www.belgium.be Logo of the federal government

Zertifizierungsstelle (ZCB-Zertifizierung)

Die ZCB-Zertifizierungsstelle bietet belgischen Unternehmen Beratung und Unterstützung bei der EU-Zertifizierung für Cybersicherheit an.

Das Zentrum für Cybersicherheit Belgien (ZCB) ist bestrebt, dass Belgien im Bereich der Cybersicherheit bis 2025 zu den bestgeschützten Ländern Europas zählt. Die Zertifizierung von IT-Produkten, -Diensten und -Prozessen, die bestimmte Sicherheitsanforderungen erfüllen, ist ein wichtiges Element zur Gewährleistung der Cybersicherheit. Die Zertifizierung kann das Vertrauen in den digitalen Binnenmarkt verbessern und sicherstellen. 

Dem ZCB kommt die Rolle der Nationalen Behörde für Cybersicherheitszertifizierung NBCZ (National Cybersecurity Certification Authority) zu.

Rechtsakt zur Cybersicherheit (Cybersecurity Act)

Der Rechtsakt zur Cybersicherheit ((EU) 2019/881) ist eine Verordnung, mit der die Europäische Union grenzüberschreitenden Cyberangriffen begegnen will. Diese Verordnung bietet den europäischen Mitgliedstaaten unter anderem einen Rahmen für die freiwillige Zertifizierung von IT-Produkten, -Prozessen und -Diensten im Bereich der Cybersicherheit. Ein EU-Zertifikat für Cybersicherheit bestätigt, dass ein IT-Produkt, -Prozess oder -Dienst gemäß einem europäischen Cybersicherheitszertifizierungssystem bzw. -schema zertifiziert wurde und hierzu bestimmte Sicherheitsanforderungen und -vorschriften erfüllt. 

In Belgien erfolgt die Zertifizierung aufgrund eines Audits, eines Tests oder einer Zertifizierung durch eine anerkannte Konformitätsbewertungsstelle (Conformity Assessment Body (KBS)). Die ausgestellten Zertifikate werden von der EU-Agentur für Cybersicherheit (ENISA) veröffentlicht, diese sind innerhalb der Europäischen Union gültig. 

Cybersicherheitsniveau

Je nach den Risiken, die mit der Nutzung der zu zertifizierenden IT-Lösung verbunden sind, gelten unterschiedliche Cybersicherheitsniveaus. Jedes EU-Schema gibt an, ob eine Zertifizierung für ein „niedriges“, „substanzielles“ oder „hohes“ Vertrauensniveau möglich ist.

Die folgenden Zertifizierungsschemata werden derzeit für den Markt vorbereitet:

 

 

Gemeinsame Kriterien (EUCC): Zertifizierung von IT-Produkten (Sicherheitsniveau „substanziell“ oder „hoch“)

 

 
 

Cloud-Dienste (EUCS): Zertifizierung von Cloud-Diensten (Sicherheitsniveau  „niedrig“, „substanziell“ oder „hoch“)

 

 

5G-Netze (EU5G): Zertifizierung von 5G-Netzen (Sicherheitsniveau „niedrig“, „substanziell“ oder „hoch“)

 

Implementierung des Zertifizierungsverfahrens

Die obige Abbildung zeigt die Funktionsweise eines Zertifizierungsverfahrens auf nationaler Ebene.

Ein Zertifikat kann über eine Konformitätsbewertungsstelle (KBS) oder, wenn die Möglichkeit dazu besteht, über eine Konformitätsselbstbewertung erlangt werden.

  1. Ein Schema kann eine Konformitätsselbstbewertung (1) umfassen. Das bedeutet, dass ein Hersteller oder Anbieter selbst bewertet, ob sein IT-Produkt, sein -Dienst oder sein -Prozess die nach einem bestimmten Schema festgelegten Sicherheitsanforderungen erfüllt. Wenn die im Schema genannten Anforderungen erfüllt sind, kann der Hersteller bzw. Anbieter ein Zertifikat erhalten. Nicht jedes Schema bietet diese Möglichkeit. Sollte dies nicht der Fall sein, so gilt es nur für das Sicherheitsniveau „niedrig“. Nur die EUSC bietet derzeit eine Selbsteinschätzung für die Sicherheitsstufe „niedrig“ an.
  2. BELAC, die nationale Akkreditierungsbehörde (2) (NAB), akkreditiert eine Konformitätsbewertungsstelle (KBS) für maximal fünf Jahre für ein bestimmtes Schema. 

Eine anerkannte KBS kann ihrerseits einen Hersteller oder Dienstleister für seine IT-Produkte, -Dienste oder -Prozesse zertifizieren, soweit er die Sicherheitsanforderungen desjenigen Schemas erfüllt, für das die Zertifizierung beantragt wird. Erfüllt der Hersteller oder Dienstleister die Anforderungen nicht und wird die Bescheinigung von einer KBS verweigert, kann beim ZCB Einspruch eingelegt werden.

Aufgrund des Rechtsakts zur Cybersicherheit (Cybersecurity Act) ist es einer nicht-belgischen KBS mit Sitz in Belgien möglich, sich bei der BELAC akkreditieren zu lassen. Sie unterliegt dann der belgischen Aufsicht. Für das Sicherheitsniveau „hoch“ bevorzugt Belgien momentan für die europäischen Cybersicherheitszertifikate die vollständige oder teilweise Beauftragung der BELAC-anerkannten KBS.