IV.1

Kontinuität der Vertrauenswürdigkeit: Anwendungsbereich

1.

Die folgenden Anforderungen an die Kontinuität der Vertrauenswürdigkeit gelten für Aufrechterhaltungstätigkeiten im Zusammenhang mit

a)

einer Neubewertung, wenn ein unverändert zertifiziertes IKT-Produkt seinen Sicherheitsanforderungen noch genügt,

b)

einer Evaluierung der Auswirkungen von Änderungen an einem zertifizierten IKT-Produkt auf dessen Zertifizierung,

c)

der Anwendung von Patches nach einem bewerteten Patchverwaltungsprozess, sofern dies Teil der Zertifizierung ist,

d)

der Überprüfung der Lebenszyklusmanagement- oder Produktionsprozesse des Zertifikatsinhabers.

2.

Der Inhaber eines EUCC-Zertifikats kann die Überprüfung des Zertifikats beantragen, wenn

a)

das EUCC-Zertifikat innerhalb der nächsten neun Monate abläuft,

b)

das zertifizierte IKT-Produkt oder ein anderer Faktor, der sich auf dessen Sicherheitsfunktionen auswirken könnte, geändert worden ist,

c)

der Zertifikatsinhaber beantragt, dass die Schwachstellenbewertung erneut durchgeführt wird, um die Vertrauenswürdigkeit des EUCC-Zertifikats in Bezug auf die Widerstandsfähigkeit des IKT-Produkts gegen aktuelle Cyberangriffe erneut zu bestätigen.

IV.2

Neubewertung

1.

Wenn die Auswirkungen von Änderungen im Bedrohungsumfeld eines unveränderten zertifizierten IKT-Produkts zu bewerten sind, wird die Neubewertung bei der Zertifizierungsstelle beantragt.

2.

Die Neubewertung wird von derselben ITSEF durchgeführt, die an der vorherigen Evaluierung beteiligt war, und alle noch gültigen Ergebnisse werden dabei weiterverwendet. Schwerpunkt der Evaluierung sind die Tätigkeiten in Bezug auf die Vertrauenswürdigkeit, die möglicherweise vom veränderten Bedrohungsumfeld des zertifizierten IKT-Produkts betroffen sind, insbesondere die relevante AVA_VAN-Familie sowie zusätzlich der Lebenszyklus der Vertrauenswürdigkeit (ALC), wofür erneut ausreichende Belege für die Aufrechterhaltung der Entwicklungsumgebung zu sammeln sind.

3.

Die ITSEF beschreibt die Änderungen und die Einzelheiten der Ergebnisse der Neubewertung in einer Aktualisierung des vorherigen technischen Evaluierungsberichts.

4.

Die Zertifizierungsstelle überprüft den aktualisierten technischen Evaluierungsbericht und erstellt einen Neubewertungsbericht. Der Status des ursprünglichen Zertifikats wird danach gemäß Artikel 13 oder Artikel 19 geändert. Ist das Neubewertungsverfahren erfolgreich, gilt Artikel 13 Absatz 2 Buchstabe a oder c im Falle der Zertifizierung eines Produkts und Artikel 19 Absatz 2 Buchstabe a oder c im Falle der Zertifizierung eines Schutzprofils. Ist das Neubewertungsverfahren nicht erfolgreich, gilt Artikel 13 Absatz 2 Buchstabe b oder d im Falle der Zertifizierung eines Produkts und Artikel 19 Absatz 2 Buchstabe b oder d im Falle der Zertifizierung eines Schutzprofils.

5.

Der Neubewertungsbericht und das aktualisierte Zertifikat werden der nationalen Behörde für die Cybersicherheitszertifizierung und der ENISA zur Veröffentlichung auf ihrer Website zur Cybersicherheitszertifizierung übermittelt.

IV.3

Änderungen an einem zertifizierten IKT-Produkt — Aufrechterhaltung und erneute Evaluierung

1.

