Fragen und Antworten zur nationalen Behörde für die Cybersicherheitszertifizierung (NCZB)
Der nationalen Behörde für die Cybersicherheitszertifizierung kommen unter anderem die folgenden Aufgaben zu:
- Überprüfung der Übereinstimmung von IKT-Produkten, -Diensten und -Prozessen mit den in Österreich ausgestellten europäischen Cybersicherheitszertifikaten
- Überwachung und Durchsetzung der Verpflichtungen gegenüber Ausstellern von EU-Konformitätserklärungen
- Unterstützung der nationalen Akkreditierungsstellen bei der Überwachung und Beaufsichtigung der Konformitätsbewertungsstellen für Aufgaben nach dem Rechtsakt zur Cybersicherheit
- Bearbeitung von Beschwerden in Bezug auf europäische Cybersicherheitszertifikate der Vertrauenswürdigkeitsstufe „hoch“ oder in Bezug auf EU-Konformitätserklärungen
- Zusammenarbeit mit anderen nationalen Behörden für die Cybersicherheitszertifizierung und anderen öffentlichen Stellen
Die europäischen Zertifizierungsschemen werden durch die ENISA (Agentur der Europäischen Union für Cybersicherheit) im Auftrag der Europäischen Kommission erarbeitet. In den Schemen wird dabei unter anderem Folgendes festgelegt:
- die Kategorien der vom Schema erfassten IKT-Produkte, -Dienste und -Prozesse,
- die technischen Spezifikationen bzw. Cybersicherheitsanforderungen an die IKT-Produkte, -Dienste und -Prozesse,
- die Art der Bewertung, also ob eine Selbstbewertung möglich ist oder die Bewertung durch einen Dritten zu erfolgen hat sowie
- die Verwendung der Zertifizierungssiegel oder -kennzeichen.
In den Zertifizierungsschemen werden darüber hinaus Vertrauenswürdigkeitsstufen festgelegt. Die Vertrauenswürdigkeitsstufen geben Auskunft über die Strenge und die Gründlichkeit der Bewertung des IKT-Produkts, -Dienstes oder-Prozesses. Es gibt 3 Vertrauenswürdigkeitsstufen "niedrig", "mittel" und "hoch".
Das erste europäische Zertifizierungsschema, das EUCC, ist am 31. Jänner 2024 von der Europäischen Kommission erlassen worden und wird am 27. Februar 2025 in Geltung treten. Das EUCC (Common Criteria) basiert auf dem SOG-IS-Bewertungsrahmen (SOG-IS: Senior Officials Group Information Systems Security), der in 17 EU-Mitgliedstaaten eingesetzt wird (weiter Informationen zum EUCC finden Sie auf der Webseite Common Criteria).
2 weitere Zertifizierungsschemen, das European Certification Scheme for Cloud Services (EUCS) und das European Cybersecurity Certification Scheme for 5G (EU5G), befinden sich derzeit in Ausarbeitung.
Die Zertifizierung von IKT-Produkten, -Diensten und -Prozessen ist grundsätzlich freiwillig. Die Europäische Kommission kann allerdings gemäß Art. 56 Abs. 3 des Rechtsakts zur Cybersicherheit festlegen, dass bestimmte IKT-Produkte, - Dienste oder -Prozesse vom Hersteller bzw. Anbieter verpflichtend zu zertifizieren sind. Bislang hat die Europäische Kommission keine entsprechende Festlegung getroffen.
Ein Anbieter oder Hersteller kann ein IKT-Produkt, einen IKT-Dienst oder einen spezifischen IKT-Prozess nach einem europäischen Zertifizierungsschema von einer hierzu akkreditierten Konformitätsbewertungsstelle für die Vertrauenswürdigkeitsstufen "niedrig" und "mittel" zertifizieren lassen.
Die Zertifizierung eines IKT-Produkts, -Dienstes oder -Prozesses für die Vertrauenswürdigkeitsstufe "hoch" kann nur durch eine akkreditierte und von der nationalen Behörde für die Cybersicherheitszertifizierung autorisierte Konformitätsbewertungsstelle durchgeführt werden.
Nein. Das Cybersicherheitszertifizierungs-Gesetz (CSZG) ist am 6. Juli 2024 in Kraft getreten. Es ist damit zu rechnen, dass es in 6 bis 12 Monaten die ersten akkreditierten Konformitätsbewertungsstellen nach dem Rechtsakt zur Cybersicherheit in Österreich geben wird.
Eine Liste der akkreditierten Konformitätsbewertungsstellen werden Sie auf der Webseite der Akkreditierung Austria finden.
