Für einen individuellen Ausdruck passen Sie bitte die Einstellungen in der Druckvorschau Ihres Browsers an. Regelwerk, EU 2024, Datenschutz - EU Bund

Die Europäische Kommission -

gestützt auf den Vertrag über die Arbeitsweise der Europäischen Union,

gestützt auf die Verordnung (EU) 2019/881 des Europäischen Parlaments und des Rates vom 17. April 2019 über die ENISa (Agentur der Europäischen Union für Cybersicherheit) und über die Zertifizierung der Cybersicherheit von Informations- und Kommunikationstechnik und zur Aufhebung der Verordnung (EU) Nr. 526/2013 (Rechtsakt zur Cybersicherheit) ¹, insbesondere auf Artikel 49 Absatz 7,

in Erwägung nachstehender Gründe:

(1) In der Durchführungsverordnung (EU) 2024/482 der Kommission ² werden die Rollen, Vorschriften und Verpflichtungen sowie die Struktur des auf den Gemeinsamen Kriterien beruhenden europäischen Systems für die Cybersicherheitszertifizierung (EUCC) im Einklang mit dem in der Verordnung (EU) 2019/881 genannten europäischen Rahmen für die Cybersicherheitszertifizierung festgelegt.

(2) Die Durchführungsverordnung (EU) 2024/482 beruht auf etablierten internationalen Normen, nämlich den Gemeinsamen Kriterien und der Gemeinsamen Evaluierungsmethodik, die von der Internationalen Organisation für Normung (ISO) und der Internationalen Elektrotechnischen Kommission (IEC) gepflegt werden. In der Durchführungsverordnung (EU) 2024/482 wird auf ISO/IEC-Normen verwiesen, ohne jedoch die jeweils geltende Fassung dieser Normen anzugeben. Es sollte daher festgelegt werden, welche Fassung der Normen für Zertifikate gilt, die im Rahmen des EUCC-Systems ausgestellt werden.

(3) Die staatlichen Stellen, die durch die Anerkennungsvereinbarung für die nach den Gemeinsamen Kriterien ausgestellten Zertifikate auf dem Gebiet der IT-Sicherheit (Arrangement on the Recognition of Common Criteria Certificates in the field of IT Security, CCRA) zur Entwicklung der Gemeinsamen Kriterien und der Gemeinsamen Evaluierungsmethodik beigetragen haben, sind mit der ISO und der IEC gemeinsam Inhaber der Urheberrechte daran. Diese staatlichen Stellen behalten auch das Recht, sie zu nutzen. Angesichts der großen Bedeutung der sich aus der CCRa ergebenden Dokumente sollten diese auch als Grundlage für die Zertifizierung im Rahmen des EUCC-Systems dienen können.

(4) Die Gemeinsamen Kriterien und die Normen der Gemeinsamen Evaluierungsmethodik werden im Lichte der CCRa ausgelegt, die deren Umsetzung erleichtern soll und von den Einrichtungen zur Evaluierung der IT-Sicherheit (ITSEFs) und den Zertifizierungsstellen berücksichtigt werden kann.

(5) Internationale Normen in Bezug auf die Gemeinsamen Kriterien könnten überarbeitet werden. Im Interesse eines geordneten und rechtzeitigen Übergangs sollten Übergangsbestimmungen festgelegt werden, um Anbietern, ITSEFs und Zertifizierungsstellen sowie anderen einschlägigen Akteuren ausreichend Zeit für die erforderlichen Anpassungen einzuräumen. Solche Übergangsbestimmungen sollten in geeignetem Maße mit weltweiten Praktiken, wie den CCRA-Verfahren, im Einklang stehen.

(6) In der Durchführungsverordnung (EU) 2024/482 ist nicht festgelegt worden, bis wann eine IKT-Produktzertifizierung auf den früheren Fassungen der Gemeinsamen Kriterien und der Normen der Gemeinsamen Evaluierungsmethodik beruhen darf. Die technischen Bereiche und Schutzprofile, die in den Anhängen I, II und III der genannten Durchführungsverordnung aufgeführt werden, beruhen auf früheren Fassungen der Normen ISO/IEC 15408 und ISO/IEC 18045. In der Durchführungsverordnung (EU) 2024/482 sollte daher festgelegt werden, unter welchen Umständen die frühere Fassung der Gemeinsamen Kriterien und der Gemeinsamen Evaluierungsmethodik noch weiterhin gilt und wie der Übergang zur neuesten Fassung der internationalen Normen erfolgen soll.

(7) Während des Übergangszeitraums sollten sich die einschlägigen Akteure vorrangig mit der Aktualisierung der betreffenden technischen Bereiche und Schutzprofile befassen. In der Durchführungsverordnung (EU) 2024/482 sollte festgelegt werden, dass Sicherheitsziele, die auf einer früheren Fassung der Normen beruhen, im Einklang mit der im Rahmen der CCRa angenommenen Übergangsregelung bis zum 31. Dezember 2027 akzeptiert werden. Es ist jedoch zu beachten, dass die CCRA-Übergangsregelung für Erstevaluierungen von Produkten und Schutzprofilen gilt, die spätestens am 30. Juni 2024 begonnen haben, ein Datum, zu dem das EUCC-System noch nicht anwendbar war. Darüber hinaus sollte im Einklang mit der CCRA-Übergangsregelung in der Durchführungsverordnung (EU) 2024/482