Artikel 22 VO (EU) 2024/482

(1) Eine ITSEF wird von der nationalen Behörde für die Cybersicherheitszertifizierung dazu ermächtigt, Evaluierungen für IKT-Produkte durchzuführen, die auf der Vertrauenswürdigkeitsstufe „hoch” zertifiziert werden sollen, wenn die ITSEF zusätzlich zur Erfüllung der Anforderungen des Artikels 60 Absatz 1 und des Anhangs der Verordnung (EU) 2019/881 in Bezug auf die Akkreditierung von Konformitätsbewertungsstellen die Erfüllung aller folgenden Bedingungen nachweist:

a)

sie hat die erforderliche Sachkenntnis für die Durchführung der Evaluierungstätigkeiten zur Ermittlung der Widerstandsfähigkeit gegen Cyberangriffe, die dem neuesten Stand der Technik entsprechen und von Akteuren mit umfangreichen Fähigkeiten und Ressourcen durchgeführt werden;

b)

sie verfügt für die technischen Bereiche und Schutzprofile, die Teil des IKT-Prozesses für die betreffenden IKT-Produkte sind, über

1)

die Sachkenntnis zur Durchführung der besonderen Evaluierungstätigkeiten, die erforderlich sind, um die Widerstandsfähigkeit des Evaluierungsgegenstands in seiner Betriebsumgebung gegen kompetente Angreifer unter der Annahme eines „mäßigen” oder „hohen” Angriffspotenzials gemäß den in Artikel 3 genannten Normen zu bestimmen;

2)

die technischen Kompetenzen gemäß den in Anhang I aufgeführten Sachstandsdokumenten;

c)

sie verfügt zusätzlich zu den Anforderungen des Artikels 43 über die erforderlichen Kompetenzen und trifft geeignete technische und betriebliche Maßnahmen zum wirksamen Schutz vertraulicher und sensibler Informationen auf der Vertrauenswürdigkeitsstufe „hoch” .

(2) Die nationale Behörde für die Cybersicherheitszertifizierung bewertet, ob eine ITSEF alle in Absatz 1 genannten Anforderungen erfüllt. Diese Bewertung umfasst zumindest strukturierte Befragungen und die Überprüfung von mindestens einer Pilotevaluierung, die von der ITSEF gemäß dieser Verordnung durchgeführt wurde.

(3) Bei ihrer Bewertung kann die nationale Behörde für die Cybersicherheitszertifizierung alle geeigneten Nachweise aus einer vorherigen Zulassung oder ähnlichen Tätigkeiten weiterverwenden, die beruhen auf

a)

der vorliegenden Verordnung,

b)

einem anderen europäischen System für die Cybersicherheitszertifizierung, das gemäß Artikel 49 der Verordnung (EU) 2019/881 angenommen wurde,

c)

einem in Artikel 49 der vorliegenden Verordnung genannten System.

(4) Die nationale Behörde für die Cybersicherheitszertifizierung erstellt einen Zulassungsbericht, der einer gegenseitigen Begutachtung gemäß Artikel 59 Absatz 3 Buchstabe d der Verordnung (EU) 2019/881 unterzogen wird.

(5) Die nationale Behörde für die Cybersicherheitszertifizierung gibt die IKT-Produktkategorien und Schutzprofile an, auf die sich die Zulassung erstreckt. Die Zulassung gilt für einen Zeitraum, der nicht länger als die Geltungsdauer der Akkreditierung ist. Sie kann auf Antrag verlängert werden, sofern die ITSEF die Anforderungen dieses Artikels noch immer erfüllt. Für eine Erneuerung der Zulassung sind keine Pilotevaluierungen erforderlich.

(6) Die nationale Behörde für die Cybersicherheitszertifizierung widerruft die Zulassung der ITSEF, wenn diese nicht mehr alle in diesem Artikel festgelegten Bedingungen erfüllt. Ab dem Widerruf der Zulassung darf die ITSEF sich selbst nicht mehr als zugelassene ITSEF bezeichnen.