V.1

Zertifizierungsbericht

1.

Auf der Grundlage der von der ITSEF vorgelegten technischen Evaluierungsberichte erstellt die Zertifizierungsstelle einen Zertifizierungsbericht, der zusammen mit dem entsprechenden EUCC-Zertifikat und Sicherheitsziel veröffentlicht wird.

2.

Der Zertifizierungsbericht enthält detaillierte und praktische Informationen über das IKT-Produkt und über den sicheren Einsatz des IKT-Produkts. Er umfasst daher alle öffentlich zugänglichen und mitteilbaren Informationen, die für Nutzer und interessierte Kreise von Bedeutung sind. Auf öffentlich zugängliche und mitteilbare Informationen kann im Zertifizierungsbericht verwiesen werden.

3.

Der Zertifizierungsbericht muss zumindest die folgenden Informationen enthalten:

a)

Zusammenfassung,

b)

Angabe des IKT-Produkts,

c)

Kontaktangaben in Bezug auf die Evaluierung des IKT-Produkts,

d)

Sicherheitskonzepte,

e)

Annahmen und Klarstellung des Anwendungsbereichs,

f)

Informationen zur Architektur,

g)

zusätzliche Cybersicherheitsinformationen, sofern zutreffend,

h)

Zusammenfassung der Evaluierung des IKT-Produkts und evaluierte Konfiguration,

i)

Ergebnisse der Evaluierung und Angaben zum Zertifikat,

j)

gegebenenfalls Bemerkungen und Empfehlungen,

k)

gegebenenfalls Anhänge,

l)

Verweis auf das Sicherheitsziel des zu zertifizierenden IKT-Produkts,

m)

falls verfügbar, mit dem System verbundenes Siegel oder Kennzeichen,

n)

gegebenenfalls ein Glossar,

o)

Literaturverzeichnis.

4.

Die in Absatz 3 Buchstabe a genannte Zusammenfassung ist eine kurze Zusammenfassung des gesamten Zertifizierungsberichts. Sie enthält einen klaren und prägnanten Überblick über die Evaluierungsergebnisse mit folgenden Informationen:

a)

Name des evaluierten IKT-Produkts,

b)

Name der ITSEF, die die Evaluierung durchgeführt hat,

c)

Abschlussdatum der Evaluierung,

d)

Datum der Ausstellung des Zertifikats,

e)

Datum der Ausstellung des ursprünglichen Zertifikats, falls zutreffend,

f)

Geltungsdauer,

g)

eindeutige Kennung des Zertifikats gemäß Artikel 11,

h)

Kurzbeschreibung der Ergebnisse des Zertifizierungsberichts, einschließlich:

i)

Version und gegebenenfalls Ausgabedatum der bei der Evaluierung angewandten Gemeinsamen Kriterien,

ii)

Vertrauenswürdigkeitspaket oder Liste der sicherheitsbezogenen Vertrauenswürdigkeitskomponenten der Gemeinsamen Kriterien (CC), bei der Evaluierung verwendete AVA_VAN-Stufe und entsprechende Vertrauenswürdigkeitsstufe gemäß Artikel 52 der Verordnung (EU) 2019/881, auf die sich das EUCC-Zertifikat bezieht,

iii)

das/die Schutzprofil(e), mit dem/denen das IKT-Produkt die Konformität beansprucht,

iv)

Verweis auf das Sicherheitskonzept des evaluierten IKT-Produkts,

v)

gegebenenfalls Haftungsausschluss/Haftungsausschlüsse.

5.

Das evaluierte IKT-Produkt muss aus den Angaben gemäß Nummer 3 Buchstabe b eindeutig hervorgehen, einschließlich der folgenden Informationen:

a)

eindeutige Kennung des evaluierten IKT-Produkts,

b)

Aufzählung der Komponenten des IKT-Produkts, die Teil der Evaluierung sind, einschließlich der Versionsnummer jeder einzelnen Komponente,

c)

Verweis auf zusätzliche Anforderungen an die Betriebsumgebung des zertifizierten IKT-Produkts.

6.

Die Kontaktangaben gemäß Nummer 3 Buchstabe c umfassen mindestens die folgenden Angaben:

a)

Name des Entwicklers,

b)

Name und Kontaktangaben des Inhabers des EUCC-Zertifikats,

c)

Name der Zertifizierungsstelle, die das Zertifikat ausgestellt hat,

d)

zuständige nationale Behörde für die Cybersicherheitszertifizierung,

e)

Name der ITSEF, die die Evaluierung durchgeführt hat, und, falls zutreffend, Liste der Unterauftragnehmer.

7.