Wenn Änderungen an einem zertifizierten IKT-Produkt vorgenommen wurden und der Zertifikatsinhaber das Zertifikat aufrechterhalten möchte, muss er der Zertifizierungsstelle einen Auswirkungsanalysebericht vorlegen.

2.

Der Auswirkungsanalysebericht muss Folgendes enthalten:

a)

eine Einleitung mit den erforderlichen Angaben zur Zuordnung des Auswirkungsanalyseberichts und des geänderten Evaluierungsgegenstands,

b)

eine Beschreibung der Änderungen am Produkt,

c)

die Angabe der betroffenen Entwicklernachweise,

d)

eine Beschreibung der Änderungen der Entwicklernachweise,

e)

die Ergebnisse und Schlussfolgerungen zu den Auswirkungen auf die Vertrauenswürdigkeit für jede einzelne Änderung.

3.

Die Zertifizierungsstelle prüft die im Auswirkungsanalysebericht beschriebenen Änderungen, um deren Auswirkungen auf die Vertrauenswürdigkeit des zertifizierten Evaluierungsgegenstands zu validieren, wie in den Schlussfolgerungen des Auswirkungsanalyseberichts vorgeschlagen.

4.

Im Anschluss an die Prüfung bestimmt die Zertifizierungsstelle das Ausmaß einer Änderung je nach ihren Auswirkungen auf die im EUCC-Zertifikat ausgedrückte Vertrauenswürdigkeit als geringfügig oder erheblich.

5.

Wenn die Zertifizierungsstelle bestätigt, dass die Änderungen geringfügig sind, wird für das geänderte IKT-Produkt kein neues Zertifikat gemäß Artikel 13 Absatz 2 Buchstabe a oder Artikel 19 Absatz 2 Buchstabe a ausgestellt und der ursprüngliche Zertifizierungsbericht durch einen Aufrechterhaltungsbericht ergänzt.

5a.

Bei Änderungen der Vertrauenswürdigkeitsmaßnahmen in der Entwicklungsumgebung, einschließlich der Hinzufügung von Anforderungen an die Vertrauenswürdigkeit der CC ALC_FLR-Familie (Mängelbeseitigung), kann die Zertifizierungsstelle die ITSEF auffordern, eine Teilevaluierung der betreffenden Vertrauenswürdigkeitsmaßnahmen durchzuführen. Die ITSEF muss einen technischen Bericht über die Teilevaluierung erstellen, auf dessen Grundlage die Zertifizierungsstelle bestätigt, dass die Änderungen geringfügig oder erheblich sind. Wenn die Zertifizierungsstelle bestätigt, dass die Änderungen geringfügig sind, findet Abschnitt IV.3 Nummer 5 Anwendung. Wenn die Zertifizierungsstelle bestätigt, dass die Änderungen erheblich sind, findet Abschnitt IV.3 Nummer 7 Anwendung.

6.

Der in Nummer 5 genannte Aufrechterhaltungsbericht wird der ENISA zur Veröffentlichung auf ihrer Website zur Cybersicherheitszertifizierung übermittelt.

7.

Werden die Änderungen als erheblich bestätigt, wird eine erneute Evaluierung auf der Grundlage der vorherigen Evaluierung durchgeführt, wobei alle noch gültigen Ergebnisse der vorherigen Evaluierung weiterverwendet werden.

8.

Nach Abschluss der Evaluierung des geänderten Evaluierungsgegenstands erstellt die ITSEF einen neuen technischen Evaluierungsbericht. Die Zertifizierungsstelle überprüft den aktualisierten technischen Evaluierungsbericht und stellt gegebenenfalls ein neues Zertifikat mit einem neuen Zertifizierungsbericht aus.

9.

Das neue Zertifikat und der neue Zertifizierungsbericht werden der ENISA zur Veröffentlichung übermittelt.

IV.4

Patchverwaltung

1.

Ein Patchverwaltungsverfahren gibt einen strukturierten Prozess zur Aktualisierung eines zertifizierten IKT-Produkts vor. Das Patchverwaltungsverfahren einschließlich des vom Zertifizierungsantragsteller in das IKT-Produkt implementierten Mechanismus kann nach der Zertifizierung des IKT-Produkts unter der Verantwortung der Konformitätsbewertungsstelle angewandt werden.

