Erstes EU-weites Zertifizierungsgschema gegen IT-Schwachstellen

Mit dem „European Cybersecurity Scheme on Common Criteria“ (EUCC) gibt es nun einen ersten systematischen Ansatz zur Zertifizierung von Cybersicherheit. Die Kriterien des Zertifizierungsschemas wurden von der Agentur der Europäischen Union für Cybersicherheit (ENISA) entworfen und müssen nun in den Mitgliedsstaaten umgesetzt werden – der dafür notwendige Rechtsakt zur Durchführung („Implementing Act“) wurde kürzlich veröffentlicht. Der Exekutivdirektor der ENISA, Juhan Lepassaar, betont die Bedeutung der EUCC: Der Schritt sei ein Teil des „Puzzles des EU-Zertifizierungsrahmens für Cybersicherheit“, welches sich derzeit im Aufbau befinde. Hersteller sind bei der EUCC dazu verpflichtet, aktiv die Schwachstellen ihrer Produkte überwachen und eine Vulnerability Impact Analyse gemäß Artikel 33 durchführen.
Bild: Clipdealer

„Das EUCC ermöglicht es den Herstellern, die IT-Sicherheit von Produkten wie Technologiekomponenten, Hard- und Software nach einem Standard zu überwachen und auf Schwachstellen zu analysieren. Damit wird auch der Weg geebnet, die kommenden Anforderungen des ‚Cyber Resilience Act‘ mit den entsprechenden Prozessen bei den Herstellern umzusetzen. Die Zielsetzung der Common Criteria, die Sicherheit neuer IT-Produkte und Geräte mit digitalen Elementen auf dem EU-Binnenmarkt zu erhöhen, hilft auch bei der Umsetzung kommender Regularien wie dem ‚Cyber Resilience Act‘“, sagt Jan Wendenburg, CEO von Onekey. Gemäß der EUCC müssen Hersteller aktiv die Schwachstellen ihrer Produkte überwachen und eine Vulnerability Impact Analyse gemäß Artikel 33 durchführen.