Das Sicherheitskonzept gemäß Nummer 3 Buchstabe d beinhaltet die Beschreibung des Sicherheitskonzepts des IKT-Produkts als Gesamtheit der Sicherheitsdienste sowie der Konzepte oder Vorschriften, die das bewertete IKT-Produkt durchsetzen oder einhalten muss. Es muss außerdem folgende Angaben enthalten:

a)

eine Beschreibung der Verfahren des Zertifikatsinhabers für das Schwachstellenmanagement und die Offenlegung von Schwachstellen, die ausschließlich Informationen enthält, die öffentlich zugänglich gemacht werden können;

b)

das Konzept des Zertifikatsinhabers zur Gewährleistung der Kontinuität, falls zutreffend, einschließlich der Beschreibung der Lebenszyklusmanagement- oder Produktionsprozesse des Zertifikatsinhabers gemäß Anhang IV Abschnitt IV.1;

c)

falls zutreffend, das Bestehen eines Patchverwaltungsverfahrens und das Ergebnis seiner Bewertung gemäß Anhang IV Abschnitt IV.4.

8.

Die Annahmen und die Klarstellung des Anwendungsbereichs gemäß Nummer 3 Buchstabe e muss umfassende Informationen über die Umstände und Ziele im Zusammenhang mit der beabsichtigten Verwendung des Produkts gemäß Artikel 7 Absatz 1 Buchstabe c sowie Folgendes enthalten:

a)

Annahmen in Bezug auf Verwendung und Einsatz des IKT-Produkts in Form von Mindestanforderungen, z. B. dass eine ordnungsgemäße Installation und Konfiguration mit geeigneter Hardware erfolgt,

b)

Annahmen in Bezug auf die Umgebung für den ordnungsgemäßen Betrieb des IKT-Produkts,

c)

Beschreibung etwaiger Bedrohungen für das IKT-Produkt, denen die evaluierten Sicherheitsfunktionen des Produkts je nach der beabsichtigten Verwendung nicht entgegenwirken, sofern dies für einen potenziellen IKT-Produktnutzer als relevant erachtet wird.

Die in Unterabsatz 1 genannten Informationen müssen so klar und verständlich wie möglich sein, damit die Nutzer des zertifizierten IKT-Produkts fundierte Entscheidungen über die mit dessen Verwendung verbundenen Risiken treffen können.

9.

Die Informationen zur Architektur gemäß Nummer 3 Buchstabe f müssen eine allgemeine Beschreibung des IKT-Produkts und seiner Hauptkomponenten auf der Grundlage der in den Gemeinsamen Kriterien für die Vertrauenswürdigkeitsfamilie Development — TOE-Design (Entwicklung — Konzeption des Evaluierungsgegenstands) (ADV_TDS) festgelegten Vorgaben enthalten.

10.

Die zusätzlichen Cybersicherheitsinformationen gemäß Nummer 3 Buchstabe g müssen den Link zur Website des Inhabers des EUCC-Zertifikats gemäß Artikel 55 der Verordnung (EU) 2019/881 enthalten.

11.

Die Evaluierung und Konfiguration des IKT-Produkts gemäß Nummer 3 Buchstabe h müssen den Testaufwand sowohl des Entwicklers als auch des Evaluierers wiedergeben, einschließlich des Testansatzes, der Testkonfiguration und der Testtiefe. Sie enthalten zumindest die folgenden Angaben:

a)

Angabe der verwendeten Vertrauenswürdigkeitskomponenten aus den in Artikel 3 genannten Normen;

b)

Version des Sachstandsdokuments und weitere Sicherheitsbewertungskriterien, die bei der Evaluierung verwendet werden;

c)

Einstellungen und Konfigurationen des für die Tests und die Schwachstellenanalyse verwendeten Evaluierungsgegenstands;

d)

alle verwendeten Schutzprofile, einschließlich der folgenden Angaben: Name, Version, Datum und Zertifikat des Schutzprofils.

12.

Die Ergebnisse der Evaluierung und die Angaben zum Zertifikat gemäß Nummer 3 Buchstabe i müssen Angaben zur erreichten Vertrauenswürdigkeitsstufe gemäß Artikel 4 der vorliegenden Verordnung und Artikel 52 der Verordnung (EU) 2019/881 enthalten.

13.

Die Bemerkungen und Empfehlungen gemäß Nummer 3 Buchstabe j dienen dazu, zusätzliche Informationen über die Evaluierungsergebnisse zu geben. Diese Bemerkungen und Empfehlungen können Mängel des IKT-Produkts betreffen, die bei der Evaluierung entdeckt wurden, oder die Form von Hinweisen auf Merkmale, die besonders nützlich sind, annehmen.

14.

Die Anhänge gemäß Nummer 3 Buchstabe k werden verwendet, um zusätzliche Informationen darzulegen, die für das Zielpublikum des Berichts nützlich sein können, aber aus logischer Sicht nicht in die vorgeschriebenen Abschnitte des Berichts passen, auch im Falle einer vollständigen Beschreibung des Sicherheitskonzepts.

15.

