Artikel 25 VO (EU) 2024/482

(1) Unbeschadet des Artikels 58 Absatz 7 der Verordnung (EU) 2019/881 überwacht die nationale Behörde für die Cybersicherheitszertifizierung, dass

a)

die Zertifizierungsstelle und die ITSEF ihren Verpflichtungen gemäß der vorliegenden Verordnung und der Verordnung (EU) 2019/881 nachkommen;

b)

die Inhaber eines EUCC-Zertifikats ihren Verpflichtungen gemäß der vorliegenden Verordnung und der Verordnung (EU) 2019/881 nachkommen;

c)

die zertifizierten IKT-Produkte den im EUCC-System festgelegten Anforderungen entsprechen;

d)

die im EUCC-Zertifikat ausgedrückte Vertrauenswürdigkeit der sich wandelnden Bedrohungslage gerecht wird.

(2) Die nationale Behörde für die Cybersicherheitszertifizierung führt ihre Überwachungstätigkeiten insbesondere auf folgender Grundlage durch:

a)

Informationen von Zertifizierungsstellen, nationalen Akkreditierungsstellen und zuständigen Marktüberwachungsbehörden,

b)

Informationen aus eigenen Prüfungen und Untersuchungen und denen anderer Behörden,

c)

Stichprobenuntersuchungen gemäß Absatz 3,

d)

eingegangene Beschwerden.

(3) Die nationale Behörde für die Cybersicherheitszertifizierung überprüft in Zusammenarbeit mit anderen Marktüberwachungsbehörden jährlich eine Stichprobe von mindestens 4 % der EUCC-Zertifikate, die anhand einer Risikobewertung ermittelt wird. Zertifizierungsstellen und nötigenfalls ITSEF unterstützen die zuständige nationale Behörde für die Cybersicherheitszertifizierung auf deren Verlangen und in deren Namen bei der Überwachung der Einhaltung der Vorschriften.

(4) Die nationale Behörde für die Cybersicherheitszertifizierung wählt die Stichprobe der zu überprüfenden zertifizierten IKT-Produkte anhand objektiver Kriterien aus, darunter:

a)

Produktkategorie,

b)

Vertrauenswürdigkeitsstufen der Produkte,

c)

Zertifikatsinhaber,

d)

Zertifizierungsstelle und gegebenenfalls beauftragte ITSEF,

e)

sonstige Informationen, die der Behörde zur Kenntnis gebracht werden.

(5) Die nationale Behörde für die Cybersicherheitszertifizierung unterrichtet die Inhaber der EUCC-Zertifikate über die ausgewählten IKT-Produkte und die Auswahlkriterien.

(6) Die Zertifizierungsstelle, die das in die Stichprobe einbezogene IKT-Produkt zertifiziert hat, führt im Auftrag der nationalen Behörde für die Cybersicherheitszertifizierung und mit Unterstützung der jeweiligen ITSEF zusätzliche Überprüfungen nach dem in Anhang IV Abschnitt IV.2 festgelegten Verfahren durch und übermittelt der nationalen Behörde für die Cybersicherheitszertifizierung die Ergebnisse.

(7) Wenn die nationale Behörde für die Cybersicherheitszertifizierung hinreichende Gründe zu der Annahme hat, dass ein zertifiziertes IKT-Produkt nicht mehr den Anforderungen dieser Verordnung oder der Verordnung (EU) 2019/881 genügt, kann sie Untersuchungen durchführen oder von anderen Überwachungsbefugnissen gemäß Artikel 58 Absatz 8 der Verordnung (EU) 2019/881 Gebrauch machen.

(8) Die nationale Behörde für die Cybersicherheitszertifizierung unterrichtet die betreffende Zertifizierungsstelle und die ITSEF über laufende Untersuchungen zu ausgewählten IKT-Produkten.

(9) Wenn die nationale Behörde für die Cybersicherheitszertifizierung feststellt, dass eine laufende Untersuchung IKT-Produkte betrifft, die von Zertifizierungsstellen in anderen Mitgliedstaaten zertifiziert wurden, setzt sie die nationalen Behörden für die Cybersicherheitszertifizierung in den betreffenden Mitgliedstaaten davon in Kenntnis, damit diese gegebenenfalls an den Untersuchungen mitwirken können. Außerdem unterrichtet diese nationale Behörde für die Cybersicherheitszertifizierung die Europäische Gruppe für die Cybersicherheitszertifizierung über die grenzübergreifenden Untersuchungen und deren Ergebnisse.