Sechsundzwanzig Milliarden Geräte sind derzeit weltweit mit dem „Internet der Dinge“ verbunden, bis 2025 soll die Anzahl auf 75 Milliarden ansteigen ( IHS Markit). Allerdings wachsen mit der Verbreitung solcher Geräte auch die Risiken für Privatanwender, Unternehmen und Behörden. Der Gesetzgeber ist hier in einem Wettlauf mit der Zeit, um sicherzustellen, dass die neue Technologie für die Nutzer sicher ist. Da immer mehr Alltagsgegenstände an das Internet angeschlossen werden, erhöht sich die Möglichkeit für Hacker, Zugang zu sensiblen Informationen zu erhalten oder ein Objekt aus der Ferne zu übernehmen. Der Cybersecurity Act unterstreicht die Bedeutung der Zertifizierung und fordert u.a. Produkthersteller EU-weit auf, entsprechende Maßnahmen zu ergreifen, um ihre Systeme gegenüber Angriffen abzusichern.

Der Cybersecurity Act hat zwei Hauptziele:

  1. Erreichung eines höheren Zertifizierungsniveaus und
  2. die Unterstützung der Agentur der Europäischen Union für Netz- und Informationssicherheit (ENISA)

damit die Vorschriften zum IoT durchgesetzt werden können und ein gemeinsamer, digitaler Binnenmarkt geschaffen wird, in dem einheitliche Kriterien für Cybersicherheit und Anerkennung von Produkten, Prozessen und Diensten gelten. Unternehmen der gesamten EU werden die ENISA nun als den ultimativen Schiedsrichter in Fragen anerkennen, ob Sicherheitsstandards stark genug sind.

Grundsätzlich ist die zukünftige Zertifizierung freiwillig, aber ein Zertifizierungsschema kann verbindlich werden, wenn das EU-Recht dies erfordert. Die Europäische Kommission wird bis 2023 eine Liste verbindlicher Zertifizierungsschemata vorlegen.

Drei Vertrauensgrade

Der Cybersecurity Act sieht drei Stufen – so genannte Vertrauensgrade – der Sicherheitssicherung vor:

  • Grundlegend, was eine Konformitäts-Selbstbewertung erfordert
  • Werthaltig, was eine technische Überprüfung der Sicherheitsanforderungen erfordert
  • Hoch, was ein effizientes Testen der Sicherheitsfunktionalitäten durch Dritte erfordert.

Durch diese drei Qualifikationsmerkmale bekommen die Verbraucher und Anwender die notwendigen Informationen, die sie bei einer Kaufentscheidung in Bezug auf Cybersicherheit benötigen.
Das Wesentlichste ist jedoch, dass der Cybersecurity Act Sicherheit zu einem Business-Enabler macht: Hersteller, die auf billige und minderwertige Produkte setzen, werden vom Markt verdrängt. Somit bekommen beispielsweise heimischen Hersteller, die den genannten Aufwand betreiben, durch den Cybersecurity Act jetzt einen Marktvorteil.