Am 22.05.2018 hat der Ausschuss für den Binnenmarkt und Verbraucherschutz (IMCO) des Europaparlaments seine Stellungnahme zu dem „Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates über die „EU-Cybersicherheitsagentur“ (ENISA) und zur Aufhebung der Verordnung (EU) Nr. 526/2013 sowie über die Zertifizierung der Cybersicherheit von Informations- und Kommunikationstechnik („Rechtsakt zur Cybersicherheit“)“ – bekannt auch als „Cybersecurity-Verordnung“ – veröffentlicht. Der neue europäische Rechtsakt zur Cybersicherheit basiert auf zwei Grundpfeilern: Einem ständigen und stärkeren Mandat der ENISA, sowie der Einführung eines EU-Rahmens zur Cybersicherheitszertifizierung, um sicherzustellen, dass Produkte der Informations- und Kommunikationstechnologie sowie entsprechende Dienste die dafür relevanten Cybersicherheitskriterien auf einheitliche Weise erfüllen. Einer der Hauptbestandteile des Entwurfes der EU Cybersecurity-Verordnung ist die so genannte „Konformitätsbewertung“, innerhalb derer festzustellen ist, ob IKT-Produkte oder -Dienste die an die Cybersicherheitsmerkmale anzulegenden Anforderungen erfüllen. Da eine Zertifizierung von IKT-Produkten und -Diensten nicht zwingend aussagt, dass diese tatsächlich und in jedem Falle sämtliche an die Cybersicherheit anzulegenden Kriterien erfüllen, fordert das IMCO-Committee explizit und weitergehend als der Verordnungsentwurf, dass Verbraucher über die Restrisiken der Zertifizierung aufzuklären sind, indem unter anderem darauf hingewiesen wird, dass die entsprechenden Produkte und Dienste nur auf die Übereinstimmung mit beispielsweise in technischen Normen und Standards festgelegten Anforderungen an die Cybersicherheit hin überprüft wurden. Transparenz, Beteiligung und angemessene Verfahrensvorgaben sind von hoher Bedeutung für die Einrichtung und das Funktionieren eines vertrauenswürdigen und effektiven europäischen Cyber-Sicherheitsrahmens. Eng verbunden mit der Definition von Mindestsicherheitsstandards für IT-Produkte ist das Ziel, die Prinzipien von „Security by Design“ sowie von „Privacy by Design“ konsequent umzusetzen und umfassend in Produkte und Dienste zu integrieren. Hierzu soll das europäische Zertifizierungssystem für Cybersicherheit laut der Auffassung des IMCO-Ausschusses so ausgestaltet werden, dass alle hierdurch betroffenen Akteure die IT-Sicherheitsanforderungen in allen Phasen des Produkt- oder Dienstlebenszyklus umsetzen. Eine umfassende Auseinandersetzung mit europaweiten Fragen der Cybersicherheit setzt darüber hinaus die Bestimmung von Anforderungen im Umgang mit Backdoors in IKT-Produkten und -Diensten voraus. Der IMCO-Ausschuss hat im Vergleich zum ursprünglichen Kommissionsentwurf zahlreiche Änderungsvorschläge der EU Cybersecurity-Verordnung hervorgebracht, worunter sich auch verschiedene interessante und neuartige Ansätze finden. Auf Bitten von TeleTrusT hat der Verfasser die IMCO-Stellungnahme einer umfassenden rechtlichen Betrachtung unterzogen.