Pressemitteilung

Anforderungen an einen künftigen Europäischen Zertifizierungs- und Kennzeichnungsrahmen für IKT-Sicherheit: TeleTrusT - Bundesverband IT-Sicherheit e.V. kritisiert Pläne der EU-Kommission und fordert Änderungen

Requirements on a future European ICT Security Certification and Labelling Framework: TeleTrusT - IT Security Association Germany criticizes plans of the EU Commission and calls for amendments

Berlin, 04.10.2017 - Die Europäische Kommission hat einen Regulierungsvorschlag veröffentlicht, der auch einen künftigen Europäischen Zertifizierungs- und Kennzeichnungsrahmen für IKT-Sicherheit betrifft. Er soll die Sicher-heitseigenschaften von Produkten, Systemen und Diensten, die bereits in der Entwurfsphase ("security by design") integriert sind, verbessern. Die gute Absicht ist erkennbar, zumal ein erhöhter Schutz der Bürger und Unternehmen durch bessere Cybersicherheits-Vorkehrungen erstrebenswert ist. Dennoch hat der Vorschlag erhebliche fachliche Mängel. Darüber hinaus fehlt es an Offenheit und Transparenz, wie man sie von Normensetzung erwarten kann, die der Unterstützung der EU-Gesetzgebung dienen soll.

TeleTrusT-Positionen:

Der Vorschlag wird als notwendiger und grundlegender Beitrag zur Cyber-Sicherheit in digitalen Infrastrukturen angesehen. Die Entwicklung und der Einsatz der neuen Digitaltechnologien mit ihren erhöhten inhärenten Risiken bedürfen eines nachhaltigen Rahmenplans, der einschlägige technische Normen und Zertifizierungsdienste im "Digitalen Binnenmarkt" bereitstellt. Dies führt zu sicheren Produkten, Systemen und Diensten bereits vor Markteintritt und während ihres gesamten Lebenszyklus.

Der Vorschlag orientiert auf umfassende Befugnisse für die EU-Kommission, zu entscheiden, welche Cybersicherheits-Schemata innerhalb der EU erforderlich sind, welche Normen für ein Schema gelten und welche Produkt- oder Dienstetypen erfasst werden. Ein Schema kann Smart Meters, IoT-tragbare Geräte, Datenbanken, Cloud-Dienste, Smartphones etc. umfassen, in der Tat also jedes IKT-Produkt. Sollten keine anwendbaren Normen für ein Schema vorhanden sein, werden die Anforderungen, die zur Zertifizierung eines Schemas erfüllt werden müssen, ohne Konsultation in das Schema integriert.

Der EU-Agentur für Network and Information Security (ENISA) wird das Vorschlagsrecht für Schemata zugeschrieben, aber die endgültige Entscheidung, wann ein neues EU-Schema erforderlich ist und welche Produkte und Dienste erfasst werden, bleibt ausschließlich in der Hand der EU-Kommission. Es gibt keine Beteiligung der Mitgliedstaaten, des Europäischen Rates, des Europäischen Parlaments, nationaler Normenorganisationen, gesellschaftlicher Interessengruppen oder der Industrie. Dass ein Schema zunächst freiwillig anzuwenden ist, ist ein schwaches Argument zur Verteidigung einer Verordnung, die der EU-Kommission zu viel Macht verleiht.

Der neue Rahmenplan kann nur unter folgenden Voraussetzungen gelingen:

  1. Der Rahmenplan migriert vorhandene Zertifizierungsinfrastrukturen ohne Betriebsunterbrechung, besonders SOGIS-MRA ("Senior Officials Group Information Systems Security - Mutual Recognition Arrangement", aktuell mit 14 Mitgliedstaaten, kompetenten Schemata und privaten Prüfstellen; initiiert Anfang der neunzi-ger Jahre durch die EU-Kommission, große Industrieanerkennung und Weltmarktposition).
  2. Zertifizierung muss auf offene Normen setzen, die Wettbewerb zwischen Prüfstellen bzw. Schemata sowie zwischen den geeignetsten Sicherheitslösungen für ein festgelegtes Sicherheitsproblem ermöglichen.
  3. Der Rahmenplan kann Ergebnisse analog zum rasanten Tempo technologischer Änderungen erzielen und die Marktbedürfnisse rechtzeitig und wirtschaftlich befriedigen.
  4. Eine leistungsstarke Beziehung zwischen dem Rahmenplan und den Europäischen Normungsorganisationen (ESO) kann aufgebaut werden.
  5. Was die IKT-Sicherheitsaspekte betrifft, werden die Richtlinien und Verordnungen der EU-Kommission für jeden vertikalen Digitalmarkt die Anforderungen an geeignete technische Sicherheitsnormen und Zertifizie-rungen prüfen und das Certification Board entsprechend regelmäßig einbeziehen. Falls ein Vertikalsektor nicht harmonisiert werden kann, wird die Vereinheitlichung der technischen Normen und Zertifizierungen schwer erreichbar sein. IT-Sicherheit betrifft auch Netzwerksicherheit, die öffentliche bzw. nationale Sicher-heit sowie die digitale Souveränität. IT-Sicherheit ist nicht nur Anliegen des Digitalbinnenmarktes, sondern auch der Mitgliedsstaaten. Das gilt insbesondere für Kryptonormen und die Qualifikation der Prüfstellen.

