Artikel 56 VO (EU) 2019/881

(1) Für IKT-Produkte, -Dienste, und -Prozesse die auf der Grundlage eines nach Artikel 49 angenommenen europäischen Schemas für die Cybersicherheitszertifizierung zertifiziert wurden, gilt die Vermutung der Einhaltung der Anforderungen dieses Schemas.

(2) Sofern im Unionsrecht oder im Recht der Mitgliedstaaten nicht anders bestimmt, ist die Cybersicherheitszertifizierung freiwillig.

(3) Die Kommission bewertet regelmäßig die Effizienz und Nutzung der angenommenen europäischen Cybersicherheitszertifizierungsschemata sowie die Frage, ob ein bestimmtes europäisches Cybersicherheitszertifizierungsschema durch das einschlägige Unionsrecht verbindlich vorgeschrieben werden soll, um ein angemessenes Maß an Cybersicherheit von IKT-Produkten, -Diensten und -Prozessen in der Union sicherzustellen und das Funktionieren des Binnenmarktes zu verbessern. Die erste Bewertung findet bis zum 31. Dezember 2023 statt und danach nachfolgende Bewertungen finden mindestens alle zwei Jahre statt.

Die Kommission stellt auf der Grundlage der Ergebnisse der Bewertung fest, welche IKT-Produkte, -Dienste und -Prozesse, die unter ein bestehendes Zertifizierungsschema fallen, unter ein verpflichtendes Zertifizierungsschema fallen müssen.

Die Kommission konzentriert sich dabei vorrangig auf die Sektoren, die in Anhang II der Richtlinie (EU) 2016/1148 aufgeführt sind und die spätestens zwei Jahre nach der Annahme des ersten europäischen Cybersicherheitszertifizierungsschemas bewertet werden.

Bei der Vorbereitung der Bewertung verfährt die Kommission wie folgt:

a)

Sie berücksichtigt die Auswirkungen der Maßnahmen auf die Hersteller oder Anbieter solcher IKT-Produkte, -Dienste und -Prozesse und auf die Nutzer hinsichtlich der Kosten dieser Maßnahmen und des gesellschaftlichen oder wirtschaftlichen Nutzens, der sich aus dem erwarteten höheren Maß an Sicherheit für die betreffenden IKT-Produkte, -Dienste und -Prozesse ergibt;

b)

sie berücksichtigt das Bestehen und die Umsetzung von Rechtsvorschriften der Mitgliedstaaten und von Drittländern;

c)

sie führt eine offene, transparente und inklusive Konsultation mit allen relevanten Interessenträgern und mit den Mitgliedstaaten durch;

d)

sie berücksichtigt die Umsetzungsfristen sowie die Übergangsmaßnahmen oder -zeiträume und insbesondere in Hinblick auf die möglichen Auswirkungen der Maßnahme auf die Anbieter oder Hersteller von IKT-Produkten, -Diensten und -Prozessen, einschließlich KMU;

e)

sie schlägt die schnellste und effizienteste Art und Weise für die Durchführung des Übergangs von freiwilligen zu obligatorischen Zertifizierungsschemata vor.

(4) Die in Artikel 60 genannten Konformitätsbewertungsstellen stellen ein europäisches Cybersicherheitszertifikat nach diesem Artikel mit der Vertrauenswürdigkeitsstufe „niedrig” oder „mittel” auf der Grundlage der Kriterien des nach Artikel 49 durch die Kommission angenommenen europäischen Schemas für die Cybersicherheitszertifizierung aus.

(5) Abweichend von Absatz 4 kann in hinreichend begründeten Fällen ein europäisches Schema für die Cybersicherheitszertifizierung vorsehen, dass ein im Rahmen dieses Schemas erteiltes europäisches Cybersicherheitszertifikat nur von einer öffentlichen Stelle auszustellen ist. Bei einer solchen Stelle muss es sich um eine der folgenden Stellen handeln:

a)

eine nationale Behörde für die Cybersicherheitszertifizierung nach Artikel 58 Absatz 1;

b)

eine als Konformitätsbewertungsstelle akkreditierte öffentliche Stelle nach Artikel 60 Absatz 1.

(6) Ist im Rahmen eines europäischen Schemas für die Cybersicherheitszertifizierung nach Artikel 49 die Vertrauenswürdigkeitsstufe „hoch” erforderlich, so kann das europäische Cybersicherheitszertifikat nach diesem Schema nur von einer nationalen Behörde für die Cybersicherheitszertifizierung oder in den folgenden Fällen von einer Konformitätsbewertungsstelle ausgestellt werden:

a)

wenn die nationale Behörde für die Cybersicherheitszertifizierung zuvor für jedes einzelne, von einer Konformitätsbewertungsstelle ausgestellte europäische Cybersicherheitszertifikat ihre Zustimmung erteilt hat oder

b)

wenn die nationale Behörde für die Cybersicherheitszertifizierung die Aufgabe der Ausstellung solcher europäischen Cybersicherheitszertifikate zuvor allgemein einer Konformitätsbewertungsstelle übertragen hat.

(7) Die natürliche oder juristische Person, die ihre IKT-Produkte, -Dienste oder -Prozesse zur Zertifizierung einreicht, hat der in Artikel 58 genannten nationalen Behörde für die Cybersicherheitszertifizierung — sofern diese Behörde die Stelle ist, die das europäische Cybersicherheitszertifikat erteilt — oder der in Artikel 60 genannten Konformitätsbewertungsstelle alle für das Zertifizierungsverfahren notwendigen Informationen vorzulegen.

(8) Der Inhaber eines europäischen Cybersicherheitszertifikats informiert die in Absatz 7 genannte Behörde oder Stelle über etwaige später festgestellte Sicherheitslücken oder Unregelmäßigkeiten hinsichtlich der Sicherheit des zertifizierten IKT-Produkts, -Dienstes oder -Prozesses, die sich auf die mit der Zertifizierung verbundenen Anforderungen auswirken könnten. Die Behörde oder Stelle leitet diese Informationen unverzüglich an die betreffende nationale Behörde für die Cybersicherheitszertifizierung weiter.

(9) Ein europäisches Cybersicherheitszertifikat wird für die im jeweiligen europäischen Zertifizierungsschema für Cybersicherheit festgelegte Dauer erteilt und kann verlängert werden, sofern die einschlägigen Voraussetzungen weiterhin erfüllt sind.

(10) Ein nach diesem Artikel ausgestelltes europäisches Cybersicherheitszertifikat wird in allen Mitgliedstaaten anerkannt.