Glossar · EU-Cybersicherheitszertifizierung EUCC (Europäisches Cybersicherheitszertifizierungsschema auf Basis der Common Criteria)
Das erste EU-weite Cybersicherheitszertifizierungsschema, verabschiedet unter dem Cybersecurity Act. Eingeführt durch Durchführungsverordnung (EU) 2024/482 der Kommission im Februar 2024. Gilt für IKT-Produkte (Hardware, Software, Komponenten) und basiert auf dem internationalen Common-Criteria-Standard mit EU-spezifischen Vertrauenswürdigkeitsstufen.
## Was EUCC tatsächlich ist
EUCC steht für das **Europäische Cybersicherheitszertifizierungsschema auf Basis der Common Criteria**. Es ist das erste Cybersicherheitszertifizierungsschema, das auf EU-Ebene im Rahmen des EU-Cybersecurity-Acts (Verordnung (EU) 2019/881) verabschiedet wurde.
EUCC wurde im **Februar 2024** durch die Durchführungsverordnung (EU) 2024/482 der Kommission angenommen, nach mehrjähriger Vorbereitung unter Federführung der [ENISA](/de/glossary/enisa/). Es deckt IKT-Produkte ab – Hardware, Software und Komponenten – und baut auf dem internationalen Common-Criteria-Standard (ISO/IEC 15408) auf, der seit den 1990er Jahren weltweit als Bezugsgröße für die Cybersicherheitszertifizierung von Produkten gilt.
Wichtig: EUCC ist **nicht** dasselbe wie [EUCS](/de/glossary/eucs/). EUCC gilt für Produkte. EUCS ist das vorgeschlagene (und umstrittene) Schema für Cloud-Dienste. Es handelt sich um Schwesternregelungen, die unterschiedliche Kategorien adressieren.
## Warum EUCC wichtig ist
Vor EUCC war die Cybersicherheitszertifizierung von IKT-Produkten in Europa über nationale Schemata fragmentiert. Frankreich hatte CSPN (ausgestellt von der ANSSI). Deutschland hatte die Common-Criteria-Zertifizierung des BSI. Die Niederlande, Italien, Spanien und die nordischen Länder hatten eigene Varianten. Ein in einem Land zertifiziertes Produkt wurde in einem anderen Land nicht automatisch anerkannt, selbst wenn beide Zertifizierungen auf Common Criteria beruhten.
EUCC schließt diese Lücke durch eine einzige EU-weite Zertifizierung mit gegenseitiger Anerkennung in allen Mitgliedstaaten. Ein Gerät, das in Deutschland auf der EUCC-Vertrauenswürdigkeitsstufe „hoch" zertifiziert ist, hat nun denselben rechtlichen Stellenwert in Frankreich, Italien und in der gesamten EU.
## Was EUCC zertifiziert
EUCC zertifiziert *Evaluierungsgegenstände* – typischerweise:
- **Hardware-Sicherheitsmodule (HSMs)** – zur Verwaltung kryptografischer Schlüssel
- **Smartcards und sichere Elemente** – Zahlungskarten, eID-Chips, SIM-Karten
- **Eingebettete Systeme** – für IoT, industrielle Steuerung, Automobil
- **Betriebssystemkerne und sicherheitskritische Komponenten**
- **Netzwerkausrüstung** – Firewalls, Verschlüsselungsgeräte
- **PKI- / Zertifizierungsstellen-Produkte**
Zertifiziert wird jeweils das konkrete Produkt gegen eine definierte Menge an funktionalen Sicherheitsanforderungen und eine Vertrauenswürdigkeitsstufe.
## EUCC-Vertrauenswürdigkeitsstufen
EUCC definiert zwei Vertrauenswürdigkeitsstufen oberhalb der Basisstufe „grundlegend" des Cybersecurity Act:
### Wesentlich
Entspricht den Common Criteria EAL 1 bis EAL 4. Umfasst Schwachstellenbewertungen auf Basis öffentlich bekannter Bedrohungen, grundlegende Penetrationstests und Standarddokumentationsanforderungen. Geeignet für allgemeine Sicherheitsprodukte.
