Ravi - stock.adobe.com
European Cybersecurity Certification Framework im Überblick
Der EU-Rahmen für Cybersicherheitszertifizierungen ermöglicht EU-weite Zertifizierungen für Cybersecurity. Zu Datenschutzzertifizierungen gibt es Gemeinsamkeiten und Unterschiede.
„Zertifizierungen spielen eine entscheidende Rolle für mehr Vertrauen und Sicherheit bei kritischen Produkten und Dienstleistungen der digitalen Welt“, erklärt die EU-Kommission. Das gilt ganz besonders in so kritischen und sensiblen Bereichen wie Cybersicherheit und Datenschutz.
Tatsächlich gibt es auch schon eine Vielzahl an Zertifizierungen für Cybersecurity. Doch es gibt eine neue Entwicklung: Das überarbeitete Cybersicherheitsgesetz soll sicherstellen, dass Produkte und Dienstleistungen, die EU-Verbraucher erreichen, effizienter auf Sicherheit geprüft werden. Dies geschieht durch einen erneuerten Europäischen Rahmen für Cybersicherheitszertifizierungen (ECCF). Der ECCF schafft aus Sicht der EU-Kommission mehr Klarheit und vereinfacht die Verfahren, sodass Zertifizierungssysteme standardmäßig innerhalb von zwölf Monaten entwickelt werden können.
Warum aber braucht es überhaupt ein EU Cybersecurity Certification Framework?
Für ein EU-Rahmenwerk zur Cybersicherheitszertifizierung gibt es einen guten Grund: „Derzeit existieren in der EU verschiedene Sicherheitszertifizierungssysteme für IKT-Produkte. Ohne einen gemeinsamen Rahmen für EU-weit gültige Cybersicherheitszertifikate besteht jedoch ein zunehmendes Risiko der Fragmentierung und des Aufbaus von Barrieren zwischen den Mitgliedstaaten“, wie die EU-Kommission erläutert.
Der Digitalverband Bitkom zum Beispiel bewertet dabei besonders positiv, dass durch den Cybersecurity Act die Cybersicherheitszertifikate künftig stärker als anerkannter Nachweis dienen sollen, um Anforderungen aus anderen EU-Rechtsakten zu erfüllen. Damit kann ein Zertifikat beispielsweise eine sogenannte Konformitätsvermutung begründen, etwa mit Blick auf Vorgaben aus NIS2 oder dem Cyber Resilience Act.
Im Bereich Datenschutz adressiert die Datenschutz-Grundverordnung (DSGVO) bereits den Punkt einer EU-weiten Zertifizierung für den Schutz personenbezogener Daten. Nun erwähnt aber auch das EU-Rahmenwerk zur Cybersicherheitszertifizierung den Datenschutz. So nennt der Anwendungsbereich der Cybersicherheitszertifizierung als ein Sicherheitsziel für europäische Cybersicherheitszertifizierungssysteme „sicherzustellen, dass die Einrichtung die Sicherheit der Verarbeitung personenbezogener Daten gewährleisten kann.“
Gibt es hier Überschneidungen oder Synergien?
Datenschutz und Cybersicherheitszertifizierung
Nun gibt es schon eine Vielzahl von Stimmen und Einschätzungen zur EU Cybersecurity Certification (PDF), jetzt aber haben sich auch der Europäische Datenschutzausschuss und der Europäische Datenschutzbeauftragte dazu zu Wort gemeldet.
„Datenschutz und Cybersicherheit stehen in einem wechselseitigen und eng miteinander verknüpften Verhältnis“, so Anu Talus, Vorsitzende des Europäischen Datenschutzausschusses. „Cybersicherheit unterstützt den Schutz personenbezogener Daten, indem sie die Risiken unerwünschten Zugriffs, unerwünschter Änderungen oder des Datenverlusts begrenzt. Gleichzeitig ist es entscheidend sicherzustellen, dass die Sicherheitsmaßnahmen so umgesetzt werden, dass die Grundrechte und -freiheiten der Einzelpersonen nicht beeinträchtigt werden.“
Wojciech Wiewiórowski, Europäischer Datenschutzbeauftragter, sieht dies ebenso: „Die Maximierung der Wirksamkeit von Cybersicherheitsmaßnahmen ist zwar unerlässlich, doch müssen wir sicherstellen, dass die Verarbeitung personenbezogener Daten auf das unbedingt Notwendige beschränkt bleibt.“
Damit unterstreichen die Datenschützer einerseits die Bedeutung der Cybersicherheit für den Datenschutz, doch sie betonen auch die Unterschiede und die Grenzen, die der Datenschutz einer Cybersicherheit auferlegen muss, wenn diese weiter in die Privatsphäre eingreifen würde, als es wirklich notwendig ist.
