Im Beratungsalltag erreicht uns immer wieder die Frage, ob eine bestimmte Produktgruppe ein europäisches Cybersicherheitszertifikat benötigt, oder nicht.
Der Antwort muss sich auf verschiedenen Wegen genähert werden.
1) CRA – kritische Produkte
Der CRA bindet das Inverkehrbringen von kritischen Produkten mit digitalen Elementen an eine erfolgreiche Zertifizierung (EUCC). Jene drei kritischen Produktkategorien sind im Anhang IV definiert: Hardwaregeräte mit Sicherheitsboxen, Smart-Meter-Gateways in intelligenten Messsystemen und Chipkarten.
Noch etwas Geduld: Bis zum 11. Dezember 2025 erlässt die Kommission einen Durchführungsrechtsakt, in welchem sie die technische Beschreibung der Kategorien von Produkten mit digitalen Elementen gemäß Anhang IV festlegt.
Die Kommission hat zudem die Befugnis Kategorien kritischer Produkte mit digitalen Elementen hinzuzufügen oder zu streichen. Auch anschließend an den zuvor genannten Durchführungsrechtsakt.
2) NIS-2-Richtlinie - Cybersicherheitsrisikomanagement
Die NIS-2-Richtlinie benennt Sektoren für wesentliche und wichtige Einrichtungen (z.B. Energie, Verkehr, Bankwesen) welche u.a. Maßnahmen zum Cybersicherheitsrisikomanagement ergreifen müssen. Aus diesem Cybersicherheitsrisikomanagement kann resultieren, dass nur IKT-Produkte mit einem hochwertigen Konformitätsbewertungsnachweis gemäß CRA zum Einsatz kommen. Es kann also sein, dass die Kunden (wesentliche und wichtige Einrichtungen) der IKT-Produkthersteller nach europäischen Cybersicherheitszertifikaten verlangen. Die Wertigkeit der Konformitätsbewertungsverfahren kann umgangssprachlich wie folgt abgestuft werden, von hochwertig zu niederwertig:
- Europäisches Cybersicherheitszertifikat gemäß EUCC
- Einbindung einer Notifizierten Stelle + EU-Konformitätserklärung
- EU-Konformitätserklärung, mit Amtsblatt-gelisteter harmonisierter Norm.
- EU-Konformitätserklärung, ohne Amtsblatt-gelisteter harmonisierter Norm.
3) Nationale Rechtsverordnungen zur Festlegung von „kritischen Komponenten“
Der Gesetzentwurf der Bundesregierung zur Umsetzung der NIS-2-Richtlinie wird nachfolgend E-NIS2UmsuCG** genannt.
Zum Status: Am 13.11.2025 beschloss der Bundestag das Cybersicherheitsgesetz NIS2UmsuCG**, welches die Vorgaben der europäischen Richtlinie zur Netzwerk- und Informationssicherheit (NIS2) umsetzen soll. Im nächsten Schritt ist der Bundesrat am Zug.
„Kritische Komponenten“ werden in einer gesonderten Rechtsverordnung als solche eingestuft. Eine Rechtsverordnung wird nicht vom Bundestag als Gesetzgeber, sondern von der Exekutive, in diesem Fall vom Bundesministerium des Innern, erlassen. Die Voraussetzung für eine Rechtsverordnung ist eine gesetzliche Ermächtigung gemäß § 56 Absatz 7 und 8 E-NIS2UmsuCG**.
In der Rechtsverordnung kann eine Komponente als kritische Komponente bestimmt werden, wenn:
1. es sich bei der Komponente um ein IKT-Produkt handelt,
2. die Komponente in kritischen Anlagen eingesetzt wird,
3. die Komponente eine kritische Funktion realisiert und
4. eine Störung der Verfügbarkeit, Integrität, Authentizität oder Vertraulichkeit der Komponente zu einer Beeinträchtigung der Funktionsfähigkeit kritischer Anlagen oder zu anderen Beeinträchtigungen der öffentlichen Ordnung oder Sicherheit führen könnte.
Das Konformitätsbewertungsverfahren für kritische Komponenten ist das europäische Cybersicherheitszertifikat gemäß EUCC.
Zusammenfassung
Es gibt also drei Windrichtungen, aus denen die Notwendigkeit eines Cybersicherheitszertifikats gemäß EUCC kommen kann.
EUCC: Das auf den Gemeinsamen Kriterien beruhende europäische System für die Cybersicherheitszertifizierung
Im Kontext von EUCC gibt es zum einen das ISO/IEC 17025-akkreditierte Prüflabor (ITSEF), und zum anderen die ISO/IEC 17065-akkreditierte Zertifizierungsstelle (CB). Die konkreten Schwachstellenanalysemethoden und die Penetrationstests (z.B. „Denial of service“, „Code Injection“), welche im Kompetenzbereich des ITSEFs liegen, müssen für jeden kompetenzseitig abgedeckten Technologietypen angezeigt werden (z.B. Hardwarearchitekturen (S1), Datenbanken (S6), Netzwerkprotokolle (N1) und Einbruchserkennung (N9)). Neben den allgemeinen Schwachstellenanalysemethoden und Penetrationstests gibt es besondere Angriffstechniken, welche es durch das Laborpersonal zu beherrschen gilt. Für Chipkarten (engl. Smartcards) seien hier bspw. die Seitenkanalangriffe (side channel attacks) genannt. [Quelle: enisa]
Haben Sie Fragen zu den Inhalten dieses Artikels oder anderen Cybersecurity Themen? Für noch mehr Unterstützung stehen wir Ihnen gern zur Verfügung. Schreiben Sie uns einfach eine E-Mail mit Ihrer Frage oder nutzen Sie dazu unser Kontaktformular.
Autor
Benjamin Kerger (B. Eng.)
Product Compliance Consultant
BEGRIFFE UND ABKÜRZUNGEN
ITSEF: Information Technology Security Evaluation Facility, siehe Accreditation of ITSEFs for the EUCC.
CRA: (EU) 2024/2847 [Cyber Resilience Act (CRA)]
NIS2: (EU) 2022/2555 [NIS-2-Richtlinie]
EUCC: Das auf den Gemeinsamen Kriterien beruhende europäische System für die Cybersicherheitszertifizierung
E-NIS2UmsuCG**
**“Entwurf eines Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung“
(Berücksichtigung (BT-Drucksache 21/1501) unter Berücksichtigung des Änderungsantrags der Fraktionen der CDU/CSU und SPD (Ausschussdrucksache 21(4)096))
IKT: Informations- und Kommunikationstechnologie