### Hoch
Entspricht den Common Criteria EAL 5 bis EAL 7. Umfasst fortgeschrittene Schwachstellenbewertungen, anspruchsvolle Penetrationstests gegen Bedrohungen auf staatlichem Niveau, formale Sicherheitsmodellierung für kritische Funktionen sowie umfassende Prüfung der Designdokumentation. Erforderlich für Produkte, die nationale Sicherheit, kritische Infrastruktur oder bedeutende Finanztransaktionen verarbeiten.
Beide Vertrauenswürdigkeitsstufen erfordern eine Laborevaluierung durch eine akkreditierte Konformitätsbewertungsstelle. Zertifizierungen auf der Stufe „hoch" benötigen zusätzlich die Aufsicht der nationalen Zertifizierungsbehörde (NCA) – das heißt, die nationale Cybersicherheitsbehörde (ANSSI in Frankreich, BSI in Deutschland) validiert die Evaluierung direkt.
## Wie sich EUCC zu bestehenden Schemata verhält
EUCC integriert und ersetzt ausdrücklich bestehende nationale Schemata auf Basis der Common Criteria:
| Schema vor EUCC | Land | Status unter EUCC |
|------------------|---------|---------------------|
| CSPN | Frankreich (ANSSI) | besteht zunächst weiter; Überschneidung mit EUCC „wesentlich" |
| BSI Common Criteria | Deutschland | EUCC-Zertifizierungen vollständig anerkannt |
| OCSI | Italien | EUCC vollständig integriert |
| CCN | Spanien | EUCC-Zertifizierungen anerkannt |
| NSCIB | Niederlande | EUCC vollständig integriert |
Nationale Schemata bestehen während einer Übergangszeit weiter. Langfristig werden sie entweder in EUCC aufgehen oder nur für sehr enge Anwendungsfälle (z. B. Produkte mit nationaler Geheimhaltungsstufe) erhalten bleiben.
## Verpflichtend oder freiwillig
Im Rahmen des Cybersecurity Act sind EU-Cybersicherheitszertifizierungen standardmäßig *freiwillig*. Anbieter können ihre Produkte zertifizieren lassen, um sich einen Marktvorteil zu verschaffen, sind dazu aber nicht verpflichtet.
Die Mitgliedstaaten können EUCC-Zertifizierungen jedoch über das nationale Recht für bestimmte Produktkategorien *verpflichtend* machen. Mehrere tun das bereits:
- **Frankreich**: Die ANSSI macht EUCC faktisch verpflichtend für Produkte, die an den öffentlichen Sektor und an Betreiber wesentlicher Dienste geliefert werden
- **Deutschland**: Das BSI integriert die EUCC-Zertifizierung in die Regulierung kritischer Infrastrukturen
- **Estland, Finnland, Niederlande**: Anpassung nationaler Beschaffungsrahmen zugunsten einer EUCC-Präferenz
Der [Cyber Resilience Act](/de/glossary/cyber-resilience-act/), der EU-weit Cybersicherheitsanforderungen auf Produktebene vorgibt, verweist auf EUCC als anerkannten Konformitätsbewertungsweg. Produkte mit EUCC-Zertifizierung genießen unter dem CRA die Konformitätsvermutung. Das ist der entscheidende Treiber der Verbreitung.
## EUCC und Anbieter mit US-Hauptsitz
Anders als [SecNumCloud](/de/glossary/secnumcloud/) und die umstrittenen Souveränitätskriterien der EUCS stellt EUCC keine Anforderungen an Unternehmensstruktur oder Rechtszuständigkeit des *Anbieters*. Ein Hardwarehersteller mit US-Hauptsitz kann eine EUCC-Zertifizierung für ein Produkt erhalten, das gemäß dem Standard entworfen und gefertigt wurde.
