Durchführungsverordnung (EU) 2024/482 der Kommission vom 31. Januar 2024 mit Durchführungsbestimmungen zur Verordnung (EU) 2019/881 des Europäischen Parlaments und des Rates hinsichtlich der Annahme des auf den Gemeinsamen Kriterien beruhenden europäischen Systems für die Cybersicherheitszertifizierung (EUCC)

(1) Ein EUCC-Zertifikat muss zumindest die in Anhang VII aufgeführten Angaben enthalten.(2) Der Anwendungsbereich und die Eingrenzung des zertifizierten IKT-Produkts sind eindeutig im EUCC-Zertifikat oder im Zertifizierungsbericht zu nennen und es ist anzugeben, ob das gesamte IKT-Produkt zertifiziert wurde oder nur Teile davon.(3) Die Zertifizierungsstelle stellt dem Antragsteller das EUCC-Zertifikat zumindest in elektronischer Form zur Verfügung.(4) Die Zertifizierungsstelle erstellt für jedes von ihr ausgestellte EUCC-Zertifikat einen Zertifizierungsbericht gemäß Anhang V. Der Zertifizierungsbericht beruht auf dem von der ITSEF erstellten technischen Evaluierungsbericht. In dem technischen Evaluierungsbericht und dem Zertifizierungsbericht werden die besonderen Evaluierungskriterien und -methoden gemäß Artikel 7 angegeben, die für die Evaluierung verwendet wurden.(5) Die Zertifizierungsstelle übermittelt der nationalen Behörde für die Cybersicherheitszertifizierung und der ENISA alle EUCC-Zertifikate und alle Zertifizierungsberichte in elektronischer Form.

Inhalt und Format eines EUCC-Zertifikats

ALLGEMEINE BESTIMMUNGEN

KAPITEL I

Gegenstand und Anwendungsbereich

Begriffsbestimmungen

Evaluierungsnormen

Vertrauenswürdigkeitsstufen

Methoden zur Zertifizierung von IKT-Produkten

Selbstbewertung der Konformität

ZERTIFIZIERUNG VON IKT-PRODUKTEN

KAPITEL II

Besondere Normen und Anforderungen für die Evaluierung

ABSCHNITT I

Evaluierungskriterien und -methoden für IKT-Produkte

Ausstellung, Erneuerung und Widerruf von EUCC-Zertifikaten

ABSCHNITT II

Für die Zertifizierung und Evaluierung erforderliche Informationen

Bedingungen für die Ausstellung eines EUCC-Zertifikats

Siegel und Kennzeichen

Geltungsdauer eines EUCC-Zertifikats

Überprüfung eines EUCC-Zertifikats

Widerruf eines EUCC-Zertifikats

ZERTIFIZIERUNG VON SCHUTZPROFILEN

KAPITEL III

Evaluierungskriterien und -methoden

Ausstellung, Erneuerung und Widerruf von EUCC-Zertifikaten für Schutzprofile

Für die Zertifizierung und Evaluierung von Schutzprofilen erforderliche Informationen

Ausstellung von EUCC-Zertifikaten für Schutzprofile

Geltungsdauer von EUCC-Zertifikaten für Schutzprofile

Überprüfung von EUCC-Zertifikaten für Schutzprofile

Widerruf von EUCC-Zertifikaten für Schutzprofile

KONFORMITÄTSBEWERTUNGSSTELLEN

KAPITEL IV

Spezifikation der Anforderungen an die Akkreditierung von Konformitätsbewertungsstellen

Zusätzliche oder besondere Anforderungen für eine Zertifizierungsstelle

Zusätzliche oder besondere Anforderungen an eine ITSEF

ÜBERWACHUNG, NICHTKONFORMITÄT UND NICHTEINHALTUNG

KAPITEL V

Überwachung der Einhaltung der Vorschriften

Überwachungstätigkeiten der nationalen Behörde für die Cybersicherheitszertifizierung

Überwachungstätigkeiten der Zertifizierungsstelle

Überwachungstätigkeiten des Zertifikatsinhabers

Konformität und Einhaltung

Folgen der Nichtkonformität eines zertifizierten IKT-Produkts oder Schutzprofils

Folgen der Nichteinhaltung durch den Zertifikatsinhaber

Aussetzung des EUCC-Zertifikats

Folgen der Nichteinhaltung durch die Konformitätsbewertungsstelle

SCHWACHSTELLENMANAGEMENT UND OFFENLEGUNG VON SCHWACHSTELLEN

KAPITEL VI

Anwendungsbereich des Schwachstellenmanagements

Schwachstellenmanagement

Schwachstellenmanagementverfahren

Analyse der Auswirkungen der Schwachstelle

Bericht über die Analyse der Auswirkungen der Schwachstelle

Beseitigung von Schwachstellen

Offenlegung von Schwachstellen

Weitergabe von Informationen an die nationale Behörde für die Cybersicherheitszertifizierung

Zusammenarbeit mit anderen nationalen Behörden für die Cybersicherheitszertifizierung

Veröffentlichung von Schwachstellen

AUFBEWAHRUNG, OFFENLEGUNG UND SCHUTZ VON INFORMATIONEN

KAPITEL VII

Aufbewahrung von Aufzeichnungen durch Zertifizierungsstellen und ITSEF

Vom Zertifikatsinhaber zur Verfügung gestellte Informationen

Von der ENISA bereitzustellende Informationen

Schutz von Informationen

ABKOMMEN MIT DRITTLÄNDERN ÜBER DIE GEGENSEITIGE ANERKENNUNG

KAPITEL VIII

Bedingungen

GEGENSEITIGE BEURTEILUNG VON ZERTIFIZIERUNGSSTELLEN

KAPITEL IX

Verfahren der gegenseitigen Beurteilung

Phasen der gegenseitigen Beurteilung

Bericht über die gegenseitige Beurteilung

AUFRECHTERHALTUNG DES SYSTEMS

KAPITEL X

Aufrechterhaltung des EUCC-Systems

SCHLUSSBESTIMMUNGEN

KAPITEL XI

Nationale Systeme, die unter das EUCC-System fallen

Inkrafttreten

Sachstandsdokumente für bestimmte technische Bereiche und andere Sachstandsdokumente

Auf AVA_VAN-Stufe 4 oder 5 zertifizierte Schutzprofile

Empfohlene Schutzprofile

Kontinuität der Vertrauenswürdigkeit und Überprüfung der Zertifikate

INHALT EINES ZERTIFIZIERUNGSBERICHTS

GEGENSTAND DER GEGENSEITIGEN BEURTEILUNG UND ZUSAMMENSETZUNG DES BEURTEILUNGSTEAMS

Inhalt eines EUCC-Zertifikats

Erklärung zum Vertrauenswürdigkeitspaket

Europäisches Sekundärrecht

Artikel 10 VO (EU) 2024/482

Inhalt und Format eines EUCC-Zertifikats