Der Bundeskanzler kann Konformitätsbewertungsstellen ermächtigen, europäische Cybersicherheitszertifikate der Vertrauenswürdigkeitsstufe "hoch" auszustellen. Sie müssen dazu einen entsprechenden Antrag an die nationale Behörde für die Cybersicherheitszertifizierung stellen. Wenn Sie die notwendigen technischen und organisatorischen Voraussetzungen erfüllen, werden Sie mit Bescheid des Bundeskanzlers ermächtigt, Cybersicherheitszertifikate der Vertrauenswürdigkeitsstufe "hoch" auszustellen.
Der Antrag zur Cybersicherheitszertifizierung Ihres IKT-Produkts, -Dienstes oder -Prozesses für die Vertrauenswürdigkeitsstufen "niedrig" und "mittel" sind an eine akkreditierte Konformitätsbewertungsstelle nach dem Rechtsakt zur Cybersicherheit zu richten.
Wenn sie Ihr IKT-Produkt, Ihren IKT-Dienst oder -Prozess für die Vertrauenswürdigkeitsstufe "hoch" zertifizieren lassen wollen, müssen Sie Ihren Antrag an eine akkreditierte und autorisierte Konformitätsbewertungsstelle nach dem Rechtsakt zur Cybersicherheit richten.
Die Konformitätsbewertungsstellen sind für das Verfahren und für den Ablauf der Cybersicherheitszertifizierung sowie für etwaige Änderungen der Zertifizierung verantwortlich.
Der genaue Ablauf eines Cybersicherheitszertifizierungsverfahrens kann den Webseiten der jeweiligen Konformitätsbewertungsstellen entnommen werden.
Ja. Gemäß Art. 63 des Rechtsakts zur Cybersicherheit hat ein Zertifizierungswerber das Recht, beim Aussteller eines europäischen Cybersicherheitszertifikats oder — wenn sich die Beschwerde gegen ein europäisches Cybersicherheitszertifikat der Vertrauenswürdigkeitsstufe "hoch" richtet — bei der nationalen Behörde für die Cybersicherheitszertifizierung eine Beschwerde einzulegen, wenn die Ausstellung des Zertifikates verweigert oder nicht im gehörigen Umfang erteilt wird.
Das ausgefüllte PDF-Formular, zusammen mit ggf. weiteren Beilagen, bitte als Anhang an cybersicherheitszertifizierung@bka.gv.at senden.
Sollten Sie über Hinweise verfügen, dass ein zertifiziertes IKT-Produkt, ein zertifizierter -Dienst oder -Prozess nicht den Anforderungen eines europäischen Cybersicherheitszertifikats entspricht, werden Sie ersucht, diese der nationalen Behörde für die Cybersicherheitszertifizierung mitzuteilen. Die nationale Behörde für die Cybersicherheitszertifizierung kann in der Folge ein amtswegiges Prüfverfahren gegen den Zertifikatinhaber einleiten. Da Sie in einem amtswegigen Verfahren keine Parteistellung haben, werden Sie über den Ausgang des Verfahrens nicht informiert.
Das ausgefüllte PDF-Formular, zusammen mit ggf. weiteren Beilagen, bitte als Anhang an cybersicherheitszertifizierung@bka.gv.at senden.
Ein Zertifizierungsschema kann vorsehen, dass ein Hersteller oder Anbieter in Form einer EU-Konformitätserklärung selbst bestätigen kann, dass sein IKT-Produkt, -Dienst oder -Prozess den technischen Spezifikationen eines Zertifizierungsschemas entspricht. Eine EU-Konformitätserklärung wird innerhalb der gesamten Europäische Union anerkannt, sie ist allerdings nur für die Vertrauenswürdigkeitsstufe "niedrig" möglich. Die Überwachung und Überprüfung der ausgestellten EU-Konformitätserklärung obliegt der nationalen Behörde für die Cybersicherheitszertifizierung.
Sollten Sie über Hinweise verfügen, dass ein IKT-Produkt, -Dienst oder -Prozess für das eine EU-Konformitätserklärung besteht nicht den Anforderungen eines europäischen Cybersicherheitszertifikats entspricht, werden Sie ersucht, diese der nationalen Behörde für die Cybersicherheitszertifizierung mitzuteilen. Die nationale Behörde für die Cybersicherheitszertifizierung kann in der Folge ein amtswegiges Prüfverfahren gegen den Aussteller der EU-Konformitätserklärung einleiten. Da Sie in einem amtswegigen Verfahren keine Parteistellung haben, werden Sie über den Ausgang des Verfahrens nicht informiert.
Das ausgefüllte PDF-Formular, zusammen mit ggf. weiteren Beilagen, bitte als Anhang an cybersicherheitszertifizierung@bka.gv.at senden.