Artikel 31 VO (EU) 2024/482

(1) Wenn eine Zertifizierungsstelle ihren Verpflichtungen nicht nachkommt oder wenn im Falle der Feststellung eines Verstoßes durch eine ITSEF die zuständige Zertifizierungsstelle ihren Verpflichtungen nicht nachkommt, muss die nationale Behörde für die Cybersicherheitszertifizierung unverzüglich

a)

mit Unterstützung der ITSEF die möglicherweise davon betroffenen EUCC-Zertifikate ermitteln;

b)

erforderlichenfalls veranlassen, dass entweder die ITSEF, die die Evaluierung durchgeführt hatte, oder eine andere akkreditierte und gegebenenfalls zugelassene ITSEF, die fachlich besser dazu in der Lage ist, bestimmte Evaluierungstätigkeiten zu einem oder mehreren IKT-Produkten oder Schutzprofilen durchführt, um diese Ermittlung zu unterstützen;

c)

die Auswirkungen der Nichteinhaltung analysieren;

d)

den Inhaber des von der Nichteinhaltung betroffenen EUCC-Zertifikats benachrichtigen.

(2) Auf der Grundlage der in Absatz 1 genannten Maßnahmen fasst die Zertifizierungsstelle zu jedem betroffenen EUCC-Zertifikat einen der folgenden Beschlüsse:

a)

unveränderte Aufrechterhaltung des EUCC-Zertifikats,

b)

Widerruf des EUCC-Zertifikats gemäß Artikel 14 oder Artikel 20 und gegebenenfalls Ausstellung eines neuen EUCC-Zertifikats.

(3) Auf der Grundlage der in Absatz 1 genannten Maßnahmen muss die nationale Behörde für die Cybersicherheitszertifizierung

a)

erforderlichenfalls der nationalen Akkreditierungsstelle die Nichteinhaltung durch die Zertifizierungsstelle oder die betreffende ITSEF melden;

b)

gegebenenfalls die möglichen Auswirkungen auf die Zulassung prüfen.