Der Cybersecurity Act (CSA) der EU bringt neben dem dauerhaften Mandat der ENISA das Konzept des EU-weit einheitlichen Cybersecurity Certification Frameworks mit. Nachdem der CSA bereits im Juni 2019 in Kraft gesetzt wurde, geht es nun darum Schemen für die Zertifizierung von Produkten, Services und Prozessen zu entwickeln.
Eine der oft gestellten Fragen an den Cybersecurity Act (CSA) der EU ist: Was bedeuten die Stufen Basic, Substantial und High? Dieser Frage gehen im BSI-Forum der kes Ausgabe 2/2020 Dietmar Bremser vom BSI und unser Kollege Sebastian Fritsch nach.
Viele Experten erwarten für die Stufe High die Nutzung der wohlbekannten Common Criteria. Aber was können wir bei Basic und Substantial Schemen erwarten? Die folgenden grundsätzliche Einordnungen werden vorgenommen und danach vertieft und analysiert:
Basic
„Die Vertrauenswürdigkeitsstufe Basic fordert eine Bedrohungsresistenz gegen „known basic risks of incidents and cyberattacks“. Die Quantifizierung des Risikos erfolgt dabei grundsätzlich in einem begrenzten Anwenderfokus oder allgemeiner für die Branche. [..] Dazu analoge „vertikale“ Schemata sind allerdings nicht das erklärte Ziel des CSA, da so ein riesiges Geflecht an verschiedensten Schemata entstehen müsste. Ziel ist es daher, den gemeinsamen Nenner mehrerer Branchen in einem Schema zu finden.“
Substantial
„Die Vertrauenswürdigkeitsstufe Substantial unterscheidet sich deutlich von Basic mit der Forderung zur Minimierung bekannter Risiken von Vorfällen und Angriffen, verursacht von Akteuren mit begrenzten Fähigkeiten und Ressourcen. In dieser Stufe kommt daher insbesondere die Betrachtung von bekannten Bedrohungen hinzu, also eben auch von Ereignissen, deren Eintrittswahrscheinlichkeit und Schadensausmaß nicht eindeutig gefasst oder geringer gewichtet werden.“