Was EUCC allerdings verlangt: Die *Evaluierung* muss durch ein akkreditiertes Labor mit Sitz in der EU unter EU-Aufsicht erfolgen. Das Produkt kann überall hergestellt werden; die Evaluierung muss innerhalb des regulatorischen EU-Perimeters stattfinden.
Das entspricht der Common-Criteria-Tradition – global anerkannt, lokal evaluiert.
## Was EUCC in der Praxis bedeutet
### Für IKT-Produkthersteller
Wer Hardware-Sicherheitsmodule, Smartcards, sichere eingebettete Systeme oder Netzwerksicherheitsgeräte in EU-Märkte verkauft, sieht in der EUCC-Zertifizierung zunehmend eine Grunderwartung statt eines Unterscheidungsmerkmals. Käufer aus dem öffentlichen Sektor und regulierten Branchen werden für sensible Einsatzfelder immer seltener nicht-EUCC-zertifizierte Produkte akzeptieren.
### Für EU-Käufer
Eine EUCC-Zertifizierung ist ein belastbarer Nachweis für die Produktsicherheit. Ein Produkt mit der EUCC-Zertifizierung „hoch" wurde von einem akkreditierten EU-Labor unter Aufsicht der nationalen Cybersicherheitsbehörde evaluiert. Das unterscheidet sich materiell von selbsterklärten Sicherheitsversprechen.
### Für US- und globale Lieferanten
EUCC-Beteiligung erfordert Investitionen – typischerweise 200.000 bis 500.000 Euro für eine Zertifizierung der Stufe „wesentlich" eines moderat komplexen Produkts; deutlich mehr für die Stufe „hoch". Diese Hürde ist gewollt. Anbieter, die in die EUCC-Zertifizierung investieren, signalisieren ernsthaftes Engagement für den EU-Markt.
### Für Cybersicherheitsforschende
Die veröffentlichten EUCC-Zertifizierungsberichte werden zu hochwertiger öffentlicher Dokumentation der Sicherheitseigenschaften von Produkten. Die Berichte sind über die Zertifizierungsdatenbank der ENISA durchsuchbar.
## Was 2026–2027 bringt
- **mehr Produkte mit EUCC-Zertifizierung „hoch"**, je weiter das Schema reift
- **Finalisierung der EUCS** – das Schwesternschema für Cloud-Dienste, weiterhin politisch umstritten an den Souveränitätskriterien
- **EU-Zertifizierungsschema für 5G** nach dem EUCC-Muster, voraussichtlich 2027
- **EU-KI-Zertifizierung** in Diskussion als mögliches drittes EU-Schema
- **Verhandlungen zur gegenseitigen Anerkennung** mit Nicht-EU-Zertifizierungsregimen (insbesondere US-FIPS und neue britische Schemata)
## Praktische Konsequenzen
- **Für europäische Unternehmen bei der Auswahl von IKT-Produkten**: Eine EUCC-Zertifizierung ist aussagekräftig und für die Beschaffung zunehmend relevant
- **Für europäische IKT-Hersteller**: Zertifizierungsinvestitionen werden notwendig, um sich im EU-öffentlichen Sektor ernsthaft zu positionieren
- **Für US- und globale Hersteller**: Die EUCC-Teilnahme ist der Weg zum Zugang zum sicherheitskritischen EU-öffentlichen Sektor
- **Für EU-Regulierungsbehörden**: EUCC ist das Fundament; parallele Schemata für Cloud (EUCS), 5G, KI und andere Technologiebereiche sind zu erwarten
EUCC setzt den Präzedenzfall für grenzüberschreitende Cybersicherheitszertifizierung auf EU-Ebene, ohne Souveränitätsfragen vorzugreifen. EUCS – für die Cloud – ist dieselbe Frage, allerdings mit deutlich politisch aufgeladeneren Antworten.
War das hilfreich?
Danke für Ihr Feedback!