umwelt-online: Durchführungsverordnung (EU) 2024/482 mit Durchführungsbestimmungen zur Verordnung (EU) 2019/881 hinsichtlich der Annahme des auf den Gemeinsamen Kriterien beruhenden europäischen Systems für die Cybersicherheitszertifizierung (EUCC)

Regelwerk, EU 2024

VO (EU) 2024/482
- Inhalt =>

Kapitel I
Allgemeine Bestimmungen

Artikel 1 Gegenstand und Anwendungsbereich

Artikel 2 Begriffsbestimmungen

Artikel 3 Evaluierungsnormen

Artikel 4 Vertrauenswürdigkeitsstufen

Artikel 5 Methoden zur Zertifizierung von IKT-Produkten

Artikel 6 Selbstbewertung der Konformität

Kapitel II
Zertifizierung von IKT-Produkten

Abschnitt I
Besondere Normen und Anforderungen für die Evaluierung

Artikel 7 Evaluierungskriterien und -methoden für IKT-Produkte

Abschnitt II
Ausstellung, Erneuerung und Widerruf von EUCC-Zertifikaten

Artikel 8 Für die Zertifizierung erforderliche Informationen

Artikel 9 Bedingungen für die Ausstellung eines EUCC-Zertifikats

Artikel 10 Inhalt und Format eines EUCC-Zertifikats

Artikel 11 Siegel und Kennzeichen

Artikel 12 Geltungsdauer eines EUCC-Zertifikats

Artikel 13 Überprüfung eines EUCC-Zertifikats

Artikel 14 Widerruf eines EUCC-Zertifikats

Kapitel III
Zertifizierung von Schutzprofilen

Abschnitt I
Besondere Normen und Anforderungen für die Evaluierung

Artikel 15 Evaluierungskriterien und -methoden

Abschnitt II
Ausstellung, Erneuerung und Widerruf von EUCC-Zertifikaten für Schutzprofile

Artikel 16 Für die Zertifizierung von Schutzprofilen erforderliche Informationen

Artikel 17 Ausstellung von EUCC-Zertifikaten für Schutzprofile

Artikel 18 Geltungsdauer von EUCC-Zertifikaten für Schutzprofile

Artikel 19 Überprüfung von EUCC-Zertifikaten für Schutzprofile

Artikel 20 Widerruf von EUCC-Zertifikaten für Schutzprofile

Kapitel IV
Konformitätsbewertungsstellen

Artikel 21 Zusätzliche oder besondere Anforderungen für eine Zertifizierungsstelle

Artikel 22 Zusätzliche oder besondere Anforderungen an eine ITSEF

Artikel 23 Meldung der Zertifizierungsstellen

Artikel 24 Meldung der ITSEF

Kapitel V
Überwachung, Nichtkonformität und Nichteinhaltung

Abschnitt I
Überwachung der Einhaltung der Vorschriften

Artikel 25 Überwachungstätigkeiten der nationalen Behörde für die Cybersicherheitszertifizierung

Artikel 26 Überwachungstätigkeiten der Zertifizierungsstelle

Artikel 27 Überwachungstätigkeiten des Zertifikatsinhabers

Abschnitt II
Konformität und Einhaltung

Artikel 28 Folgen der Nichtkonformität eines zertifizierten IKT-Produkts oder Schutzprofils

Artikel 29 Folgen der Nichteinhaltung durch den Zertifikatsinhaber

Artikel 30 Aussetzung des EUCC-Zertifikats

Artikel 31 Folgen der Nichteinhaltung durch die Konformitätsbewertungsstelle

Kapitel VI
Schwachstellenmanagement und offenlegung von Schwachstellen

Artikel 32 Anwendungsbereich des Schwachstellenmanagements

Abschnitt I
Schwachstellenmanagement

Artikel 33 Schwachstellenmanagementverfahren

Artikel 34 Analyse der Auswirkungen der Schwachstelle

Artikel 35 Bericht über die Analyse der Auswirkungen der Schwachstelle

Artikel 36 Beseitigung von Schwachstellen

Abschnitt II
Offenlegung von Schwachstellen

Artikel 37 Weitergabe von Informationen an die nationale Behörde für die Cybersicherheitszertifizierung

Artikel 38 Zusammenarbeit mit anderen nationalen Behörden für die Cybersicherheitszertifizierung

Artikel 39 Veröffentlichung von Schwachstellen

Kapitel VII
Aufbewahrung, Offenlegung und Schutz von Informationen

Artikel 40 Aufbewahrung von Aufzeichnungen durch Zertifizierungsstellen und ITSEF

Artikel 41 Vom Zertifikatsinhaber zur Verfügung gestellte Informationen

Artikel 42 Von der ENISA bereitzustellende Informationen

Artikel 43 Schutz von Informationen

Kapitel VIII
Abkommen mit Drittländern über die gegenseitige Anerkennung

Artikel 44 Bedingungen

Kapitel IX
Gegenseitige Beurteilung von Zertifizierungsstellen

Artikel 45 Verfahren der gegenseitigen Beurteilung

Artikel 46 Phasen der gegenseitigen Beurteilung

Artikel 47 Bericht über die gegenseitige Beurteilung

Kapitel X
Aufrechterhaltung des Systems

Artikel 48 Aufrechterhaltung des EUCC-Systems

Kapitel XI
Schlussbestimmungen

Artikel 49 Nationale Systeme, die unter das EUCC-System fallen

Artikel 50 Inkrafttreten

Anhang I Technische Bereiche und Sachstandsdokumente

Anhang II Auf AVA_VAN-Stufe 4 oder 5 zertifizierte Schutzprofile

Anhang III Empfohlene Schutzprofile (zur Veranschaulichung der technischen Bereiche aus Anhang I)

Anhang IV Kontinuität der Vertrauenswürdigkeit und Überprüfung der Zertifikate

IV.1 Kontinuität der Vertrauenswürdigkeit: Anwendungsbereich
IV.2 Neubewertung
IV.3 Änderungen an einem zertifizierten IKT-Produkt
IV.4 Patchverwaltung

Anhang V Inhalt eines Zertifizierungsberichts

V.1 Zertifizierungsbericht
V.2 Bereinigung eines Sicherheitsziels zur Veröffentlichung

Anhang VI Gegenstand der gegenseitigen Beurteilung und Zusammensetzung des Beurteilungsteams

VI.1 Gegenstand der gegenseitigen Beurteilung
VI.2 Beurteilungsteam

Anhang VII Inhalt eines EUCC-Zertifikats

Anhang VIII Erklärung zum Vertrauenswürdigkeitspaket

Anhang IX Siegel und Kennzeichen