Das Bundesamt für Sicherheit in der Informationstechnik (BSI) wurde soeben als alleinige staatliche Zertifizierungsstelle gemäß der Verordnung (EU) 2019/881 (Cybersercurity Act, CSA) bei der Europäischen Kommission (EU-KOM) notifiziert. Ab sofort darf das BSI Anträge von Herstellenden bearbeiten, die ein europäisches Cybersicherheitszertifikat für Produkte mit der Vertrauenswürdigkeitsstufe hoch entsprechend den Anforderungen der EUCC-Durchführungsverordnung (EUCC-DV) erteilt bekommen wollen. Zertifizierung auf dieser Vertrauenswürdigkeitsstufe bedeutet, dass Produkte einer Prüfung und Bewertung unterzogen werden, die darauf ausgerichtet ist, das Risiko von Cyberangriffen nach dem neuesten Stand der Technik durch Akteure mit umfangreichen Fähigkeiten und Ressourcen möglichst gering zu halten.
EUCC ist ein europäischer Neuanfang auf dem für das BSI bereits gewohnten Terrain der Zertifizierung nach Gemeinsamen Kriterien (Common Criteria, CC) und der Gemeinsamen Evaluierungsmethodik (Common Evaluation Methodology, CEM). Wirksame technische Spezifikationen der auslaufenden nationalen CC-Zertifizierungsschemata konnten in die EUCC-DV überführt werden. Die künftig durch das BSI erteilten EUCC-Zertifikate sind in allen Mitgliedsstaaten der EU anerkannt, denn mit dem Vorgang der Notifizierung wurden die EU-KOM und die anderen Mitgliedstaaten durch das BSI als notifizierende Behörde über die Entscheidung unterrichtet, dass das BSI als Zertifizierungsstelle benannt wurde.
Bisherige inhaltliche Divergenzen ausschließlich nationaler Zertifikate der Mitgliedstaaten werden von nun an vermieden. Die Einheitlichkeit und Vergleichbarkeit aller Cybersicherheitszertifikate ist das erklärte Ziel des europäischen Rahmens für Cybersicherheitszertifizierung (ECCF) und soll verhindern, dass durch unterschiedliche Anforderungsniveaus der Mitgliedstaaten ein “Zertifizierungsshopping” provoziert wird.
Aufgrund der langjährigen Erfahrung des BSI ist der notifizierte technische Geltungsbereich für EUCC sehr umfangreich. Dieser Geltungsbereich beinhaltet zum einen vollumfänglich alle für die Cybersicherheitszertifizierung vorgesehenen Produktgruppen, zum anderen erfüllt das BSI die Anforderungen der in der EUCC-DV verlangten Kenntnisse zu den technischen Bereichen “Chipkarten und ähnliche Geräte” sowie “Hardware Geräte mit Sicherheitsboxen”. Darüber hinaus wird das BSI gemäß EUCC-DV als einzig gesetzlich autorisierte Zertifizierungsstelle in Deutschland auch Schutzprofile zertifizieren.