Hier wird schon klar, dass eine reine Zertifizierung für die Cybersicherheit nicht ohne weiteres die Anforderungen aus dem Datenschutz abdecken können wird.
Synergien zwischen Datenschutz und Cybersicherheit: Auch bei der Zertifizierung
Der Europäische Datenschutzbeauftragte und der Europäische Datenschutzausschuss machen klar, dass der Anwendungsbereich des Europäischen Cybersicherheitszertifizierungsrahmens und sein Verhältnis zur DSGVO-Zertifizierung weiterer Klärung bedürfen.
Um Konsistenz zu gewährleisten, sollte die EU-Agentur für Cybersicherheit ENISA vor der Einführung eines Zertifizierungssystems für die Sicherheit der Verarbeitung personenbezogener Daten den Europäischen Datenschutzausschuss (EDSA) konsultieren, so die Datenschützer (PDF).
Der Europäische Datenschutzausschuss (EDSA) und der Europäische Datenschutzbeauftragte (EDSB) weisen darauf hin, dass sich die Sicherheit gemäß DSGVO auf Risiken für die Grundrechte und Grundfreiheiten natürlicher Personen bezieht. Während die rechtliche Definition von Cybersicherheit im Unionsrecht den Schutz von Nutzern und anderen Personen umfassend einschließt, erstreckt sich der Umfang von Cybersicherheitsmaßnahmen typischerweise auf Risiken aller Art für die betreffende Organisation. Dennoch besteht die Möglichkeit, Synergien zu schaffen, sodass die Risikobewertung den Schutz der Rechte und Grundfreiheiten natürlicher Personen integrieren kann, so die Datenschützer.
Trotz der Unterschiede zur Zertifizierung nach DSGVO sind der EDSA und der EDSB der Ansicht, dass Synergien zwischen Cybersicherheits- und Datenschutzzertifizierung bestehen können. Beispielsweise könnte die Cybersicherheitszertifizierung als Nachweis dafür dienen, dass bestimmte Anforderungen einer DSGVO-Zertifizierung im Hinblick auf die Cybersicherheit erfüllt sind.
Der EDSA und der EDSB betonen aber auch, dass neben der Wirksamkeit von Cybersicherheitsmaßnahmen auch deren Notwendigkeit und Verhältnismäßigkeit zu berücksichtigen sind. Bestimmte Cybersicherheitskontrollen bergen spezifische Datenschutzrisiken. Dies könne beispielsweise bei Überwachung und Protokollierung, Deep Packet Inspection oder Verhaltensanalysen der Fall sein.
Ein gut konzipiertes Zertifizierungssystem für die Sicherheit der Datenverarbeitung könnte Kontrollen umfassen, die sicherstellen, dass Sicherheitsmaßnahmen datenschutzkonform umgesetzt werden können. Daher empfehlen der Europäische Datenschutzausschuss und der Europäische Datenschutzbeauftragte darzulegen, dass Zertifizierungssysteme nach Möglichkeit so konzipiert, implementiert und gepflegt werden sollten, dass Sicherheitskontrollen berücksichtigt werden, die dazu beitragen, die Einhaltung der DSGVO-Anforderungen nachzuweisen.
Man könnte auch sagen: Die Datenschützer empfehlen, dass die Cybersicherheitszertifizierungen auch beachten sollten, dass die zu zertifizierenden Sicherheitsmaßnahmen die durch die DSGVO gesteckten Grenzen einhalten. Damit würde eine Cybersicherheitszertifizierung zwar keine DSGVO-Zertifizierung ersetzen können, aber es würden Synergien bei den Risikoanalysen und den Schutzmaßnahmen genutzt, was in Zeiten knapper Budgets und Fachkräften sicherlich mehr als sinnvoll erscheint, von der notwendigen Compliance nach DSGVO auch in der Cybersicherheit einmal ganz abgesehen.
