European Cybersecurity Certification Scheme (EUCC)

EUCC gewinnt für Hersteller, Behörden und regulierte Unternehmen stark an Bedeutung. Das europäische Zertifizierungsschema schafft einen gemeinsamen Rahmen, um die Cybersicherheit von Hardware, Software und Komponenten nach einheitlichen Kriterien bewerten zu lassen. Gerade für Beschaffung, Compliance und Produktvertrauen ist EUCC damit ein relevantes Thema für die strategische Weiterbildung in Security, Architektur und Governance.

Begriffserklärung: Was ist EUCC?

EUCC steht für European Common Criteria-based cybersecurity certification scheme. Es handelt sich um ein europäisches Zertifizierungsschema für ICT-Produkte, das auf dem EU Cybersecurity Act basiert und durch die Durchführungsverordnung (EU) 2024/482 konkretisiert wurde. Das Schema ist freiwillig angelegt und ermöglicht eine EU-weit verständliche Bewertung der Cybersicherheit von Produkten wie Chips, Smartcards, Betriebssystemen, Appliances oder spezialisierter Sicherheitssoftware.

EUCC überführt die aus Common Criteria bekannte Evaluierungslogik in einen formalen EU-Rahmen und macht Zertifizierung für Hersteller, Beschaffer und Aufsichtsstrukturen europaweit konsistenter.

Praktisch wichtig ist auch der Zeitbezug: Die Verordnung wurde am 7. Februar 2024 im Amtsblatt veröffentlicht und gilt seit zwölf Monaten nach Inkrafttreten, also seit dem 27. Februar 2025. ENISA beschreibt EUCC zudem als Weiterentwicklung des bereits in mehreren Mitgliedstaaten etablierten SOG-IS/Common-Criteria-Umfelds.

Funktionsweise & technische Hintergründe

Technisch basiert EUCC auf den Common Criteria nach ISO/IEC 15408 sowie der Common Evaluation Methodology nach ISO/IEC 18045. Hersteller definieren Sicherheitsziele, Sicherheitsfunktionen und den Prüfgegenstand, den sogenannten TOE (Target of Evaluation). Danach prüfen autorisierte Evaluierungsstellen die Wirksamkeit der Sicherheitsmaßnahmen, die Entwicklungsumgebung, die Dokumentation und die Widerstandsfähigkeit gegen Angriffe.

EUCC kennt zwei Assurance Levels: substantial und high. Vereinfacht gesagt steht „substantial“ für ein belastbares Sicherheitsniveau gegen realistische Angreifer, während „high“ deutlich mehr Tiefe, Aufwand und Widerstandsfähigkeit gegen qualifizierte Angriffe verlangt.

Wesentlich ist nicht nur das Produkt selbst, sondern auch das Entwicklungs- und Lieferumfeld. EUCC ergänzt die Produktprüfung deshalb durch Anforderungen an Entwicklerstandorte, Schutz sensibler Artefakte und nachweisbare Sicherheitsprozesse.

Ein starkes Detail sind die State-of-the-Art-Dokumente. Sie konkretisieren etwa Mindestanforderungen an Site Security, Entwicklungsprozesse und Bewertungsmethoden. Die Änderung durch die Verordnung (EU) 2024/3144 präzisierte unter anderem anwendbare Standards, Übergangsregeln und zusätzliche technische Vorgaben.

TOE -> Security Target -> Evaluation durch ITSEF -> Zertifizierungsentscheidung -> EUCC-Zertifikat

Anwendungsbeispiele in der Praxis

In der Praxis ist EUCC besonders relevant für Hersteller von Smartcards, sicheren Elementen, Netzwerkkomponenten, Firewalls, Routern, spezialisierten Security-Lösungen und Plattformsoftware. Auch in Behörden- und KRITIS-nahen Umgebungen spielt das Schema eine Rolle, weil Beschaffungsvorgaben stärker auf nachweisbare Produktsicherheit ausgerichtet werden.

Ein typisches Szenario ist die Zertifizierung einer Security-Appliance für den Einsatz in besonders sensiblen Netzen. Ein anderes ist die Bewertung eines sicheren Chips oder eines mobilen Betriebssystems, wenn Manipulationsresistenz, kryptografische Funktionen und kontrollierte Entwicklungsprozesse nachgewiesen werden müssen. Im Juli 2025 wurde zudem das erste EUCC-Zertifikat auf Level „substantial“ ausgestellt – ein Signal, dass das Schema operativ angekommen ist.

Nutzen und Herausforderungen

Vorteile von EUCC sind vor allem:

europaweit besser vergleichbare Sicherheitsnachweise
höhere Transparenz für Beschaffung und Governance
stärkere Vertrauensbasis für regulierte Märkte
strukturierte Bewertung von Produkt- und Entwicklungsrisiken

Demgegenüber stehen Herausforderungen:

hoher Dokumentations- und Nachweisaufwand
längere Zertifizierungszyklen bei komplexen Produkten
Kosten für Evaluation, Site Audits und Pflege
Übergangsfragen bei Standards, Schutzprofilen und Produktupdates

Alternative Lösungen

Ansatz	Stärken	Grenzen
EUCC	EU-weit harmonisierter Rahmen, starke technische Tiefe	Aufwendig, erklärungsbedürftig, nicht für jedes Produkt wirtschaftlich
Nationale CC-Zertifizierung	Bewährte Verfahren, etablierte Prüfpraxis	Weniger einheitlicher EU-Rahmen
BSI BSZ / Light-Weight-Ansätze	Schneller und pragmatischer	Geringere internationale Vergleichbarkeit und Tiefe

Fazit

EUCC ist mehr als ein weiteres Compliance-Kürzel. Das Schema bringt Common-Criteria-basierte Produktsicherheit in einen verbindlicheren europäischen Ordnungsrahmen und ist damit für Hersteller, Beschaffer und Sicherheitsverantwortliche strategisch relevant. Wer EUCC richtig einordnen will, sollte sowohl die technische Evaluierungslogik als auch die organisatorischen Folgen für Entwicklung, Nachweisführung und Produktlebenszyklus verstehen.

FAQs

Was zertifiziert EUCC konkret?

EUCC zertifiziert die Cybersicherheit von ICT-Produkten wie Hardware, Software und Komponenten – nicht pauschal ganze Unternehmen.

Ist EUCC verpflichtend?

Der EUCC-Rahmen ist grundsätzlich freiwillig, kann aber in Ausschreibungen, regulatorischen Kontexten oder Marktanforderungen faktisch stark an Bedeutung gewinnen.