Artikel 44 VO (EU) 2024/482

(1) Drittländer, die ihre Produkte gemäß dieser Verordnung zertifizieren und eine solche Zertifizierung innerhalb der Union anerkannt haben wollen, müssen mit der Union ein Abkommen über die gegenseitige Anerkennung schließen.

(2) Ein Abkommen über die gegenseitige Anerkennung regelt die Vertrauenswürdigkeitsstufen, die für zertifizierte IKT-Produkte und gegebenenfalls für Schutzprofile gelten.

(3) Ein Abkommen über die gegenseitige Anerkennung gemäß Absatz 1 kann nur mit Drittländern geschlossen werden, die folgende Bedingungen erfüllen:

a)

Sie haben eine Behörde, die

1)

eine öffentliche Stelle ist, die unabhängig von den Einrichtungen ist, deren Organisations- und Rechtsstruktur, Finanzierung und Entscheidungsfindung sie beaufsichtigt und überwacht,

2)

über angemessene Überwachungs- und Aufsichtsbefugnisse zur Durchführung von Untersuchungen verfügt und befugt ist, geeignete Korrekturmaßnahmen zu ergreifen, um die Einhaltung der Vorschriften zu gewährleisten,

3)

über ein wirksames, verhältnismäßiges und abschreckendes Sanktionssystem verfügt, um die Einhaltung der Vorschriften zu gewährleisten,

4)

bereit ist, mit der Europäischen Gruppe für die Cybersicherheitszertifizierung und der ENISA zusammenzuarbeiten, um bewährte Verfahren und Informationen über wichtige Entwicklungen im Bereich der Cybersicherheitszertifizierung auszutauschen und auf eine einheitliche Auslegung der derzeit geltenden Evaluierungskriterien und -methoden hinzuarbeiten, indem sie unter anderem eine harmonisierte Dokumentation verwendet, die den in Anhang I aufgeführten Sachstandsdokumenten gleichwertig ist;

b)

sie haben eine unabhängige Akkreditierungsstelle, die Akkreditierungen nach Normen durchführt, die den in der Verordnung (EG) Nr. 765/2008 genannten Normen gleichwertig sind;

c)

sie gehen die Verpflichtung ein, dass die Evaluierungs- und Zertifizierungsverfahren ordnungsgemäß und professionell durchgeführt werden und dass dabei die in dieser Verordnung, insbesondere in Artikel 3, genannten internationalen Normen beachtet werden;

d)

sie sind in der Lage, bislang nicht erkannte Schwachstellen zu melden, und haben ein festgelegtes, geeignetes Verfahren für das Schwachstellenmanagement und die Offenlegung von Schwachstellen;

e)

sie haben festgelegte Verfahren, die eine wirksame Einreichung und Bearbeitung von Beschwerden ermöglichen und dem Beschwerdeführer einen wirksamen Rechtsbehelf bieten;

f)

sie schaffen einen Mechanismus für die Zusammenarbeit mit anderen Stellen der Union und der Mitgliedstaaten, die für die Cybersicherheitszertifizierung gemäß dieser Verordnung zuständig sind, einschließlich des Austauschs von Informationen über eine mögliche Nichtkonformität von Zertifikaten, der Beobachtung einschlägiger Entwicklungen im Bereich der Zertifizierung und der Gewährleistung eines gemeinsamen Herangehens an die Aufrechterhaltung und Überprüfung der Zertifizierung.

(4) Zusätzlich zu den in Absatz 3 genannten Bedingungen kann ein in Absatz 1 genanntes Abkommen über die gegenseitige Anerkennung, das sich auf die Vertrauenswürdigkeitsstufe „hoch” erstreckt, nur dann mit Drittländern geschlossen werden, wenn auch die folgenden Bedingungen erfüllt sind:

a)

Das Drittland hat eine unabhängige und öffentliche Behörde für die Cybersicherheitszertifizierung, die Evaluierungstätigkeiten selbst durchführt oder deren Durchführung delegiert, die erforderlich sind, um eine Zertifizierung auf der Vertrauenswürdigkeitsstufe „hoch” zu ermöglichen, die den Anforderungen und Verfahren gleichwertig ist, die in der vorliegenden Verordnung und in der Verordnung (EU) 2019/881 für nationale Cybersicherheitsbehörden festgelegt sind;

b)

mit dem Abkommen über die gegenseitige Anerkennung wird ein gemeinsamer Mechanismus geschaffen, der einer gegenseitigen Beurteilung bei der EUCC-Zertifizierung gleichwertig ist, um den Austausch von Verfahren zu fördern und bei der Evaluierung und Zertifizierung auftretende Probleme gemeinsam zu lösen.