Artikel 2 VO (EU) 2024/482

Für die Zwecke dieser Verordnung bezeichnet der Ausdruck

1.

„Gemeinsame Kriterien” (Common Criteria) die Gemeinsamen Kriterien für die Evaluierung der IT-Sicherheit gemäß den Normen ISO/IEC 15408-1:2022, ISO/IEC 15408-2:2022, ISO/IEC 15408-3:2022, ISO/IEC 15408-4:2022 oder ISO/IEC 15408-5:2022 oder gemäß den Gemeinsamen Kriterien für die Evaluierung der IT-Sicherheit, Version CC:2022, Teile 1 bis 5, veröffentlicht von den Beteiligten der Anerkennungsvereinbarung für die nach den Gemeinsamen Kriterien ausgestellten Zertifikate auf dem Gebiet der IT-Sicherheit (CCRA);

2.

„Gemeinsame Evaluierungsmethodik” die Gemeinsame Methodik für die Evaluierung der IT-Sicherheit gemäß der Norm ISO/IEC 18045:2022 oder die Gemeinsame Methodik für die Evaluierung der IT-Sicherheit, Version CEM:2022, veröffentlicht von den Beteiligten der Anerkennungsvereinbarung für die nach den Gemeinsamen Kriterien ausgestellten Zertifikate auf dem Gebiet der IT-Sicherheit (CCRA);

3.

„Evaluierungsgegenstand” ein IKT-Produkt oder ein Teil davon oder ein Schutzprofil als Teil eines IKT-Prozesses, das einer Cybersicherheitsevaluierung zur Erteilung einer EUCC-Zertifizierung unterzogen wird;

4.

„Sicherheitsziel” eine Beanspruchung der Einhaltung umsetzungsabhängiger Sicherheitsanforderungen für ein bestimmtes IKT-Produkt;

5.

„Schutzprofil” einen IKT-Prozess, der die Sicherheitsanforderungen für eine bestimmte Kategorie von IKT-Produkten festlegt, umsetzungsunabhängige Sicherheitsbedarfe beschreibt und zur Bewertung der unter diese spezifische Kategorie fallenden IKT-Produkte im Hinblick auf deren Zertifizierung verwendet werden kann;

6.

„technischer Evaluierungsbericht” ein von einer ITSEF erstelltes Dokument mit den Ergebnissen, Beurteilungen und Begründungen aus der Evaluierung eines IKT-Produkts oder eines Schutzprofils gemäß den in dieser Verordnung festgelegten Vorschriften und Verpflichtungen;

7.

„ITSEF” (Information Technology Security Evaluation Facility) eine Einrichtung zur Evaluierung der IT-Sicherheit, die eine Konformitätsbewertungsstelle im Sinne des Artikels 2 Nummer 13 der Verordnung (EG) Nr. 765/2008 ist und Evaluierungstätigkeiten durchführt;

8.

„AVA_VAN-Stufe” ein Niveau der Schwachstellenanalyse zur Zusicherung der Vertrauenswürdigkeit, die den Umfang der Tätigkeiten der Cybersicherheitsevaluierung angibt, die durchgeführt wurden, um den Grad Widerstandsfähigkeit gegen eine potenzielle Ausnutzung von Mängeln oder Schwachstellen des Evaluierungsgegenstands in seiner Betriebsumgebung gemäß den Gemeinsamen Kriterien zu ermitteln;

9.

„EUCC-Zertifikat” ein im Rahmen des EUCC ausgestelltes Cybersicherheitszertifikat für IKT-Produkte oder für Schutzprofile, die ausschließlich im IKT-Prozess der Zertifizierung von IKT-Produkten verwendet werden können;

10.

„zusammengesetztes Produkt” ein IKT-Produkt, das zusammen mit einem anderen zugrunde liegenden IKT-Produkt evaluiert wird, für das bereits ein EUCC-Zertifikat erteilt wurde und von dessen Sicherheitsfunktionen das zusammengesetzte IKT-Produkt abhängt;

11.

„nationale Behörde für die Cybersicherheitszertifizierung” eine von einem Mitgliedstaat gemäß Artikel 58 Absatz 1 der Verordnung (EU) 2019/881 benannte Behörde;

12.

„Zertifizierungsstelle” eine Konformitätsbewertungsstelle im Sinne des Artikels 2 Nummer 13 der Verordnung (EG) Nr. 765/2008, die Zertifizierungstätigkeiten durchführt;

13.

„technischer Bereich” einen gemeinsamen technischen Rahmen bezüglich einer bestimmten Technologie für die harmonisierte Zertifizierung mit einer Reihe charakteristischer Sicherheitsanforderungen;

14.

„Sachstandsdokument” ein Dokument, in dem Evaluierungsmethoden, -techniken und -instrumente für die Zertifizierung von IKT-Produkten oder von Sicherheitsanforderungen einer allgemeinen IKT-Produktkategorie oder andere für die Zertifizierung erforderliche Anforderungen festgelegt werden, um die Evaluierung, insbesondere von technischen Bereichen oder von Schutzprofilen, zu harmonisieren;

15.

„Marktüberwachungsbehörde” eine Marktüberwachungsbehörde im Sinne des Artikels 3 Nummer 4 der Verordnung (EU) 2019/1020;

16.

„Produktreihe” eine Reihe von IKT-Produkten eines Antragstellers, die auf derselben funktionalen Basis beruhen, um denselben Sicherheitsbedarfen gerecht zu werden, und deren Konzeption, Hardware, Firmware oder Software sich von einem IKT-Produkt zum anderen unterscheiden können;

17.

„geringfügige Änderung” eine Änderung des zertifizierten Evaluierungsgegenstands oder seiner Umgebung, die die im EUCC-Zertifikat ausgedrückte Vertrauenswürdigkeit nicht beeinträchtigt;

18.

„erhebliche Änderung” eine Änderung des zertifizierten Evaluierungsgegenstands oder seiner Umgebung, die die im EUCC-Zertifikat ausgedrückte Vertrauenswürdigkeit beeinträchtigen kann.