标准20252018年2月13日欧洲标准化组织、欧洲电信标准化协会、欧洲网络与信息安全局在布鲁塞尔举行了一场题为“网络安全法案——建立标准化与认证之间的联系”的会议。这一会议主要由标准化协会领导下的网络安全核心小组(CSCG)组织进行。200位与会人员参加了这一报告会和小组讨论。伯恩哈德.蒂斯(欧洲电工标准化委员会主席)、路易斯.乔治.罗梅罗(欧洲电信标准化协会总干事)、史蒂夫.布尔瑟(欧洲网络与信息安全局核心业务部门主管)向与会人员致以了问候。会议在兴趣听众的积极参与下,通过演讲和激烈的小组讨论,探讨了以下议题:
- 如何借助网络安全法案提振欧洲市场对信息通信技术产品和服务的信心?
- 如何建立欧盟认证框架?这有哪些市场前景?
- 产品和服务的网络标准化:欧洲网络安全法案会为欧洲和国际标准创造哪些前景?
会议一致认为,应当基于标准和规范有效建立认证框架。标准和规范以政治目标为出发点,描述技术层面的实施流程。目标是建立欧洲统一和谐的标准规范,而非单一国家的法规条例。
但是,实施流程中应承担的责任程度还未得到确定,这迫切需要通过政策进行改进:是继续实行自愿性认证还是改为强制性认证?如果实行主要由消费者代表(ANEC)支持的强制性认证,就需要实施NLF。
很明显,新的欧洲标准化组织JTC 13 网络安全和数据保护协会为上述工作提供了充足的动力。它致力于使国际标准,尤其是ISO-IEC-JTC 1信息技术标准成为欧洲标准。同时这一标准仅适用于欧盟法规规定的有技术报告补充的特殊情况。制定认证框架标准的基础已经具备。我们不需要重新发明轮子,需要做的只是说明如何保证轮子以符合欧洲交通规则的方式行驶。
Cybersecurity Act – Zertifizierung und Normung sinnvoll zusammenbringen
„Cybersecurity Act – Establishing the link between Standardization and Certification” ist der Titel einer gemeinsamen Konferenz von CEN-CENELEC, ETSI und ENISA, die am 13. Februar 2018 in Brüssel stattgefunden hat. Das Programm wurde wesentlich von der von DIN geführten Cyber Securuity Focus Group (CSCG) organisiert. 200 Teilnehmer vor Ort haben in Brüssel an den Vorträgen und Paneldiskussionen teilgenommen. Die Teilnehmer wurden durch Bernhard Thies (CENELEC Präsident), Luis Jorge Romero (Director General ETSI) und Steve Purser (Head of Core Operations Department ENISA) begrüßt. Im Verlauf des Tages wurden folgende Themen durch Keynotes und intensive Paneldiskussionen unter Einbeziehung eines interessierten und aktiven Auditoriums behandelt:
- Wie kann mithilfe des Cybersecurity Act das Vertrauen in ICT Produkte und Dienstleistungen im europäischen Markt erhöht werden?
- Wie kann ein EU Zertifizierungsrahmen eingerichtet werden? Welche Marktperspektiven sind dafür gegeben?
- Cyberstandardisierung für Produkte und Dienstleistungen: Welche Perspektiven für europäische und internationale Standards gibt es durch den European Cybersecurity Act?
Einigkeit herrschte darin, dass Zertifizierungsschemata sinnvoll auf Standards und Normen aufsetzen sollen. Standards und Normen setzen auf politischen Zielvorgaben auf und beschreiben die technische Umsetzung. Ein europaweit einheitliches und harmonisiertes Vorgehen anstelle von einzelstaatlichen Vorgaben und Regularien ist das richtige Ziel.
Unklarheit herrscht in Bezug auf den Grad der Verpflichtung zur Umsetzung. Hier muss dringend seitens der Politik nachgebessert werden: Bleibt es bei einer freiwilligen Zertifizierung oder wird diese verpflichtend? Sollte die Zertifizierung verpflichtend werden, wofür sich vor allem die Vertreter der Verbraucher (ANEC) aussprechen, dann ist eine Umsetzung über den NLF gefordert.
Sehr deutlich wurde, dass das neue CEN-CENELEC JTC 13 Cybersecurity and Data Protection mit seiner Arbeit die richtigen Impulse setzt. Es setzt sich dafür ein, dass internationale Normen, vordinglich die des ISO-IEC-JTC 1 Information Technology als Europäische Normen übernommen werden und nur dort, wo EU-Regularien Besonderheiten hinsichtlich der Anwendung von internationalen Technology Standards vorsehen, diese durch Technical Reports ergänzt werden. Damit ist eine für die Entwicklung eines Zertifizierungsrahmens gegebene Basis an Normen bereits vorhanden. Man muss also das Rad nicht neu erfinden, sondern lediglich beschreiben, wie das Rad in Europa mit den hier gültigen Verkehrsregeln gefahren wird.