Artikel 21 VO (EU) 2024/482

(1) Eine Zertifizierungsstelle wird von der nationalen Behörde für die Cybersicherheitszertifizierung dazu ermächtigt, EUCC-Zertifikate der Vertrauenswürdigkeitsstufe „hoch” auszustellen, wenn diese Stelle zusätzlich zur Erfüllung der Anforderungen des Artikels 60 Absatz 1 und des Anhangs der Verordnung (EU) 2019/881 in Bezug auf die Akkreditierung von Konformitätsbewertungsstellen Folgendes nachweist:

a)

Sie verfügt über die für die Zertifizierungsentscheidung auf der Vertrauenswürdigkeitsstufe „hoch” erforderlichen Fachkenntnisse und Kompetenzen;

b)

sie führt ihre Zertifizierungstätigkeiten in Zusammenarbeit mit einer gemäß Artikel 22 zugelassenen ITSEF durch;

c)

sie verfügt zusätzlich zu den Anforderungen des Artikels 43 über die erforderlichen Kompetenzen und trifft geeignete technische und betriebliche Maßnahmen zum wirksamen Schutz vertraulicher und sensibler Informationen auf der Vertrauenswürdigkeitsstufe „hoch” .

(2) Die nationale Behörde für die Cybersicherheitszertifizierung bewertet, ob eine Zertifizierungsstelle alle in Absatz 1 genannten Anforderungen erfüllt. Diese Bewertung umfasst zumindest strukturierte Befragungen und die Überprüfung von mindestens einer Pilotzertifizierung, die von der Zertifizierungsstelle gemäß dieser Verordnung durchgeführt wurde.

Bei ihrer Bewertung kann die nationale Behörde für die Cybersicherheitszertifizierung alle geeigneten Nachweise aus einer vorherigen Zulassung oder ähnlichen Tätigkeiten weiterverwenden, die beruhen auf

a)

der vorliegenden Verordnung,

b)

einem anderen europäischen System für die Cybersicherheitszertifizierung, das gemäß Artikel 49 der Verordnung (EU) 2019/881 angenommen wurde,

c)

einem in Artikel 49 der vorliegenden Verordnung genannten System.

(3) Die nationale Behörde für die Cybersicherheitszertifizierung erstellt einen Zulassungsbericht, der einer gegenseitigen Begutachtung gemäß Artikel 59 Absatz 3 Buchstabe d der Verordnung (EU) 2019/881 unterzogen wird.

(4) Die nationale Behörde für die Cybersicherheitszertifizierung gibt die IKT-Produktkategorien und Schutzprofile an, auf die sich die Zulassung erstreckt. Die Zulassung gilt für einen Zeitraum, der nicht länger als die Geltungsdauer der Akkreditierung ist. Sie kann auf Antrag verlängert werden, sofern die Zertifizierungsstelle die Anforderungen dieses Artikels noch immer erfüllt. Für eine Erneuerung der Zulassung sind keine Pilotevaluierungen erforderlich.

(5) Die nationale Behörde für die Cybersicherheitszertifizierung widerruft die Zulassung der Zertifizierungsstelle, wenn diese nicht mehr alle in diesem Artikel festgelegten Bedingungen erfüllt. Ab dem Widerruf der Zulassung darf die Zertifizierungsstelle sich selbst nicht mehr als zugelassene Zertifizierungsstelle bezeichnen.