VI.1

Gegenstand der gegenseitigen Beurteilung

1.

Folgende Arten der gegenseitigen Beurteilung sind vorgesehen:

a)

Beurteilungsart 1: eine Zertifizierungsstelle führt Zertifizierungstätigkeiten auf AVA_VAN.3-Stufe durch;

b)

Beurteilungsart 2: eine Zertifizierungsstelle führt Zertifizierungstätigkeiten in Bezug auf einen technischen Bereich durch, der in Anhang I als Sachstandsdokument aufgeführt ist;

c)

Beurteilungsart 3: eine Zertifizierungsstelle führt Zertifizierungstätigkeiten oberhalb der AVA_VAN.3-Stufe unter Verwendung eines Schutzprofils durch, das in Anhang II oder III als Sachstandsdokument aufgeführt ist.

2.

Die beurteilte Zertifizierungsstelle legt eine Liste der zertifizierten IKT-Produkte vor, die für die Überprüfung durch das Beurteilungsteam nach den folgenden Regeln infrage kommen:

a)

Die fraglichen Produkte fallen in den technischen Geltungsbereich der Zulassung der Zertifizierungsstelle; zu analysieren sind im Rahmen der gegenseitigen Beurteilung mindestens zwei verschiedene Produktevaluierungen auf der Vertrauenswürdigkeitsstufe „hoch” sowie ein Schutzprofil, falls die Zertifizierungsstelle ein Zertifikat auf der Vertrauenswürdigkeitsstufe „hoch” ausgestellt hat;

b)

in der Beurteilungsart 2 legt die Zertifizierungsstelle mindestens ein Produkt pro technischen Bereich und pro betroffener ITSEF vor;

c)

in der Beurteilungsart 3 wird mindestens ein infrage kommendes Produkt anhand eines anwendbaren und relevanten Schutzprofils überprüft.

VI.2

Beurteilungsteam

1.

Das Beurteilungsteam besteht aus mindestens zwei Sachverständigen, die von unterschiedlichen Zertifizierungsstellen, die Zertifikate der Vertrauenswürdigkeitsstufe „hoch” ausstellen, aus verschiedenen Mitgliedstaaten ausgewählt werden. Die Sachverständigen sollten einschlägiges Fachwissen in Bezug auf die in Artikel 3 genannten Normen und Sachstandsdokumente, die für die gegenseitige Beurteilung von Belang sind, nachweisen.

2.

Im Falle der Delegierung der Zertifikatsausstellung oder vorherigen Zustimmung zur Zertifikatsausstellung gemäß Artikel 56 Absatz 6 der Verordnung (EU) 2019/881 wird ein Sachverständiger der für die betreffende Zertifizierungsstelle zuständigen nationalen Behörde für die Cybersicherheitszertifizierung zusätzlich zu dem gemäß Absatz 1 dieses Abschnitts ausgewählten Beurteilungsteam hinzugezogen.

3.

Für die Beurteilungsart 2 werden die Teammitglieder aus Zertifizierungsstellen ausgewählt, die für den betreffenden technischen Bereich zugelassen sind.

4.

Jedes Mitglied des Beurteilungsteams muss über mindestens zwei Jahre Erfahrung mit der Durchführung von Zertifizierungstätigkeiten in einer Zertifizierungsstelle verfügen.

5.

Für die Beurteilungsart 2 oder 3 muss jedes Mitglied des Beurteilungsteams mindestens zwei Jahre Erfahrung mit der Durchführung von Zertifizierungstätigkeiten im betreffenden technischen Bereich oder in Bezug auf das betreffende Schutzprofil sowie bewährte Sachkenntnis und eine Beteiligung an der Zulassung einer ITSEF nachweisen.

6.

Die nationale Behörde für die Cybersicherheitszertifizierung, die die beurteilte Zertifizierungsstelle überwacht und beaufsichtigt, und mindestens eine andere nationale Behörde für die Cybersicherheitszertifizierung, deren Zertifizierungsstelle keiner gegenseitigen Beurteilung unterzogen wird, nehmen als Beobachter an der gegenseitigen Beurteilung teil. Die ENISA kann ebenfalls als Beobachterin an der gegenseitigen Beurteilung teilnehmen.

7.

Die Zusammensetzung des Beurteilungsteams wird der beurteilten Zertifizierungsstelle mitgeteilt. In begründeten Fällen kann sie Einspruch gegen die Zusammensetzung des Beurteilungsteams einlegen und deren Überprüfung beantragen.