• Ist die Zertifizierung von IT-Produkten, -Diensten und -Prozessen obligatorisch?

• Welche Sicherheitsniveaus gibt es bei der Zertifizierung und was bedeuten sie?

• Ab wann kann ein Hersteller eine Zertifizierung von IT-Produkten, -Diensten und -Prozessen beantragen?

• Gibt es in Belgien bereits anerkannte Konformitätsbewertungsstellen?

• Wie werden EU-Zertifizierungsschemata für Cybersicherheit entwickelt?

• Werden die EU-Zertifikate für Cybersicherheit in allen europäischen Ländern anerkannt?

• Was ist, wenn ein neues EU-Schema denselben IT-Bereich abdeckt wie ein bereits bestehendes nationales Schema?

• Werden die EU-Zertifikate für Cybersicherheit in allen europäischen Ländern anerkannt?

• Wann kann man die Hilfe der ZCB-Zertifizierungsstelle in Anspruch nehmen?

• Wird das ZCB auch als NBCZ überwacht?

• Wie kann ich die ZCB-Zertifizierungsstelle kontaktieren?

Die Zertifizierung ist freiwillig, sofern die Rechtsvorschriften der Union bzw. der Mitgliedstaaten nichts anderes vorschreiben. Anbieter, die ihre IT-Lösung zertifizieren lassen möchten, können dies bei einer Konformitätsbewertungsstelle (Conformity Assessment Body) beantragen, hierzu gelten die in den Zertifizierungsschemata festgelegten Regeln.

Künftig wird die Kommission regelmäßig die Effizienz und den Nutzen der bestehenden europäischen Schemata bewerten, wenn das einschlägige EU-Recht ein spezifisches europäisches System vorschreibt, um EU-weit ein angemessenes Niveau der Cybersicherheit von IT-Produkten, -Diensten und -Prozessen zu gewährleisten und das Funktionieren des Binnenmarktes zu optimieren. 

Top

Ein Sicherheitsniveau bietet die Gewähr, dass ein IT-Produkt, ein -Dienst oder ein -Prozess die Sicherheitsanforderungen eines bestimmten Schemas erfüllt.  Es gibt an, welchem Sicherheitsniveau das IT-Produkt, der IT-Dienst oder der IT-Prozess zu geordnet wurde. Es ist kein Maß für die Sicherheit des IT-Produkts, des -Dienstes oder Prozesses.

Top

Dieser Zeitrahmen unterliegt der europäischen Entscheidungsfindung und kann sich ändern:

• EUCC (Zertifizierung von IT-Produkten) ab Ende 2024
• EUCS (Cloud-Dienste) ab Anfang 2025
• EU5G (5G): wird noch festgelegt.

Top

Für die EU-Schemata ist noch keine Akkreditierung möglich, da noch kein endgültiges Schema veröffentlicht wurde. Der voraussichtliche Zeitpunkt für den Beginn der Akkreditierungsverfahren der KBS ist für:

• EUCC (Zertifizierung von IT-Produkten): ab Mitte 2024
• EUCS (Cloud-Dienste): ab Ende 2024
• EU5G (5G): noch nicht festgelegt

Für die Zertifizierung von Managementsystemen nach ISO 27001 gibt es in Belgien mehrere anerkannte Konformitätsbewertungsstellen (KBS). Die BELAC veröffentlicht die anerkannten KBS auf ihrer Website. 

Top

Die EU-Agentur für Cybersicherheit (ENISA) entwickelt auf Ersuchen der Europäischen Kommission oder der EU-Mitgliedstaaten Entwürfe für die Zertifizierungsschemata. Die ENISA wird von einer Expertengruppe beraten und arbeitet eng mit der Europäischen Kommission, den EU-Mitgliedstaaten und den relevanten Interessengruppen zusammen.

Die Zertifizierungsstelle des ZCB vertritt Belgien im Konsultativorgan ECCG (Europäische Gruppe für die Cybersicherheitszertifizierung), das die Europäische Kommission zu den Schemata berät.

Top

Zertifikatsvergabe:

Jeder Mitgliedstaat kann EU-Cybersicherheits-Zertifikate vergeben. Nationale Behörden für die Cybersicherheitszertifizierung (NBCZ) beaufsichtigen und überwachen die Konformität der von den Konformitätsbewertungsstellen (KBS) in ihrem Mitgliedstaat ausgestellten Zertifikate.

Zertifizierungsvoraussetzungen:

Anbieter, die ihre IT-Lösung zertifizieren lassen möchten, können dies bei einer anerkannten Konformitätsbewertungsstelle (KBS bzw. Conformity Assessment Body) beantragen, hierzu gelten die in den Zertifizierungsschemata vorgesehenen Regeln.

Nutzung der Zertifikate:

Die Nutzer von IT-Lösungen können Cybersicherheits-Zertifikate als Nachweis dafür betrachten, dass eine bestimmte Lösung bestimmte Sicherheitsanforderungen erfüllt.

Top

Um die Ziele dieses Rechtsakts zur Cybersicherheit zu erreichen und eine Fragmentierung des Binnenmarktes zu vermeiden, muss die Gültigkeitsdauer der nationalen Zertifizierungsschemata zu einem von der Kommission festgelegten Zeitpunkt enden. Jedes EU-Zertifizierungsschema für Cybersicherheit sieht einen Übergangszeitraum vor, nach dessen Ablauf die nationalen Schemata nicht mehr gelten.

Mit anderen Worten: Die im Rahmen dieser Schemata ausgestellten Zertifikate sind danach nicht mehr gültig. Es ist ein Übergang von den bestehenden Regelungen zu den EU-Regelungen vorgesehen, mit den erforderlichen Leitlinien für Konformitätsbewertungsstellen (KBS), die gemäß den nationalen Vorschriften zertifizieren.
Diese KBS dürfen ihre Tätigkeit im Rahmen der bestehenden Schemata nicht einstellen.

Top

Die EU-Cybersicherheitszertifikate, die von anerkannten Konformitätsbewertungsstellen (KBS) ausgestellt werden, sind in allen EU-Mitgliedstaaten gültig.

Top

Die ZCB-Zertifizierungsstelle ist einsatzbereit, sie berät und unterstützt belgische Unternehmen im Rahmen der EU-Zertifizierung für Cybersicherheit.

Die ZCB-Zertifizierungsstelle kann bei Beschwerden bezüglich der Zertifizierung von Produkten bzw. bei Missbrauch eingeschaltet werden. Die ZCB-Zertifizierungsstelle kann neben der Bereitstellung von Informationen ggf. tätig werden, um die Einhaltung der Vorschriften zu gewährleisten. Sie kann eine andere NBCZ um Hilfe bitten, wenn das Zertifikat in einem anderen europäischen Land ausgestellt wurde.

Top

Die ENISA ist für die Organisation einer Peer-Evaluierung (Bewertung durch europäische Kollegen) der NBCZ verantwortlich. Die NBCZ des ZCB wird ebenfalls daran teilnehmen, um seine Funktionsweise zu verbessern.

Top

E-mail: certification@ccb.belgium.be

Telefon : +32 (0)2 501 05 60

Top