Der Cybersecurity Act ist beschlossene Sache. Das Europäische Parlament in Straßburg hat jetzt die Weichen für das neue Zertifizierungssystem gestellt und gleichzeitig vor Bedrohungen aus Fernost gewarnt.
Was genau hinter dem Cybersecurity Act steckt und warum chinesische Informationstechnologien zu einer echten Gefahr werden könnten, verraten wir jetzt.
Der Cybersecurity Act ist nun beschlossene Sache.
© Pixabay
Was ist der Cybersecurity Act?
Der Cybersecurity Act ist im Grunde genommen zunächst einmal nichts anderes als ein spezielles Zertifizierungssystem für alle IT-Geräte. Das sind aber nicht nur Laptops, PCs, Tablets und Smartphones, sondern auch Produkte, die nach unserem heutigen Verständnis in die Kategorien Smart Home oder KI fallen. Zum Beispiel intelligente und vernetzte Haushaltsgeräte wie Waschmaschinen und Kühlschränke, selbstfahrende Autos oder auch smartes Spielzeug für die Kleinen. Künftig sollen all diese Produkte entsprechende Sicherheitszertifikate erhalten, bevor sie den Weg in den Handel finden.
Mit verantwortlich für die Entscheidung ist das „typisch europäische“ Sicherheitsbedürfnis. Zum einen nach Produkten, die bedenkenlos und ungefährlich im täglichen Gebrauch sind – vor allem in technischer Hinsicht – zum anderen spielt auch hier wieder einmal der Datenschutz eine große Rolle. Unabhängig davon verursachen Cyberangriffe einen weltwirtschaftlichen, jährlichen Schaden von etwa 400 Milliarden Euro. Während die EU solche Themen heiß diskutiert, sehen andere Länder wie China das alles etwas lockerer. Und genau davor warnte das Parlament im gleichen Zuge mit der Veröffentlichung des aktuellen Beschlusses.
Zertifizierung von technischen Geräten zunächst freiwillig
Nicht nur im Parlament weiß man: Papier ist geduldig. Der Beschluss an sich ist durch, wie aber soll die Industrie ihm von heute auf morgen gerecht werden? Und weil genau dort der Hase im Pfeffer liegt, wird der Cybersecurity Act zunächst auf freiwilliger Basis eingeführt. Das ist zwar nicht im Sinne der Verbraucherschützer, die mit sofortiger Wirkung ein verpflichtendes System gefordert hatten, und auch nicht im Sinne vieler Parlamentarier, ließ sich aber flächendeckend über alle EU-Mitgliedsstaaten nicht anders bewerkstelligen. Als besonders relevant und dringend wird die Vereinheitlichung kritischer Sicherheitsstandards für wichtige Infrastrukturen bewertet. Das betrifft per Definition sowohl Bankensysteme und Konsumgüter als auch Energienetze und andere Versorgungssysteme. Berichterstatterin Angelika Niebler wird in einer aktuellen Pressemitteilung wie folgt zitiert: „Sowohl die Verbraucher als auch die Industrie müssen auf IT-Lösungen vertrauen können.“
Wie so oft, mahlen aber auch hier die Mühlen der EU wieder verhältnismäßig langsam. Bis zum Jahr 2023 soll eine neu eingerichtete Kommission prüfen, ob und welche der zunächst freiwilligen Zertifizierungssysteme dann doch verpflichtend gemacht werden sollten. Witzigerweise ist es aber auch wieder einmal so, dass das ganze Unterfangen – zumindest theoretisch – noch gekippt werden könnte. Denn bevor alle Instanzen richtig loslegen können und die Tinte unter dem Rechtsakt als wirklich trocken gilt, muss zunächst noch der EU-Rat offiziell zustimmen. Experten sprechen in diesem Zusammenhang aber von einer reinen Formsache.
Frischer Fahrtwind für die Cyber-Sicherheitsagentur
Generell zeigt sich: Das europäische Parlament hat die Bedeutung und Wichtigkeit von Sicherheitsmechanismen und Prüfinstanzen in Zeiten der Digitalisierung erkannt. Im Zuge des Cybersecurity Act wurde nämlich auch der europäischen Cyber-Sicherheitsagentur ENISA ein eigenes Mandat zugesprochen – und deren Mittel großzügig aufgestockt. Die Agentur soll künftig vor allem die Koordination aller Aufgaben, die mit den neuen Zertifizierungssystemen und Leitlinien verbunden sind, übernehmen. Zudem gibt es ein entsprechendes Reform-Paket. Hier drin sind nicht nur die neuen Zertifizierungssysteme geregelt, sondern auch weitere Maßnahmen definiert, die den „digitalen Binnenmarkt“ der EU nachhaltig absichern sollen.
China ein Sicherheitsrisiko für die EU?
Am gleichen Sitzungstag, an dem der Cybersecurity Act beschlossen wurde, verabschiedete das Parlament auch noch eine Entschließung zur zunehmenden technologischen Präsenz Chinas. Viele der Abgeordneten waren sich einig: Die Tatsache, dass die chinesische Industrie verpflichtet ist, im Rahmen der Staatssicherheit mit selbigem zusammenzuarbeiten, könnte ein unkalkulierbares Sicherheitsrisiko für Europa darstellen. Wohlgemerkt, „könnte“. Eine mögliche Lösung: die Entwicklung von Leitlinien, um das Risiko, das angesichts der 5G-Ausrüstungsbeschaffung steigt, zu minimieren. Das funktioniert aber nur, wenn die Union insgesamt von ausländischen Technologien unabhängiger wird. Und das ist bislang noch nicht wirklich in Sicht. So oder so hat die Entschließung zunächst einmal keine direkten Folgen. Vielmehr wird sie zunächst an die Kommission und alle Mitgliedsstaaten übermittelt. China dürfte das Ganze also erst einmal völlig kalt lassen.
Geschrieben von
Lena Klaus arbeitet seit 2018 als freie Autorin und SEO-Expertin für das IT-SERVICE.NETWORK. Besonders die Themen rund um den digitalen Wandel und New Work haben es ihr angetan. Darüber hinaus ist die erfahrene Texterin immer wieder fasziniert davon, welche neue Methoden und Tricks Hackern und Cyberkriminellen einfallen. Seit 2013 kennt Lena Klaus die IT-Branche und… Weiterlesen
Schreiben Sie einen Kommentar
* = Pflichtfelder
Bitte beachten Sie unsere Datenschutzerklärung