Der Cybersecurity Act rückt näher – Welche Konsequenzen gibt es für Unternehmen?

Anfang Dezember 2018 haben sich die EU-Kommission, der Rat der EU und das EU-Parlament im Rahmen der sog. Trilogverhandlungen auf die Inhalte des Cybersecurity-Acts geeinigt .

Insbesondere wurde ein Kompetenzzuwachs für die Europäische Agentur für Netz- und Informationssicherheit (ENISA) beschlossen. Diese soll in Zukunft auch als Agentur der Europäischen Union für Cybersicherheit tätig werden. Als Agentur kommt ihr vor allem die Aufgabe zu, Bürger und Unternehmen bei der Umsetzung des Cybersecurity Acts zu unterstützen und diese Umsetzung zu koordinieren. Im Rahmen der Trilogverhandlungen wurde beschlossen die Anzahl der Mitarbeiter der ENISA von 84 auf 125 zu verdoppeln. Diese Erhöhung hängt vor allem mit der (neben der allgemeinen Unterstützung und Koordination) zweiten Aufgabe der ENISA in Bezug auf den Cybersecurity Act zusammen. Sie soll ermitteln und konkretisieren, wie die Zertifizierungssysteme für Cybersicherheit konkret ausgestaltet werden sollen.

Deutschland und der EU-Cybersecurity-Act

Aus nationaler Perspektive verläuft die Entwicklung eines „IT-Sicherheitsgesetzes 2.0“ in Deutschland aktuell parallel zu den EU-Bemühungen um den Cybersecurity Act. Auch das deutsche Gesetz, das noch in der ersten Jahreshälfte 2019 auf den Weg gebracht werden soll, sieht ein Zertifikationssystem für Produkte und Dienstleistungen vor. Es ist daher von großer Bedeutung, dass Deutschland innerhalb der EU darauf hinwirkt, dass es zu keiner – unübersichtlichen- Doppelung von Zertifikaten kommt, sondern dass die selben Anforderungen für Zertifikate in der EU und Deutschland herrschen. Da die EU aber bereits angekündigt hat mitgliedstaatliche Vorgaben bei der Ausgestaltung des Systems zur Zertifizierung zu berücksichtigen, sind die Weichen für ein solches Vorgehen gestellt. Darüber hinaus stellt sich die Frage, wie mit der aktuell im Rahmen des IT-Sicherheitsgesetzes 2.0 umstrittenen Pflicht zur Meldung für Sicherheitslücken umgegangen werden soll. Innerhalb der deutschen Politik ist umstritten, ob eine umfassende Meldepflicht eingeführt werden soll (so wohl die aktuelle Position des Bundesinnenministers: https://www.golem.de/news/it-sicherheitsgesetz-2-0-wo-ist-das-meldegesetz-fuer-it-sicherheitsluecken-1812-138295.html) oder ob bestimmte Sicherheitslücken verschwiegen werden dürfen, um diese – heimlich – zu schließen oder bewusst offen zu lassen, um Hacker fassen zu können.

Würdigung und Diskussion der beschlossenen Veränderungen

Grundsätzlich bleibt es dabei, dass gerade deutsche Produkte innerhalb Europas bereits ein sehr hohes Sicherheitsniveau aufweisen und daher weniger Umstellungen befürchten müssen, um ein hohes Sicherheitszertifikat zu erhalten. Dies gilt umso mehr, als dass mitgliedstaatliche Vorgaben bei der EU-weiten Zertifizierung berücksichtigt werden sollen. Außerdem kann ein von der EU zertifiziertes Produkt außerhalb der EU als besonders sorgsam geprüft eingeordnet werden, wodurch die Zertifizierung Wettbewerbsvorteile schaffen würde.

Allerdings verlangen bereits einige Verbraucherschützer das Zertifizierungssystem in Richtung einer echten Produkthaftung auszuhaben. Dies hieße insbesondere, dass Hersteller entsprechender Soft- oder Hardware, Router etc. im Falle von Cyberangriffen oder sonstigen Lacks für die entstandenen Schäden haften, ohne dass es im konkreten Einzelfall auf ihr Verschulden ankommt. Dieser Gedanke kann nicht überzeugen. So müsste die Produkthaftung umso höher ausfallen, je sicherer ein Produkt zertifiziert ist, weil gerade in solchen Fällen Verbraucher und Unternehmen mehr Geld investieren und sich auf mehr Sicherheit verlassen, und es einem Grundgedanken der Produkthaftung entspricht, das Vertrauen der Erwerber in die Produkte zu schützen. Damit würden Hersteller besonders sicherer Produkte bestraft.

Fazit und Ausblick

Die Trilogverhandlungen haben zu einer Einigkeit bezüglich des dreistufigen Zertifizierungssystems geführt. Zudem sollen die Zertifizierungen anfänglich noch freiwillig bleiben. Allerdings wird die EU-Kommission untersuchen, welchen Effekt freiwillige Zertifizierungsvorgaben auf die Cybersicherheit haben. Es scheint wahrscheinlich, dass die Zertifizierungen ab 2023 verbindlich durchzuführen sind, sodass Unternehmen bereits jetzt die konkreten Entwicklungen um die Vorgaben für Zertifizierungen verfolgen und möglicherweise umsetzen sollten. Der Erfolg des Zertifizierungssystems steht und fällt mit Transparenz und Effektivität. Es ist daher wünschenswert, dass konkret umsetzbare Vorgaben von der EU entwickelt werden, die das Risiko erfolgreicher Cyberangriffe zu minimeren.