Durchführungsverordnung (EU) 2024/482 der Kommission vom 31. Januar 2024 mit Durchführungsbestimmungen zur Verordnung (EU) 2019/881 des Europäischen Parlaments und des Rates hinsichtlich der Annahme des auf den Gemeinsamen Kriterien beruhenden europäischen Systems für die Cybersicherheitszertifizierung (EUCC)

(1) Die Analyse der Auswirkungen der Schwachstellen bezieht sich auf den Evaluierungsgegenstand und die im Zertifikat enthaltenen Aussagen zur Vertrauenswürdigkeit. Die Analyse der Auswirkungen der Schwachstelle wird innerhalb eines Zeitrahmens durchgeführt, der angesichts der Ausnutzbarkeit und Kritikalität der möglichen Schwachstelle des zertifizierten IKT-Produkts angemessen ist.(2) Soweit zutreffend wird eine Berechnung des Angriffspotenzials nach der einschlägigen Methodik durchgeführt, die in den in Artikel 3 genannten Normen und den in Anhang I aufgeführten einschlägigen Sachstandsdokumenten enthalten ist, um die Ausnutzbarkeit der Schwachstelle zu ermitteln. Dabei wird die AVA_VAN-Stufe des EUCC-Zertifikats berücksichtigt.

Analyse der Auswirkungen der Schwachstelle

ALLGEMEINE BESTIMMUNGEN

KAPITEL I

Gegenstand und Anwendungsbereich

Begriffsbestimmungen

Evaluierungsnormen

Vertrauenswürdigkeitsstufen

Methoden zur Zertifizierung von IKT-Produkten

Selbstbewertung der Konformität

ZERTIFIZIERUNG VON IKT-PRODUKTEN

KAPITEL II

Besondere Normen und Anforderungen für die Evaluierung

ABSCHNITT I

Evaluierungskriterien und -methoden für IKT-Produkte

Ausstellung, Erneuerung und Widerruf von EUCC-Zertifikaten

ABSCHNITT II

Für die Zertifizierung und Evaluierung erforderliche Informationen

Bedingungen für die Ausstellung eines EUCC-Zertifikats

Inhalt und Format eines EUCC-Zertifikats

Siegel und Kennzeichen

Geltungsdauer eines EUCC-Zertifikats

Überprüfung eines EUCC-Zertifikats

Widerruf eines EUCC-Zertifikats

ZERTIFIZIERUNG VON SCHUTZPROFILEN

KAPITEL III

Evaluierungskriterien und -methoden

Ausstellung, Erneuerung und Widerruf von EUCC-Zertifikaten für Schutzprofile

Für die Zertifizierung und Evaluierung von Schutzprofilen erforderliche Informationen

Ausstellung von EUCC-Zertifikaten für Schutzprofile

Geltungsdauer von EUCC-Zertifikaten für Schutzprofile

Überprüfung von EUCC-Zertifikaten für Schutzprofile

Widerruf von EUCC-Zertifikaten für Schutzprofile

KONFORMITÄTSBEWERTUNGSSTELLEN

KAPITEL IV

Spezifikation der Anforderungen an die Akkreditierung von Konformitätsbewertungsstellen

Zusätzliche oder besondere Anforderungen für eine Zertifizierungsstelle

Zusätzliche oder besondere Anforderungen an eine ITSEF

ÜBERWACHUNG, NICHTKONFORMITÄT UND NICHTEINHALTUNG

KAPITEL V

Überwachung der Einhaltung der Vorschriften

Überwachungstätigkeiten der nationalen Behörde für die Cybersicherheitszertifizierung

Überwachungstätigkeiten der Zertifizierungsstelle

Überwachungstätigkeiten des Zertifikatsinhabers

Konformität und Einhaltung

Folgen der Nichtkonformität eines zertifizierten IKT-Produkts oder Schutzprofils

Folgen der Nichteinhaltung durch den Zertifikatsinhaber

Aussetzung des EUCC-Zertifikats

Folgen der Nichteinhaltung durch die Konformitätsbewertungsstelle

SCHWACHSTELLENMANAGEMENT UND OFFENLEGUNG VON SCHWACHSTELLEN

KAPITEL VI

Anwendungsbereich des Schwachstellenmanagements

Schwachstellenmanagement

Schwachstellenmanagementverfahren

Bericht über die Analyse der Auswirkungen der Schwachstelle

Beseitigung von Schwachstellen

Offenlegung von Schwachstellen

Weitergabe von Informationen an die nationale Behörde für die Cybersicherheitszertifizierung

Zusammenarbeit mit anderen nationalen Behörden für die Cybersicherheitszertifizierung

Veröffentlichung von Schwachstellen

AUFBEWAHRUNG, OFFENLEGUNG UND SCHUTZ VON INFORMATIONEN

KAPITEL VII

Aufbewahrung von Aufzeichnungen durch Zertifizierungsstellen und ITSEF

Vom Zertifikatsinhaber zur Verfügung gestellte Informationen

Von der ENISA bereitzustellende Informationen

Schutz von Informationen

ABKOMMEN MIT DRITTLÄNDERN ÜBER DIE GEGENSEITIGE ANERKENNUNG

KAPITEL VIII

Bedingungen

GEGENSEITIGE BEURTEILUNG VON ZERTIFIZIERUNGSSTELLEN

KAPITEL IX

Verfahren der gegenseitigen Beurteilung

Phasen der gegenseitigen Beurteilung

Bericht über die gegenseitige Beurteilung

AUFRECHTERHALTUNG DES SYSTEMS

KAPITEL X

Aufrechterhaltung des EUCC-Systems

SCHLUSSBESTIMMUNGEN

KAPITEL XI

Nationale Systeme, die unter das EUCC-System fallen

Inkrafttreten

Sachstandsdokumente für bestimmte technische Bereiche und andere Sachstandsdokumente

Auf AVA_VAN-Stufe 4 oder 5 zertifizierte Schutzprofile

Empfohlene Schutzprofile

Kontinuität der Vertrauenswürdigkeit und Überprüfung der Zertifikate

INHALT EINES ZERTIFIZIERUNGSBERICHTS

GEGENSTAND DER GEGENSEITIGEN BEURTEILUNG UND ZUSAMMENSETZUNG DES BEURTEILUNGSTEAMS

Inhalt eines EUCC-Zertifikats

Erklärung zum Vertrauenswürdigkeitspaket

Europäisches Sekundärrecht

Artikel 34 VO (EU) 2024/482

Analyse der Auswirkungen der Schwachstelle