Artikel 54 VO (EU) 2019/881

(1) Ein europäisches Schema für die Cybersicherheitszertifizierung muss mindestens folgende Elemente enthalten:

a)

den Gegenstand und Umfang des Zertifizierungsschemas, einschließlich der Art oder Kategorie der erfassten IKT-Produkte, -Dienste und -Prozesse;

b)

eine eindeutige Beschreibung des Zwecks des Schemas und der Art und Weise, wie die ausgewählten Normen, Bewertungsmethoden und Vertrauenswürdigkeitsstufen mit den Erfordernissen der vorgesehenen Nutzer des Schemas in Einklang gebracht wurden;

c)

eine Bezugnahme auf die für die Bewertung maßgeblichen internationalen, europäischen oder nationalen Normen oder, wenn keine solchen Normen verfügbar oder geeignet sind, auf technische Spezifikationen, die die Auflagen des Anhangs II der Verordnung (EU) Nr. 1025/2012 erfüllen, oder — wenn solche Spezifikationen nicht verfügbar sind — auf die im europäischen Schema für die Cybersicherheitszertifizierung festgelegten technischen Spezifikationen oder Cybersicherheitsanforderungen;

d)

gegebenenfalls eine oder mehrere Vertrauenswürdigkeitsstufen;

e)

die Angabe, ob eine Selbstbewertung der Konformität im Rahmen des Schemas zulässig ist;

f)

falls anwendbar, spezielle oder zusätzliche Anforderungen an die Konformitätsbewertungsstellen, um deren technische Kompetenz für die Evaluierung der Cybersicherheitsanforderungen zu gewährleisten;

g)

besondere Bewertungskriterien und -methoden — wie auch Bewertungsarten — für den Nachweis, dass die in Artikel 51 festgelegten Sicherheitsziele eingehalten werden;

h)

falls anwendbar, für die Zertifizierung erforderliche Informationen, die ein Antragsteller der Konformitätsbewertungsstelle vorzulegen oder auf andere Weise zur Verfügung zu stellen hat;

i)

Bedingungen für die Verwendung von Siegeln oder Kennzeichen, sofern das Schema solche vorsieht;

j)

Vorschriften für die Überwachung der Einhaltung der mit dem europäischen Cybersicherheitszertifikat oder der EU-Konformitätserklärung verbundenen Anforderungen an IKT-Produkte, -Dienste und -Prozesse, einschließlich der Mechanismen für den Nachweis der beständigen Einhaltung der festgelegten Cybersicherheitsanforderungen;

k)

falls anwendbar, Bedingungen für die Ausstellung, Aufrechterhaltung, Fortführung und Verlängerung eines europäischen Cybersicherheitszertifikats sowie Bedingungen für die Ausweitung oder Verringerung des Zertifizierungsumfangs;

l)

Vorschriften, wie mit IKT-Produkten, -Diensten und -Prozessen zu verfahren ist, die zertifiziert wurden oder für die eine EU-Konformitätserklärung ausgestellt wurde, die aber den Anforderungen des Schemas nicht genügen;

m)

Vorschriften für die Meldung und Behandlung bislang nicht erkannter Cybersicherheitslücken von IKT-Produkten und -Diensten und -Prozessen;

n)

falls anwendbar, Vorschriften für die Konformitätsbewertungsstellen über die Aufbewahrung von Aufzeichnungen;

o)

Angabe nationaler oder internationaler Schemata für die Cybersicherheitszertifizierung für dieselbe Art oder Kategorie von IKT-Produkten, -Diensten und -Prozessen, Sicherheitsanforderungen, Evaluierungskriterien und -methoden und Vertrauenswürdigkeitsstufen;

p)

Inhalt und Format des europäischen Cybersicherheitszertifikats oder der EU-Konformitätserklärungen, die auszustellen sind;

q)

die Dauer der Verfügbarkeit der EU-Konformitätserklärung, der technischen Dokumentation und aller weiteren bereitzuhaltenden Informationen des Herstellers oder Anbieters von IKT-Produkten, -Diensten und -Prozessen;

r)

die maximale Gültigkeitsdauer der nach diesem Schema ausgestellten europäischen Cybersicherheitszertifikate;

s)

eine Offenlegungspolitik für nach diesem Schema ausgestellte, geänderte oder entzogene europäische Cybersicherheitszertifikate;

t)

Bedingungen für die auf Gegenseitigkeit beruhende Anerkennung von Zertifizierungsschemata von Drittländern;

u)

falls anwendbar, Regeln für etwaige im Schema vorgesehene Verfahren zur gegenseitigen Begutachtung für die Behörden oder Stellen, die im Einklang mit Artikel 56 Absatz 6 europäische Cybersicherheitszertifikate für die Vertrauenswürdigkeitsstufe „hoch” ausstellen. Diese Verfahren gelten unbeschadet der gegenseitigen Begutachtung gemäß Artikel 59;

v)

Format und Verfahren, die von den Herstellern oder Anbietern von IKT-Produkten, -Diensten und -Prozessen bei der Bereitstellung und Aktualisierung der ergänzenden Informationen zur Cybersicherheit gemäß Artikel 55 zu befolgen sind.

(2) Die für das europäische Schema für die Cybersicherheitszertifizierung festgelegten Anforderungen stehen in Einklang mit allen geltenden rechtlichen Anforderungen, vor allem jenen, die sich aus dem harmonisierten Unionsrecht ergeben.

(3) Soweit dies in einem bestimmten Rechtsakt der Union so festgelegt ist, kann eine Zertifizierung oder eine EU-Konformitätserklärung, die auf der Grundlage eines europäischen Schemas für die Cybersicherheitszertifizierung ausgestellt wurde, dafür verwendet werden kann, die Vermutung zu begründen, dass eine Übereinstimmung mit den Anforderungen jenes Rechtsakts gegeben ist.

(4) Fehlt harmonisiertes Unionsrecht, so kann das Recht der Mitgliedstaaten auch festlegen, dass ein europäisches Schema für die Cybersicherheitszertifizierung dafür verwendet werden kann, die Vermutung zu begründen, dass eine Übereinstimmung mit den gesetzlichen Anforderungen gegeben ist.