Artikel 35 VO (EU) 2024/482

(1) Der Inhaber erstellt einen Bericht über die Analyse der Auswirkungen der Schwachstelle, wenn aus der Analyse der Auswirkungen hervorgeht, dass sich die Schwachstelle wahrscheinlich auf die Konformität des IKT-Produkts mit dessen Zertifikat auswirkt.

(2) Der Bericht über die Analyse der Auswirkungen der Schwachstelle muss eine Bewertung folgender Elemente enthalten:

a)

die Auswirkungen der Schwachstelle auf das zertifizierte IKT-Produkt;

b)

mögliche Risiken im Zusammenhang mit der Nähe oder Verfügbarkeit einer Angriffsmöglichkeit;

c)

ob die Schwachstelle beseitigt werden kann;

d)

falls die Schwachstelle beseitigt werden kann, mögliche Lösungen für die Beseitigung der Schwachstelle.

(3) Der Bericht über die Analyse der Auswirkungen der Schwachstelle enthält, soweit zutreffend, Einzelheiten über mögliche Mittel der Ausnutzung der Schwachstelle. Informationen über mögliche Mittel der Ausnutzung der Schwachstelle werden unter Einhaltung geeigneter Sicherheitsvorkehrungen behandelt, um ihre Vertraulichkeit zu schützen und nötigenfalls ihre Verbreitung zu begrenzen.

(4) Der Inhaber eines EUCC-Zertifikats übermittelt der Zertifizierungsstelle oder der nationalen Behörde für die Cybersicherheitszertifizierung unverzüglich einen Bericht über die Analyse der Auswirkungen der Schwachstelle gemäß Artikel 56 Absatz 8 der Verordnung (EU) 2019/881.

(5) Wenn in dem Bericht über die Analyse der Auswirkungen der Schwachstelle festgestellt wird, dass die Schwachstelle kein verbleibendes Restrisiko im Sinne der in Artikel 3 genannten Normen darstellt und dass sie beseitigt werden, kann wird Artikel 36 angewandt.

(6) Wenn in dem Bericht über die Analyse der Auswirkungen der Schwachstelle festgestellt wird, dass die Schwachstelle kein verbleibendes Restrisiko darstellt und dass sie nicht beseitigt werden kann, wird das EUCC-Zertifikat gemäß Artikel 14 widerrufen.

(7) Der Inhaber des EUCC-Zertifikats überwacht ein etwaiges verbleibendes Restrisiko aus der Schwachstelle, um sicherzustellen, dass sie im Falle von Änderungen im betrieblichen Umfeld nicht doch ausgenutzt werden kann.