Cybersecurity Act beschlossen

EU-Parlament stimmt für Zertifizierungssystem von IT-Geräten

Von in Aktuelles
15
Mrz
'19

Der Cybersecurity Act ist beschlossene Sache. Das Europäische Parlament in Straßburg hat jetzt die Weichen für das neue Zertifizierungssystem gestellt und gleichzeitig vor Bedrohungen aus Fernost gewarnt.

Was genau hinter dem Cybersecurity Act steckt und warum chinesische Informationstechnologien zu einer echten Gefahr werden könnten, verraten wir jetzt.

cybersecurity act

Der Cybersecurity Act ist nun beschlossene Sache.
© Pixabay

Was ist der Cybersecurity Act?

Im Grunde genommen zunächst einmal nichts anderes als ein spezielles Zertifizierungssystem für alle IT-Geräte. Das sind aber nicht nur Laptops, PCs, Tablets und Smartphones, sondern auch Produkte, die nach unserem heutigen Verständnis in die Kategorien Smart Home oder KI fallen. Zum Beispiel intelligentes Spielzeug, vernetzte Haushaltsgeräte wie Waschmaschinen und Kühlschränke, selbstfahrende Autos oder auch smartes Spielzeug für die Kleinen. Künftig sollen all diese Produkte entsprechende Sicherheitszertifikate erhalten, bevor sie den Weg in den Handel finden.

Mit verantwortlich für die Entscheidung ist das „typisch europäische“ Sicherheitsbedürfnis. Zum einen nach Produkten, die bedenkenlos und ungefährlich im täglichen Gebrauch sind – vor allem in technischer Hinsicht – zum anderen spielt auch hier wieder einmal der Datenschutz eine große Rolle.  Unabhängig davon verursachen Cyberangriffe einen weltwirtschaftlichen, jährlichen Schaden von etwa 400 Milliarden Euro. Während solche Themen in der EU heiß diskutiert werden, sehen andere Länder wie China alles etwas lockerer. Und genau davor warnte das Parlament im gleichen Zuge mit der Veröffentlichung des aktuellen Beschlusses.

Zertifizierung von technischen Geräten zunächst freiwillig

Nicht nur im Parlament weiß man: Papier ist geduldig. Der Beschluss an sich ist durch, wie aber soll die Industrie ihm von heute auf morgen gerecht werden? Und weil genau dort der Hase im Pfeffer liegt, wird der Cybersecurity Act zunächst auf freiwilliger Basis eingeführt. Das ist zwar nicht im Sinne der Verbraucherschützer, die mit sofortiger Wirkung ein verpflichtendes System gefordert hatten, und auch nicht im Sinne vieler Parlamentarier, ließ sich aber flächendeckend über alle EU-Mitgliedsstaaten nicht anders bewerkstelligen. Als besonders relevant und dringend wird die Vereinheitlichung kritischer Sicherheitsstandards für wichtige Infrastrukturen bewertet. Das betrifft per Definition sowohl Bankensysteme und Konsumgüter, als auch Energienetze und andere Versorgungssysteme. Berichterstatterin Angelika Niebler wird in einer aktuellen Pressemitteilung wie folgt zitiert:  „Sowohl die Verbraucher als auch die Industrie müssen auf IT-Lösungen vertrauen können.“

Wie so oft, mahlen aber auch hier die Mühlen der EU wieder verhältnismäßig langsam. Bis zum Jahr 2023 soll eine neu eingerichtete Kommission prüfen, ob und welche der zunächst freiwilligen Zertifizierungssysteme dann doch verpflichtend gemacht werden sollten. Witzigerweise ist es aber auch wieder einmal so, dass das ganze Unterfangen – zumindest theoretisch – noch gekippt werden könnte. Denn bevor alle Instanzen richtig loslegen können und die Tinte unter dem Rechtsakt als wirklich trocken gilt, muss zunächst noch der EU-Rat offiziell zustimmen. Experten sprechen in diesem Zusammenhang aber von einer reinen Formsache.

Frischer Fahrtwind für die Cybersicherheitsagentur

Generell zeigt sich: das europäische Parlament hat die Bedeutung und Wichtigkeit von Sicherheitsmechanismen und Prüfinstanzen in Zeiten der Digitalisierung erkannt. Im Zuge des Cybersecurity Act wurde nämlich auch der europäischen  Cybersicherheitsagentur ENISA ein eigenes Mandat zugesprochen – und deren Mittel großzügig aufgestockt. Die Agentur soll künftig vor allem die Koordination aller Aufgaben, die mit den neuen Zertifizierungssystemen und Leitlinien verbunden sind, übernehmen. Zudem gibt es ein entsprechendes Reform-Paket. Hier drin sind nicht nur die neuen Zertifizierungssysteme geregelt, sondern auch weitere Maßnahmen definiert, die den „digitalen Binnenmarkt“ der EU nachhaltig absichern sollen.

China ein Sicherheitsrisiko für die EU?

Am gleichen Sitzungstag, an dem der Cybersecurity Act beschlossen wurde, verabschiedete das Parlament auch noch eine Entschließung zur zunehmenden technologischen Präsenz Chinas. Viele der Abgeordneten waren sich einig: Die Tatsache, dass die chinesische Industrie verpflichtet ist, im Rahmen der Staatssicherheit mit selbigem zusammenzuarbeiten, könnte ein unkalkulierbares Sicherheitsrisiko für Europa darstellen. Wohlgemerkt: „Könnte“. Eine mögliche Lösung: die Entwicklung von Leitlinien, um das Risiko, das angesichts der 5G-Ausrüstungsbeschaffung steigt, zu minimieren. Das funktioniert aber nur, wenn die Union insgesamt unabhängiger von ausländischen Technologien wird. Und das ist bislang noch nicht wirklich in Sicht. So oder so hat die Entschließung zunächst einmal keine direkten Folgen. Vielmehr wird sie zunächst an die Kommission und alle Mitgliedsstaaten übermittelt. China dürfte das Ganze also erst einmal völlig kalt lassen.

Lena Klaus

Lena Klaus arbeitet seit 2018 als freie Autorin und SEO-Expertin für das IT-SERVICE.NETWORK. Seit 2013 kennt sie die IT-Branche und hat sich in diesem Zusammenhang auf B2C- und B2B-orientierte Content-Plattformen spezialisiert.

Fragen zum Artikel? Frag den Autor

Schreiben Sie einen Kommentar

Ihre E-Mail Adresse wird nicht veröffentlicht.


* = Pflichtfelder
Bitte beachten Sie unsere Datenschutzerklärung

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.