Deshalb muss ein künftiges Europäisches IKT-Zertifizierungs- und Kennzeichnungsrahmenwerk

  • ein "European Cyber Security Certification Board" etablieren, besetzt mit Vertretern der Mitgliedsstaaten in Abstimmung mit den ESO und dem European Data Protection Board (EDPB), mit der Verantwortung, seine Themenbereiche sowie Arbeitsgruppen aufzubauen,
  • die Generaldirektionen der EU-Kommission bei der Entwicklung der Kommunikationen, Richtlinien und Verordnungen für Vertikalsektoren unterstützen, so dass Standardisierung und Zertifizierung in einer sehr frühen Phase vorbereitet werden und Synergien zwischen den vertikalen Digitalisierungssektoren erzeugt werden können,
  • SOGIS-MRA von einer Aktivität einzelner Mitgliedsstaaten in eine gesamteuropäische Aktivität migrieren,
  • die Unabhängigkeit der Standardisierung und Auswertung gewährleisten, indem ein geeignetes Akkreditierungssystem für Prüfstellen bereitgestellt wird und die Akkreditierungsverordnung mit Hilfe einer zusätzlichen sektorspezifischen Ausnahmeregelung gemäß Erwägungsgrund Nr. 5 in 765/2008 verbessern,
  • eine Rolle für die ENISA etablieren, um die Sekretariats- und organisatorische Infrastruktur für das (neue) European Cyber Security Certification Board bereitzustellen,
  • Mitgliedsstaaten und Industrie unterstützen, um Innovationen für bessere IT-Sicherheit einzuleiten und Wettbewerbsgleichheit für die europäische Industrie im Weltmarkt zu schaffen.

https://ec.europa.eu/transparency/regdoc/rep/1/2017/EN/COM-2017-477-F1-EN-MAIN-PART-1.PDF

 

Berlin, October 04, 2017 - The European Commission has published a regulation proposal, also concerning a European ICT Security Certification and Labelling Framework to improve the security properties of products, systems and services already in the design phase ("security by design"). The intentions behind this regulation are noble since it is desirable to increase the protection of citizens and businesses through better cyber security awareness and practices. However, this proposal has serious technical flaws and lacks also the openness and transparency that can be expected from setting standards used to support EU legislation.

TeleTrusT positions:

The proposal is regarded to be a necessary and fundamental contribution for cyber security in digital infrastructures as the development and deployment of new digital technologies with their increasing inherent risks require a sustainable framework to provide appropriate technical standards and certification services in the "Digital Single Market". This will lead to secure products, systems and services already before they enter the market and during their complete lifecycle.

The proposal seeks to give complete power to the European Commission to decide what cyber security schemes are required within the EU, which standards apply to a scheme, and what types of products or services are covered by a scheme. A scheme could cover smart meters, IoT wearables, databases, cloud, smartphones, etc., in fact any ICT product. If there are no applicable standards for a scheme, the requirements that are to be met to certify against a scheme will be baked into the scheme itself without requiring consultation.

The proposal has the EU Agency for Network and Information Security (ENISA) at the heart of writing the schemes, but the ultimate decision of when a new EU scheme is required, what products and services are covered, and on a scheme’s final content rests solely with the Commission. There is no involvement of Member States, the European Council, the European Parliament, National Standards Bodies, societal stakeholders, or industry. While initially a scheme will be voluntary to use, this is a weak argument in defense of a regulation that gives too much power to the European Commission.

The new framework can only be successful under the following conditions:

  1. The Framework migrates existing certification infrastructures without disruption of business, especially SOGIS-MRA ("Senior Officials Group Information Systems Security - Mutual Recognition Arrangement", with currently 14 Member States, competent schemes and private evaluation labs, initiated by the European Commission in the early nineties, with significant recognition by the industry and a world market position).
  2. Certification shall rely on open standards, permit competition between labs and schemes and between the most appropriate security solutions for a defined security problem.
  3. The Framework can produce results at the speed of the technological change and satisfy market needs in time and efficiency.
  4. An efficient relationship between the Framework and the European Standardisation Organisations can be established.
  5. As far as ICT security aspects are concerned the European Commission´s directives or regulations for any vertical digital market will consider the requirement for appropriate technical security standards and certifications and involve the Certification Board accordingly and on a regular basis. If a vertical sector cannot be harmonised then harmonisation of technical standards and certification will be hard to achieve. IT Security is also a concern of network security, public and national security and digital sovereignty. IT Security is not only a concern of the Digital Single Market but also of the Member States. This is especially the case for crypto standards and the qualification of evaluation labs.

Therefore, a future European ICT Certification and Labelling Framework should:

  1. establish a "European Cyber Security Certification Board" composed by representatives of the Member States in liaison to the ESO, the European Data Protection Board (EDPB) with the responsibility to define its terms of references and establish working groups,
  2. support the Commission DGs when developing communications, directives and regulations for vertical sectors so that standardisation and certification is prepared at a very early state and can provide synergies between the vertical digitalisation sectors,
  3. migrate SOGIS-MRA from a Member States driven activity to a pan-European one,
  4. keep the independence of standardisation and evaluation by providing an appropriate accreditation system for the labs and enhance the accreditation regulation by including an additional sector-specific exception according to recital No. 5 in 765/2008,
  5. establish a role for ENISA to provide the secretariat and organisational infrastructure for the (new) European Cyber Security Certification Board,
  6. support member states and industry to initiate innovations for better IT security and to create a level playing field for European industry in the world market. 

https://ec.europa.eu/transparency/regdoc/rep/1/2017/EN/COM-2017-477-F1-EN-MAIN-PART-1.PDF

Dateien:
PR-171004-TeleTrusT-EU_ICT_Certification_Framework_01.pdf228 Ki
PM-171004-TeleTrusT-EU_IKT_Zertifizierungsrahmen.pdf129 Ki
<- Zurück zu: Meldungen