Durchführungsverordnung (EU) 2024/482 der Kommission vom 31. Januar 2024 mit Durchführungsbestimmungen zur Verordnung (EU) 2019/881 des Europäischen Parlaments und des Rates hinsichtlich der Annahme des auf den Gemeinsamen Kriterien beruhenden europäischen Systems für die Cybersicherheitszertifizierung (EUCC)

(1) Die von der Zertifizierungsstelle an die nationale Behörde für die Cybersicherheitszertifizierung übermittelten Informationen müssen alle Elemente enthalten, die erforderlich sind, damit die nationale Behörde für die Cybersicherheitszertifizierung die Auswirkungen der Schwachstelle und die an dem IKT-Produkt vorzunehmenden Änderungen erfassen kann, sowie gegebenenfalls Angaben der Zertifizierungsstelle über weiterreichende Auswirkungen der Schwachstelle auf andere zertifizierte IKT-Produkte.(2) Die gemäß Absatz 1 übermittelten Informationen dürfen keine Einzelheiten über die Mittel der Ausnutzung der Schwachstelle enthalten. Diese Bestimmung lässt die Untersuchungsbefugnisse der nationalen Behörde für die Cybersicherheitszertifizierung unberührt.

Weitergabe von Informationen an die nationale Behörde für die Cybersicherheitszertifizierung

ALLGEMEINE BESTIMMUNGEN

KAPITEL I

Gegenstand und Anwendungsbereich

Begriffsbestimmungen

Evaluierungsnormen

Vertrauenswürdigkeitsstufen

Methoden zur Zertifizierung von IKT-Produkten

Selbstbewertung der Konformität

ZERTIFIZIERUNG VON IKT-PRODUKTEN

KAPITEL II

Besondere Normen und Anforderungen für die Evaluierung

ABSCHNITT I

Evaluierungskriterien und -methoden für IKT-Produkte

Ausstellung, Erneuerung und Widerruf von EUCC-Zertifikaten

ABSCHNITT II

Für die Zertifizierung und Evaluierung erforderliche Informationen

Bedingungen für die Ausstellung eines EUCC-Zertifikats

Inhalt und Format eines EUCC-Zertifikats

Siegel und Kennzeichen

Geltungsdauer eines EUCC-Zertifikats

Überprüfung eines EUCC-Zertifikats

Widerruf eines EUCC-Zertifikats

ZERTIFIZIERUNG VON SCHUTZPROFILEN

KAPITEL III

Evaluierungskriterien und -methoden

Ausstellung, Erneuerung und Widerruf von EUCC-Zertifikaten für Schutzprofile

Für die Zertifizierung und Evaluierung von Schutzprofilen erforderliche Informationen

Ausstellung von EUCC-Zertifikaten für Schutzprofile

Geltungsdauer von EUCC-Zertifikaten für Schutzprofile

Überprüfung von EUCC-Zertifikaten für Schutzprofile

Widerruf von EUCC-Zertifikaten für Schutzprofile

KONFORMITÄTSBEWERTUNGSSTELLEN

KAPITEL IV

Spezifikation der Anforderungen an die Akkreditierung von Konformitätsbewertungsstellen

Zusätzliche oder besondere Anforderungen für eine Zertifizierungsstelle

Zusätzliche oder besondere Anforderungen an eine ITSEF

ÜBERWACHUNG, NICHTKONFORMITÄT UND NICHTEINHALTUNG

KAPITEL V

Überwachung der Einhaltung der Vorschriften

Überwachungstätigkeiten der nationalen Behörde für die Cybersicherheitszertifizierung

Überwachungstätigkeiten der Zertifizierungsstelle

Überwachungstätigkeiten des Zertifikatsinhabers

Konformität und Einhaltung

Folgen der Nichtkonformität eines zertifizierten IKT-Produkts oder Schutzprofils

Folgen der Nichteinhaltung durch den Zertifikatsinhaber

Aussetzung des EUCC-Zertifikats

Folgen der Nichteinhaltung durch die Konformitätsbewertungsstelle

SCHWACHSTELLENMANAGEMENT UND OFFENLEGUNG VON SCHWACHSTELLEN

KAPITEL VI

Anwendungsbereich des Schwachstellenmanagements

Schwachstellenmanagement

Schwachstellenmanagementverfahren

Analyse der Auswirkungen der Schwachstelle

Bericht über die Analyse der Auswirkungen der Schwachstelle

Beseitigung von Schwachstellen

Offenlegung von Schwachstellen

Zusammenarbeit mit anderen nationalen Behörden für die Cybersicherheitszertifizierung

Veröffentlichung von Schwachstellen

AUFBEWAHRUNG, OFFENLEGUNG UND SCHUTZ VON INFORMATIONEN

KAPITEL VII

Aufbewahrung von Aufzeichnungen durch Zertifizierungsstellen und ITSEF

Vom Zertifikatsinhaber zur Verfügung gestellte Informationen

Von der ENISA bereitzustellende Informationen

Schutz von Informationen

ABKOMMEN MIT DRITTLÄNDERN ÜBER DIE GEGENSEITIGE ANERKENNUNG

KAPITEL VIII

Bedingungen

GEGENSEITIGE BEURTEILUNG VON ZERTIFIZIERUNGSSTELLEN

KAPITEL IX

Verfahren der gegenseitigen Beurteilung

Phasen der gegenseitigen Beurteilung

Bericht über die gegenseitige Beurteilung

AUFRECHTERHALTUNG DES SYSTEMS

KAPITEL X

Aufrechterhaltung des EUCC-Systems

SCHLUSSBESTIMMUNGEN

KAPITEL XI

Nationale Systeme, die unter das EUCC-System fallen

Inkrafttreten

Sachstandsdokumente für bestimmte technische Bereiche und andere Sachstandsdokumente

Auf AVA_VAN-Stufe 4 oder 5 zertifizierte Schutzprofile

Empfohlene Schutzprofile

Kontinuität der Vertrauenswürdigkeit und Überprüfung der Zertifikate

INHALT EINES ZERTIFIZIERUNGSBERICHTS

GEGENSTAND DER GEGENSEITIGEN BEURTEILUNG UND ZUSAMMENSETZUNG DES BEURTEILUNGSTEAMS

Inhalt eines EUCC-Zertifikats

Erklärung zum Vertrauenswürdigkeitspaket

Europäisches Sekundärrecht

Artikel 37 VO (EU) 2024/482

Weitergabe von Informationen an die nationale Behörde für die Cybersicherheitszertifizierung