopf stoßen, während die geopolitischen Spannungen im Osten des Kontinents zunehmen.

Dieses europäische Label wird die nationale Zertifizierung jedoch nicht vollständig zunichte machen. Tatsächlich sollte letzteres der einzige Schlüssel bleiben, um auf Ausschreibungen in Bezug auf die Sicherheit der sensibelsten Computersysteme, insbesondere militärischer oder staatlicher Art, reagieren zu können. „Souveränität ist ein nationales Thema“, erinnert sich Pierre-Yves Hentzen. Was auch immer die europäischen Ideale sagen.

Senta Esser

"Internetfan. Stolzer Social-Media-Experte. Reiseexperte. Bierliebhaber. Fernsehwissenschaftler. Unheilbar introvertiert."

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.