Das Bundesamt für Sicherheit in der Informationstechnik (BSI) wurde am 20. März 2025 als alleinige staatliche Zertifizierungsstelle gemäß der Verordnung (EU) 2019/881 des Europäischen Parlamentes und Rates vom 17. April 2019 über die ENISA (Agentur der Europäischen Union für Cybersicherheit) und über die Zertifizierung der Cybersicherheit von Informations- und Kommunikationstechnik und zur Aufhebung der Verordnung (EU) Nr. 526/2013 (Rechtsakt zur Cybersicherheit), auch „Cybersecurity Act“ (CSA) genannt, bei der Europäischen Kommission notifiziert. Was hinter der Notifizierung steckt, welche gesetzliche Grundlage hier in Bezug genommen wird und welche Aufgaben und Zuständigkeiten in Zukunft auf das BSI zukommen, soll sich der heute Blog-Beitrag befassen.
Welche Rolle spielt der CSA im IT-Sicherheitsrecht?
Eine Vielzahl von Rechtsnormen stellen mittlerweile Anforderungen an die Cybersicherheit oder fordern eine angemessene Sicherheit, IT-Sicherheit beziehungsweise Cybersicherheit. Gekennzeichnet ist das Rechtsgebiet des IT-Sicherheitsrechtes beziehungsweise der Cybersicherheit durch einen hohen Grad an Zersplitterung und teilweise uneinheitliche Regelungen. Innerhalb nur weniger Jahre wurden auf europäischer Ebene zahlreiche Regelungen mit Bezug zur Cybersicherheit verabschiedet oder auf den Weg gebracht. Hierzu zählen insbesondere der Cybersecurity Act, die NIS-2-Richtlinie, die KI-Verordnung sowie zuletzt der Cyber Resilience Act (CRA) und der Digital Operational Resilience Act (DORA).
Der CSA stellt einen Baustein der Cybersicherheitsarchitektur der Europäischen Union dar. Durch diesen Rechtsakt wird unter anderem die Agentur der Europäischen Union für Cybersicherheit (ENISA) etabliert und das Instrument der Cybersicherheitszertifizierung für Produkte, Dienstleistungen und Prozesse eingeführt. Der CSA zielt darauf ab, ein hohes Maß an Cybersicherheit, Cyberresilienz und Vertrauen in der Europäischen Union zu erreichen. Er stärkt die Rolle der ENISA (European Union Agency for Cybersecurity). Zudem etabliert er einen einheitlichen europäischen Zertifizierungsrahmen für IKT-Produkte, -Dienstleistungen und -Prozesse.
Was gibt es zu den Zertifizierungen zu wissen?
Insbesondere der Zertifizierungsrahmen der Artt. 46 ff. CSA verändert das Verfahren zur Entwicklung von Zertifizierungsschemata und die Zertifikatsvergabe in der Europäischen Union. Der CSA zielt darauf ab, einen organisatorischen und verfahrensrechtlichen Rahmen der Cybersicherheit fortzuentwickeln. Von Bedeutung ist hierbei, dass der CSA von einer freiwilligen Zertifizierung ausgeht, soweit durch europäisches Recht nichts Anderweitiges vorgegeben ist.
Kernelement des einheitlichen europäischen Rahmens im Bereich der Cybersicherheits-Zertifizierung sind die auszuarbeitenden Zertifizierungsschemata. Zu beachten ist, dass kein Zertifizierungsstandard oder -verfahren festgelegt, sondern ein Rahmenwerk für IT-Sicherheitszertifizierungen basierend auf Schemata für bestimmte Produkte, Dienstleistungen und Prozesse von Netz- und Informationssystemen geschaffen wird. Dies erfolgt anhand der drei unterschiedlichen Vertrauenswürdigkeitsstufen niedrig, mittel und hoch. Die Schemata entstehen unter anderem unter der ENISA und der Europäischen Kommission.
Damit wird auch deutlich, dass die Cyber-Zertifizierungen somit auf einem zwei-stufigen-Modell beruhen. Die Art. 46 ff. CSA schaffen einen rechtlichen Rahmen für die Entwicklung der Schemata und erst innerhalb der erschaffenen Schemata werden der Anwendungsbereich, die Art und der Umfang der Prüfung sowie sonstige Anforderungen festgelegt.
Zur weiteren Effizienzsteigerung des Cyber-Sicherheitszertifizierungsrahmen wird zudem in Art. 53 CSA die Möglichkeit geschaffen, dass Hersteller im Bereich der Vertrauenswürdigkeitsstufe niedrig eine vereinfachte Konformitätsbewertung durchführen lassen können. Dies wird aller Voraussicht nach insbesondere im Bereich Internet of Things zur Anwendung kommen.
Weiterhin wird nach Art. 55 CSA allen Produkten, Diensten oder Prozessen, die nach einem solchen Zertifizierungsschemata zertifiziert sind oder einer solchen vereinfachten Bewertung unterzogen wurden künftig eine Art „Beipackzettel“ mit Aussagen zu den spezifischen Sicherheitseigenschaften beizulegen sein. Schließlich sind nach Art. 58 CSA durch die Mitgliedstaaten eine oder mehrere Behörden für die Cybersicherheitszertifizierung zu benennen.
Was bedeutet die Notifizierung für das BSI?
Laut Pressemitteilung darf das BSI ab sofort Anträge von Herstellenden bearbeiten, die ein europäisches Cybersicherheitszertifikat für Produkte mit der Vertrauenswürdigkeitsstufe hoch erteilt bekommen wollen: „Zertifizierung auf dieser Vertrauenswürdigkeitsstufe bedeutet, dass Produkte einer Prüfung und Bewertung unterzogen werden, die darauf ausgerichtet ist, das Risiko von Cyberangriffen nach dem neuesten Stand der Technik durch Akteure mit umfangreichen Fähigkeiten und Ressourcen möglichst gering zu halten. […] Bisherige inhaltliche Divergenzen ausschließlich nationaler Zertifikate der Mitgliedstaaten werden von nun an vermieden.“
Das BSI in Person von Sandro Amendola, Leiter der Abteilung Standardisierung, Zertifizierung und Prüfung äußerst sich wie folgt: „[…] Das BSI erfüllt damit seine Aufgaben als zertifizierende und aufsichtführende Nationale Behörde für die Cybersicherheitsziertifizierung, der NCCA. Ab sofort ist es allen Herstellenden möglich, Produkte nach EUCC mit der Vertrauenswürdigkeitsstufe hoch durch das BSI zertifizieren zu lassen. Dabei konnte der Übergang von der nationalen CC-Zertifizierung hin zur europäischen EUCC-Zertifizierung ohne Unterbrechung gewährleistet werden.“
Fazit
Durch die Notifizierung des BSI als Zertifizierungsstelle wird zum einen die Wirkung und die Anwendung des CSA weiter vorangetrieben. Zum anderen greifen weitere Vorkehrungen der Sicherheitsarchitektur der Europäischen Union und fördern so das avisierte Ziel der Erhöhung der Cybersicherheit.
Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.