Das Sicherheitsziel gemäß Nummer 3 Buchstabe l bezieht sich auf das evaluierte Sicherheitsziel. Das evaluierte Sicherheitsziel wird zusammen mit dem Zertifizierungsbericht für die Zwecke der Veröffentlichung auf der in Artikel 50 Absatz 1 der Verordnung (EU) 2019/881 genannten Website bereitgestellt. Ist vor der Veröffentlichung eine Bereinigung des evaluierten Sicherheitsziels erforderlich, so erfolgt diese gemäß Anhang V Abschnitt V.2 dieser Verordnung.

16.

Die mit dem EUCC-System verknüpften Siegel oder Kennzeichen gemäß Nummer 3 Buchstabe m werden nach den Vorschriften und Verfahren des Artikels 11 in den Zertifizierungsbericht aufgenommen.

17.

Das Glossar gemäß Nummer 3 Buchstabe n wird verwendet, um die Lesbarkeit des Berichts zu verbessern, indem Definitionen von Akronymen oder Begriffen bereitgestellt werden, deren Bedeutung möglicherweise nicht ohne Weiteres ersichtlich ist.

18.

Das Literaturverzeichnis gemäß Nummer 3 Buchstabe o enthält Verweise auf alle bei der Erstellung des Zertifizierungsberichts verwendeten Dokumente und Unterlagen. Dazu gehören zumindest

a)

die Sicherheitsbewertungskriterien, die Sachstandsdokumente und weitere einschlägige Spezifikationen, die verwendet wurden,

b)

der technische Evaluierungsbericht,

c)

der technische Evaluierungsbericht für ein zusammengesetztes Produkt, falls zutreffend,

d)

die technische Referenzdokumentation,

e)

Sicherheitsleitlinien für Entwickler,

f)

Konfigurationsliste für Entwickler.

Um die Reproduzierbarkeit der Evaluierung zu gewährleisten, muss die gesamte Dokumentation eindeutig mit dem richtigen Ausgabedatum und der entsprechenden Versionsnummer gekennzeichnet sein.

V.2

Bereinigung eines Sicherheitsziels zur Veröffentlichung

1.

Das Sicherheitsziel, das gemäß Abschnitt VI.1 Nummer 1 in den Zertifizierungsbericht aufzunehmen ist bzw. auf das darin zu verweisen ist, kann durch die Entfernung oder Umschreibung proprietärer technischer Informationen bereinigt werden.

2.

Das daraus resultierende bereinigte Sicherheitsziel muss eine tatsächliche und vollständige Darstellung der Originalfassung sein. Das bedeutet, dass im bereinigten Sicherheitsziel keine Informationen weggelassen werden dürfen, die für das Verständnis der Sicherheitseigenschaften des Evaluierungsgegenstands und des Umfangs der Evaluierung erforderlich sind.

3.

Der Inhalt des bereinigten Sicherheitsziels muss den folgenden Mindestanforderungen genügen:

a)

Die Einleitung wird nicht bereinigt, da sie im Allgemeinen keine proprietären Informationen enthält;

b)

das bereinigte Sicherheitsziel hat keine andere eindeutige Kennung als die vollständige Originalfassung;

c)

die Beschreibung des Sicherheitsziels kann verkürzt werden, soweit sie proprietäre und detaillierte Informationen über das Sicherheitsziel enthält, die nicht veröffentlicht werden sollten;

d)

die Beschreibung der Sicherheitsumgebung des Evaluierungsziels (Annahmen, Bedrohungen, organisatorische Sicherheitsvorgaben) darf nicht verkürzt werden, soweit diese Informationen für das Verständnis des Umfangs der Evaluierung erforderlich sind;

e)

die Sicherheitsvorgaben werden nicht verkürzt, da alle Informationen öffentlich zugänglich gemacht werden müssen, um den Zweck des Sicherheitsziels und des Evaluierungsgegenstands verständlich zu machen;

f)

alle Sicherheitsanforderungen werden veröffentlicht. Anwendungshinweise können Aufschluss darüber geben, wie die funktionalen Anforderungen der Gemeinsamen Kriterien gemäß Artikel 3 zum Verständnis des Sicherheitsziels heranzuziehen sind;

g)

die zusammengefasste Spezifikation des Evaluierungsgegenstands enthält alle Sicherheitsfunktionen des Evaluierungsgegenstands, kann aber von zusätzlichen proprietären Informationen bereinigt werden;

h)

die auf den Evaluierungsgegenstand angewandten Schutzprofile müssen genannt werden;

i)

die Begründung kann bereinigt werden, um proprietäre Informationen zu entfernen.

4.

Auch wenn das bereinigte Sicherheitsziel nicht nach den in Artikel 3 genannten Evaluierungsnormen förmlich evaluiert wird, gewährleistet die Zertifizierungsstelle, dass es dem vollständigen evaluierten Sicherheitsziel entspricht, und verweist im Zertifizierungsbericht sowohl auf das vollständige als auch auf das bereinigte Sicherheitsziel.