Artikel 8 VO (EU) 2024/482

(1) Wer eine Zertifizierung im Rahmen des EUCC-Systems beantragt, muss der Zertifizierungsstelle und der ITSEF alle für die Zertifizierungs- und Evaluierungstätigkeiten erforderlichen Informationen vorlegen oder anderweitig zur Verfügung stellen.

(2) Zu den Absatz 1 genannten Informationen gehören alle einschlägigen Nachweise gemäß den Abschnitten über Aktionselemente für Entwickler (Developer action elements) im geeigneten Format nach Maßgabe der Abschnitte über Inhalt und Darstellung von Nachweiselementen (Content and presentation of evidence element) der Gemeinsamen Kriterien und der Gemeinsamen Evaluierungsmethodik für die gewählte Vertrauenswürdigkeitsstufe und die zugehörigen Anforderungen an die sicherheitsbezogene Vertrauenswürdigkeit. Die Nachweise umfassen erforderlichenfalls Einzelheiten zu dem IKT-Produkt und seinem Quellcode gemäß dieser Verordnung, vorbehaltlich bestehender Vorkehrungen gegen eine unbefugte Offenlegung.

(3) Zertifizierungsantragsteller können der Zertifizierungsstelle geeignete Evaluierungsergebnisse aus einer vorherigen Zertifizierung vorlegen, die erfolgt ist gemäß

a)

der vorliegenden Verordnung,

b)

einem anderen europäischen System für die Cybersicherheitszertifizierung, das gemäß Artikel 49 der Verordnung (EU) 2019/881 angenommen wurde,

c)

einem in Artikel 49 der vorliegenden Verordnung genannten System.

(4) Wenn die Evaluierungsergebnisse für ihre Aufgaben relevant sind, kann die ITSEF die vorgelegten Evaluierungsergebnisse weiterverwenden, sofern diese den geltenden Anforderungen entsprechen und ihre Echtheit bestätigt worden ist.

(5) Wenn die Zertifizierungsstelle erlaubt, dass das Produkt einer Zertifizierung als zusammengesetztes Produkt unterzogen wird, stellt der Zertifizierungsantragsteller der Zertifizierungsstelle und der ITSEF alle jeweils erforderlichen Elemente gemäß dem Sachstandsdokument zur Verfügung.

(6) Außerdem übermittelt der Zertifizierungsantragsteller der Zertifizierungsstelle und der ITSEF folgende Informationen:

a)

den Link zu seiner Website, die die in Artikel 55 der Verordnung (EU) 2019/881 genannten zusätzlichen Informationen über die Cybersicherheit enthält;

b)

eine Beschreibung der Verfahren des Antragstellers für das Schwachstellenmanagement und die Offenlegung von Schwachstellen.

(7) Alle in diesem Artikel genannten einschlägigen Unterlagen müssen von der Zertifizierungsstelle, der ITSEF und dem Antragsteller für einen Zeitraum von fünf Jahren nach Ablauf des Zertifikats aufbewahrt werden.