Artikel 45 VO (EU) 2024/482

(1) Eine Zertifizierungsstelle, die EUCC-Zertifikate auf der Vertrauenswürdigkeitsstufe „hoch” ausstellt, wird regelmäßig, mindestens jedoch alle fünf Jahre, einer gegenseitigen Beurteilung unterzogen. Die verschiedenen Arten der gegenseitigen Beurteilung sind in Anhang VI aufgeführt.

(2) Die Europäische Gruppe für die Cybersicherheitszertifizierung erstellt und pflegt einen Zeitplan für gegenseitige Beurteilungen, damit eine solche Periodizität eingehalten wird. Außer in hinreichend begründeten Fällen werden gegenseitige Beurteilungen vor Ort durchgeführt.

(3) Die gegenseitige Beurteilung kann auf Nachweise gestützt werden, die im Rahmen früherer gegenseitiger Beurteilungen oder gleichwertiger Verfahren einer selbst der gegenseitigen Beurteilung unterzogenen Zertifizierungsstelle oder einer nationalen Behörde für die Cybersicherheitszertifizierung gesammelt wurden, sofern

a)

die Ergebnisse nicht älter als fünf Jahre sind;

b)

den Ergebnissen eine Beschreibung des für das betreffende System eingerichteten Verfahrens der gegenseitigen Beurteilung beigefügt wird, falls sich die Ergebnisse auf eine gegenseitige Beurteilung beziehen, die im Rahmen eines anderen Zertifizierungssystems durchgeführt wurde;

c)

aus dem in Artikel 47 genannten Bericht über die gegenseitige Beurteilung hervorgeht, welche Ergebnisse mit bzw. ohne weitere Bewertung weiterverwendet wurden.

(4) Wenn sich eine gegenseitige Beurteilung auf einen technischen Bereich erstreckt, muss auch die betreffende ITSEF beurteilt werden.

(5) Die der gegenseitigen Beurteilung unterzogene Zertifizierungsstelle und erforderlichenfalls die nationale Behörde für die Cybersicherheitszertifizierung sorgen dafür, dass dem Beurteilungsteam alle relevanten Informationen zur Verfügung gestellt werden.

(6) Die gegenseitige Beurteilung wird von einem gemäß Anhang VI gebildeten Beurteilungsteam durchgeführt.