BSI als EUCC-Zertifizierungsstelle notifiziert
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) wurde als alleinige staatliche Zertifizierungsstelle nach der Verordnung (EU) 2019/881 (Cybersercurity Act, CSA) bei der Europäischen Kommission (EU-KOM) notifiziert. Das BSI darf nun Anträge von Herstellenden bearbeiten, die ein europäisches Cybersicherheitszertifikat für Produkte mit der Vertrauenswürdigkeitsstufe hoch entsprechend den Anforderungen der EUCC-Durchführungsverordnung (EUCC-DV) erteilt bekommen wollen.
Zertifizierung auf dieser Vertrauenswürdigkeitsstufe bedeutet, dass Produkte einer Prüfung und Bewertung unterzogen werden, die darauf ausgerichtet ist, das Risiko von Cyberangriffen nach dem neuesten Stand der Technik durch Akteure mit umfangreichen Fähigkeiten und Ressourcen möglichst gering zu halten.
EUCC ist ein europäischer Neuanfang auf dem für das BSI bereits gewohnten Terrain der Zertifizierung nach Gemeinsamen Kriterien (Common Criteria, CC) und der Gemeinsamen Evaluierungsmethodik (Common Evaluation Methodology, CEM). Wirksame technische Spezifikationen der auslaufenden nationalen CC-Zertifizierungsschemata konnten in die EUCC-DV überführt werden.
Die künftig durch das BSI erteilten EUCC-Zertifikate sind in allen Mitgliedsstaaten der EU anerkannt, denn mit dem Vorgang der Notifizierung wurden die EU-KOM und die anderen Mitgliedstaaten durch das BSI als notifizierende Behörde über die Entscheidung unterrichtet, dass das BSI als Zertifizierungsstelle benannt wurde.
Bisherige inhaltliche Divergenzen ausschließlich nationaler Zertifikate der Mitgliedstaaten werden von nun an vermieden. Die Einheitlichkeit und Vergleichbarkeit aller Cybersicherheitszertifikate ist das erklärte Ziel des europäischen Rahmens für Cybersicherheitszertifizierung (ECCF) und soll verhindern, dass durch unterschiedliche Anforderungsniveaus der Mitgliedstaaten ein „Zertifizierungsshopping“ provoziert wird.
Aufgrund der langjährigen Erfahrung des BSI ist der notifizierte technische Geltungsbereich für EUCC sehr umfangreich. Dieser Geltungsbereich beinhaltet zum einen vollumfänglich alle für die Cybersicherheitszertifizierung vorgesehenen Produktgruppen, zum anderen erfüllt das BSI die Anforderungen der in der EUCC-DV verlangten Kenntnisse zu den technischen Bereichen „Chipkarten und ähnliche Geräte“ sowie „Hardware Geräte mit Sicherheitsboxen“. Darüber hinaus wird das BSI nach EUCC-DV als einzig gesetzlich autorisierte Zertifizierungsstelle in Deutschland auch Schutzprofile zertifizieren.
Sandro Amendola, Leiter der Abteilung „Standardisierung, Zertifizierung und Prüfung“, bewertet die Notifizierung des BSI und die damit verbundene neue Rolle im ECCF äußerst positiv: Diese Notifizierung sei ein weiterer Meilenstein für die europäische Zertifizierungslandschaft. Das BSI erfülle damit seine Aufgaben als zertifizierende und aufsichtführende Nationale Behörde für die Cybersicherheitszertifizierung, der NCCA. Allen Herstellenden sei es nun möglich, Produkte nach EUCC mit der Vertrauenswürdigkeitsstufe hoch durch das BSI zertifizieren zu lassen. Dabei könne der Übergang von der nationalen CC-Zertifizierung hin zur europäischen EUCC-Zertifizierung ohne Unterbrechung gewährleistet werden.
Das BSI wird in europäischen und internationalen Gremien seine Arbeit fortsetzen, um die hohe Qualität deutscher Cybersicherheitszertifikate auch innerhalb der EU zu erzielen und Anforderungen zu harmonisieren.
