Artikel 7 VO (EU) 2024/482

(1) Ein zur Zertifizierung vorgelegtes IKT-Produkt wird zumindest anhand folgender Elemente evaluiert:

a)

zutreffende Elemente der in Artikel 3 genannten Normen;

b)

Klassen von Anforderungen an die sicherheitsbezogene Vertrauenswürdigkeit für die Schwachstellenbewertung und die unabhängige Funktionsprüfung gemäß den in Artikel 3 genannten Evaluierungsnormen;

c)

Risiken im Zusammenhang mit der beabsichtigten Verwendung der betreffenden IKT-Produkte gemäß Artikel 52 der Verordnung (EU) 2019/881 und deren Sicherheitsfunktionen hinsichtlich der in Artikel 51 der Verordnung (EU) 2019/881 festgelegten Sicherheitsziele;

d)

anwendbare Sachstandsdokumente, die in Anhang I aufgeführt sind;

e)

anwendbare zertifizierte Schutzprofile, die in Anhang II aufgeführt sind.

(2) In hinreichend begründeten Ausnahmefällen kann eine Konformitätsbewertungsstelle beantragen, von der Anwendung des einschlägigen Sachstandsdokuments abzusehen. In solchen Fällen unterrichtet die Konformitätsbewertungsstelle die nationale Behörde für die Cybersicherheitszertifizierung und legt ihr eine hinreichende Begründung für ihren Antrag vor. Die nationale Behörde für die Cybersicherheitszertifizierung prüft die Begründung der beantragten Ausnahme und genehmigt diese, falls sie diese für gerechtfertigt hält. Bis zur Entscheidung der nationalen Behörde für die Cybersicherheitszertifizierung darf die Konformitätsbewertungsstelle kein Zertifikat ausstellen. Die nationale Behörde für die Cybersicherheitszertifizierung teilt die genehmigte Ausnahme unverzüglich der Europäischen Gruppe für die Cybersicherheitszertifizierung mit, die eine Stellungnahme dazu abgeben kann. Die nationale Behörde für die Cybersicherheitszertifizierung muss der Stellungnahme der Europäischen Gruppe für die Cybersicherheitszertifizierung weitestgehend Rechnung tragen.

(3) Die Zertifizierung von IKT-Produkten auf AVA_VAN-Stufe 4 oder 5 ist nur in folgenden Szenarios möglich:

a)

Wenn das IKT-Produkt zu einem der in Anhang I aufgeführten technischen Bereiche gehört, wird es nach dem betreffenden Sachstandsdokument dieses technischen Bereiches evaluiert,

b)

wenn das IKT-Produkt zu einer Kategorie von IKT-Produkten gehört, die von einem zertifizierten Schutzprofil erfasst wird, das auch für die AVA_VAN-Stufe 4 oder 5 gilt, und das als Sachstandsdokument in Anhang II aufgeführt ist, wird es nach der für dieses Schutzprofil angegebenen Evaluierungsmethodik evaluiert,

c)

wenn die Buchstaben a und b dieses Absatzes nicht zutreffen und die Aufnahme eines technischen Bereichs in Anhang I bzw. eines zertifizierten Schutzprofils in Anhang II in absehbarer Zukunft unwahrscheinlich ist, und nur in hinreichend begründeten Ausnahmefällen unter den in Absatz 4 genannten Bedingungen.

(4) Wenn eine Konformitätsbewertungsstelle der Auffassung ist, dass ein hinreichend begründeter Ausnahmefall gemäß Absatz 3 Buchstabe c vorliegt, unterrichtet sie die nationale Behörde für die Cybersicherheitszertifizierung von der beabsichtigten Zertifizierung und legt ihr eine Begründung und eine vorgeschlagene Bewertungsmethode vor. Die nationale Behörde für die Cybersicherheitszertifizierung prüft die Begründung der Ausnahme und genehmigt oder ändert die von der Konformitätsbewertungsstelle anzuwendende Bewertungsmethode, wenn sie dies für gerechtfertigt hält. Bis zur Entscheidung der nationalen Behörde für die Cybersicherheitszertifizierung darf die Konformitätsbewertungsstelle kein Zertifikat ausstellen. Die nationale Behörde für die Cybersicherheitszertifizierung teilt die beabsichtigte Zertifizierung unverzüglich der Europäischen Gruppe für die Cybersicherheitszertifizierung mit, die eine Stellungnahme dazu abgeben kann. Die nationale Behörde für die Cybersicherheitszertifizierung muss der Stellungnahme der Europäischen Gruppe für die Cybersicherheitszertifizierung weitestgehend Rechnung tragen.

(5) Falls ein IKT-Produkt als zusammengesetztes Produkt nach den betreffenden Sachstandsdokumenten evaluiert wird, übermittelt die ITSEF, die die Evaluierung des zugrunde liegenden IKT-Produkts durchgeführt hat, die betreffenden Informationen an die ITSEF, die die Evaluierung des zusammengesetzten IKT-Produkts durchführt.