Neuerungen in der EU-Cybersicherheits-Verordnung

Die Europäische Union hat mit der VERORDNUNG (EU) 2019/881 vom 17. April 2019 wieder einmal die Bedeutung von Informations- und Kommunikationstechnologien (IKT) verdeutlicht. In der Verordnung heißt es, diese „bilden das Rückgrat der komplexen Systeme, die alltägliche gesellschaftliche Tätigkeiten unterstützen und unsere Volkswirtschaften in Schlüsselsektoren wie Gesundheit, Energie, Finanzen und Verkehr aufrechterhalten und die insbesondere dafür sorgen, dass der Binnenmarkt reibungslos funktioniert.“ Weiter heißt es, dass Bürger, Organisationen und Unternehmen einer stetig voranschreitenden Digitalisierung gegenüberstehen, die neben den positiven Effekten wie Erleichterung des Lebens in vielerlei Hinsicht und Wirtschaftswachstum auch negative Auswirkungen habe – Cybersicherheitsrisiken, denen Privatpersonen und Unternehmen ausgesetzt seien und die es zu schützen gelte.

Auszugsweise haben wir Ihnen im Folgenden ein paar Punkte der EU-Verordnung notiert. Mit Hilfe von securiCAD können die Punkte mit Leben gefüllt werden und somit einen erheblichen Beitrag zum Schutz sicherheitsrelevanter Aspekte leisten und damit Cybersicherheitsrisiken verringern.

(30)
In Anbetracht der Tatsache, dass die möglichen negativen Auswirkungen von Sicherheitslücken bei IKT-Produkten, -Diensten und -Prozessen stetig zunehmen, spielen die Aufdeckung und die Behebung solcher Sicherheitslücken eine wichtige Rolle bei der Verringerung der Gesamtrisiken im Bereich der Cybersicherheit. Es hat sich gezeigt, dass die Zusammenarbeit zwischen Organisationen, Herstellern oder Anbietern besonders gefährdeter IKT-Produkte, -Dienste oder -Prozesse sowie Mitgliedern der Forschungsgemeinschaft im Bereich der Cybersicherheit und Regierungen, die diese Sicherheitslücken aufspüren, sowohl die Aufdeckung als auch die Behebung von Sicherheitslücken bei IKT-Produkten, -Diensten oder -Prozessen erheblich verbessert. Die koordinierte Offenlegung von Sicherheitslücken erfolgt in einem strukturierten Prozess der Zusammenarbeit, in dem Sicherheitslücken dem Eigentümer des Informationssystems gemeldet werden, wodurch die Organisation Gelegenheit zur Diagnose und Behebung der Sicherheitslücke erhält, bevor detaillierte Informationen über die Sicherheitslücke an Dritte oder die Öffentlichkeit weitergegeben werden. Das Verfahren sieht ferner eine Koordinierung zwischen demjenigen, der die Sicherheitslücke aufgespürt hat, und der Organisation im Hinblick auf die Veröffentlichung jener Sicherheitslücke vor. Grundsätze für die koordinierte Offenlegung von Sicherheitslücken könnten eine wichtige Rolle bei den Bemühungen der Mitgliedstaaten um die Verbesserung der Cybersicherheit spielen.

(42)
Um die im Cybersicherheitssektor tätigen Unternehmen und die Nutzer von Cybersicherheitslösungen zu unterstützen, sollte die ENISA eine „Marktbeobachtungsstelle“ aufbauen und pflegen, die die wichtigsten Nachfrage- und Angebotstrends auf dem Cybersicherheitsmarkt regelmäßig analysiert und bekannt macht.

(49)
Effiziente Cybersicherheitsstrategien sollten sowohl im öffentlichen als auch im privaten Sektor auf sorgfältig entwickelten Risikobewertungsmethoden beruhen. Risikobewertungsmethoden werden auf verschiedenen Ebenen angewandt, ohne dass es eine einheitliche Vorgehensweise für deren effiziente Anwendung gibt. Durch die Förderung und Entwicklung bewährter Verfahren für die Risikobewertung und interoperabler Lösungen für das Risikomanagement innerhalb von Organisationen des öffentlichen und des privaten Sektors wird das Niveau der Cybersicherheit in der Union erhöht. Zu diesem Zweck sollte die ENISA die Zusammenarbeit zwischen Interessenträgern auf Unionsebene unterstützen und Hilfestellung bei deren Bemühungen um die Festlegung und Einführung von europäischen und internationalen Normen für das Risikomanagement und eine messbare Sicherheit in Bezug auf elektronische Produkte, Systeme, Netze und Dienste leisten, die im Zusammenwirken mit Software die Netz- und Informationssysteme bilden.

(90)
Bei der Vertrauenswürdigkeitsstufe „hoch“ sollte sich die Bewertung — zusätzlich zu den Anforderungen bei der Vertrauenswürdigkeitsstufe „mittel“ — mindestens auf einen Wirksamkeitstest stützen, bei dem die Widerstandsfähigkeit der Sicherheitsfunktionen des IKT-Produkts, -Dienstes oder -Prozesses gegen gründlich vorbereitete Cyberattacken bewertet wird, die von Akteuren mit umfangreichen Fähigkeiten und Ressourcen durchgeführt wird.

Sie haben Fragen zur Verordnung oder securiCAD? Sprechen Sie uns an!

Kontakt

 

 

Menü