EU-SEC

The European Security Certification Framework

01. Jan. 2017 bis 31. Dez. 2019

Im Projekt »European Security Certification Framework« (EU-SEC) soll ein europäisches Framework für Zertifizierungsschemata und Evaluierungskonzepte zur Absicherung von Cloud-Infrastrukturen entwickelt werden. Innerhalb dieses Rahmens sollen bereits existierende nationale und internationale Zertifizierungen koexistieren können. Damit wird EU-SEC den wirtschaftlichen Nutzen sowie die Effektivität und Effizienz bestehender Cloud-Sicherheitszertifizierungssysteme verbessern.

Das Projekt EU-SEC soll zur Vertrauenswürdigkeit, Sicherheit und Compliance von Cloud-Infrastrukturen beitragen. Um dieses Ziel zu erreichen, müssen folgende Anforderungen erfüllt werden:

  • Vorhandene nationale und sektorenspezifische Zertifizierungsschemata müssen berücksichtig und ausgewogen repräsentiert werden.
  • Gleichzeitig müssen die Kosten für Cloud Service Provider (CPS) für die Zertifizierung gesenkt werden.
  • Zertifizierungs- und Evaluierungsaktivitäten, die automatisiert von Maschinen bewältigt werden können (z. B. Daten sammeln), sollen nicht manuell von Menschen ausgeführt werden müssen.
  • Genaue und zuverlässige Informationen sollen unter Verwendung automatisierter Mittel den berechtigten Personen zur Verfügung gestellt werden.

Schwerpunkte bei der Entwicklung des Frameworks sind:

  • Automatisierung,
  • Governance,
  • gegenseitige Anerkennung von Zertifizierungen,
  • Wiederverwendbarkeit von bereits zertifizierten Komponenten,
  • Kontinuierliches Auditing und Monitoring,
  • Reduzierung der Gesamtdauer und Kosten des Cloud-Zertifizierungsprozesses.

Das EU-SEC Framework wird eine validierte Referenzarchitektur mit entsprechenden Werkzeugen zur Verfügung stellen sowie eine Governance-Struktur ausarbeiten, um neue Anforderungen in das Framework zu integrieren. Damit können Stakeholder im IKT-Sicherheits-Ökosystem die Effizienz und Effektivität ihres derzeitigen Ansatzes für Risikomanagement, -sicherung und -einhaltung der IT-Sicherheit verbessern.

EU-SEC unterstützt die Strategie der Europäischen Union zur Umsetzung der Digitalen Binnenmarktstrategie, der europäischen Cloud-Initiative, der kommenden NIS-Richtlinie sowie der Datenschutz-Grundverordnung (DSGVO).

Zentrale Elemente von EU-SEC

EU-SEC setzt sich mit Problemen diverser Sicherheitszertifizierungssysteme auseinander, um deren Wirksamkeit und Effizienz zu verbessern. Dazu zählen der Mangel an Automatisierung im Auditprozess sowie das Fehlen harmonisierter Regeln für die Überbrückung von Unterschieden zwischen verschiedenen Zertifizierungssystemen.

Das Projekt nutzt ausgereifte Werkzeuge und -produkte (TRL 6 – TRL 9), um die Automatisierung zu unterstützen und weiter zu entwickeln.

Die Governance-Struktur des EU-SEC Frameworks ermöglicht die agile Umsetzung neuer Anforderungen und gewährleistet die Transparenz des Angebots durch kontinuierliche Überwachung.

In zwei repräsentativen Pilotprojekten wird das Framework validiert:

  1. Mehrparteien-Anerkennungssysteme für nationale/ sektorale/ internationale Sicherheit
  2. Kontinuierliche auditbasierte Zertifizierung für den Bankensektor

Im Rahmen von EU-SEC werden schrittweise Geschäftspläne entwickeln, um den wirtschaftlichen Wert der Entwicklungen zu erfassen.