2.

Der Zertifizierungsantragsteller kann in die Zertifizierung des IKT-Produkts einen Patchmechanismus als Teil eines in dem IKT-Produkt umgesetzten zertifizierten Verwaltungsverfahrens einbeziehen, wenn eine der folgenden Bedingungen erfüllt ist:

a)

Die vom Patch betroffenen Funktionen gehören nicht zum Evaluierungsgegenstand des zertifizierten IKT-Produkts,

b)

der Patch betrifft eine vorab festgelegte geringfügige Änderung des zertifizierten IKT-Produkts,

c)

der Patch betrifft eine bestätigte Schwachstelle, die sich kritisch auf die Sicherheit des zertifizierten IKT-Produkts auswirkt.

3.

Falls der Patch eine erhebliche Änderung des Evaluierungsgegenstands des zertifizierten IKT-Produkts in Bezug auf eine bislang nicht erkannte Schwachstelle betrifft, die sich nicht kritisch auf die Sicherheit des IKT-Produkts auswirkt, werden die Bestimmungen des Artikels 13 angewandt.

4.

Das Patchverwaltungsverfahren für ein IKT-Produkt besteht aus

a)

dem Prozess für die Entwicklung und Bereitstellung des Patches für das IKT-Produkt,

b)

dem technischen Mechanismus und den technischen Funktionen für die Übernahme des Patches in das IKT-Produkt,

c)

einer Reihe von Evaluierungstätigkeiten in Bezug auf die Wirksamkeit und Leistungsfähigkeit des technischen Mechanismus.

5.

Während der Zertifizierung des IKT-Produkts

a)

muss der Zertifizierungsantragsteller für das IKT-Produkt die Beschreibung des Patchverwaltungsverfahren vorlegen;

b)

muss die ITSEF nachprüfen, ob

1)

der Entwickler die Patchmechanismen im Einklang mit dem zur Zertifizierung eingereichten Patchverwaltungsverfahren in das IKT-Produkt integriert hat,

2)

der Evaluierungsgegenstand so abgegrenzt worden ist, dass die Änderungen an den eingegrenzten Prozessen die Sicherheit des Evaluierungsgegenstands nicht beeinträchtigen,

3)

der technische Patchmechanismus im Einklang mit den Bestimmungen dieses Abschnitts und den Angaben des Antragstellers funktioniert;

c)

muss die Zertifizierungsstelle das Ergebnis der Bewertung des Patchverwaltungsverfahren in den Zertifizierungsbericht aufnehmen.

6.

Der Inhaber des Zertifikats kann den nach dem zertifizierten Patchverwaltungsverfahren erstellten Patch auf das betreffende zertifizierte IKT-Produkt anwenden und muss in den folgenden Fällen innerhalb von fünf Arbeitstagen die folgenden Schritte unternehmen:

a)

in dem in Nummer 2 Buchstabe a genannten Fall den betreffenden Patch der Zertifizierungsstelle melden, die das entsprechende EUCC-Zertifikat nicht ändert;

b)

in dem in Nummer 2 Buchstabe b genannten Fall den betreffenden Patch der ITSEF zur Prüfung vorlegen. Die ITSEF unterrichtet hiervon die Zertifizierungsstelle nach Erhalt des Patches, woraufhin die Zertifizierungsstelle geeignete Maßnahmen zur Ausstellung einer neuen Version des betreffenden EUCC-Zertifikats und zur Aktualisierung des Zertifizierungsberichts ergreift;

c)

in dem in Nummer 2 Buchstabe c genannten Fall den betreffenden Patch der ITSEF zur erforderlichen erneuten Evaluierung vorlegen, kann den Patch aber parallel dazu anwenden. Die ITSEF unterrichtet hiervon die Zertifizierungsstelle, die daraufhin mit den entsprechenden Zertifizierungstätigkeiten beginnt.