Europäische Cybersicherheitszertifizierung: BSI übernimmt zentrale Rolle
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) wurde von der Europäischen Kommission als einzige staatliche Zertifizierungsstelle gemäß der Verordnung (EU) 2019/881 anerkannt. Ab sofort kann es Anträge auf europäische Cybersicherheitszertifikate für hoch vertrauenswürdige Produkte bearbeiten.
Eine Zertifizierung auf hoher Vertrauenswürdigkeitsstufe stellt sicher, dass Produkte nach den Anforderungen der EUCC-Durchführungsverordnung geprüft und bewertet werden. Ziel ist es, das Risiko von Cyberangriffen durch leistungsstarke Akteure nach dem neuesten Stand der Technik zu minimieren.
Mit EUCC wird ein einheitlicher europäischer Zertifizierungsrahmen geschaffen, der auf den Erfahrungen des BSI mit den Gemeinsamen Kriterien (Common Criteria, CC) und der Gemeinsamen Evaluierungsmethodik (Common Evaluation Methodology, CEM) basiert. Wichtige technische Spezifikationen nationaler CC-Zertifizierungsschemata wurden in die EUCC-Durchführungsverordnung übernommen. Die vom BSI erteilten EUCC-Zertifikate sind in allen EU-Mitgliedstaaten anerkannt.
Durch die Notifizierung des BSI werden bisherige Unterschiede zwischen nationalen Zertifikaten vermieden. Der einheitliche europäische Rahmen soll verhindern, dass Unternehmen abweichende Anforderungsniveaus gezielt nutzen, um für sie vorteilhafte Zertifizierungen auszuwählen („Zertifizierungsshopping“).
Das BSI verfügt über umfangreiche Erfahrung in der Cybersicherheitszertifizierung. Sein technischer Geltungsbereich umfasst alle relevanten Produktgruppen sowie die speziellen Bereiche „Chipkarten und ähnliche Geräte“ und „Hardware mit Sicherheitsboxen“. Als einzige gesetzlich autorisierte Zertifizierungsstelle in Deutschland zertifiziert das BSI auch Schutzprofile.
Sandro Amendola, Leiter der Abteilung „Standardisierung, Zertifizierung und Prüfung“, betont die Bedeutung der Notifizierung: „Dies ist ein Meilenstein für die europäische Zertifizierungslandschaft. Das BSI übernimmt seine Rolle als nationale Zertifizierungs- und Aufsichtsbehörde (NCCA) und ermöglicht Herstellern, Produkte nach EUCC auf höchstem Vertrauensniveau zertifizieren zu lassen. Der Übergang von der nationalen CC- zur europäischen EUCC-Zertifizierung verlief ohne Unterbrechungen.“
Das BSI wird sich weiterhin in europäischen und internationalen Gremien engagieren, um die Qualität der deutschen Cybersicherheitszertifikate in der EU zu sichern und Anforderungen zu harmonisieren.
