Druck- und LokalversionFür einen individuellen Ausdruck passen Sie bitte die
Einstellungen in der Druckvorschau Ihres Browsers an. Regelwerk, EU 2024, Datenschutz - EU Bund		Frame öffnen

Durchführungsverordnung (EU) 2024/3143 der Kommission vom 18. Dezember 2024 zur Festlegung der Umstände, Formate und Verfahren für Notifizierungen nach Artikel 61 Absatz 5 der Verordnung (EU) 2019/881 des Europäischen Parlaments und des Rates über die ENISA (Agentur der Europäischen Union für Cybersicherheit) und über die Zertifizierung der Cybersicherheit von Informations- und Kommunikationstechnik

(Text von Bedeutung für den EWR)

(ABl. L 2024/3143 vom 19.12.2024)


Die Europäische Kommission -

gestützt auf den Vertrag über die Arbeitsweise der Europäischen Union,

gestützt auf die Verordnung (EU) 2019/881 des Europäischen Parlaments und des Rates vom 17. April 2019 über die ENISA (Agentur der Europäischen Union für Cybersicherheit) und über die Zertifizierung der Cybersicherheit von Informations- und Kommunikationstechnik und zur Aufhebung der Verordnung (EU) Nr. 526/2013 (Rechtsakt zur Cybersicherheit) 1, insbesondere auf Artikel 61 Absatz 5,

in Erwägung nachstehender Gründe:

(1) Nach Artikel 61 Absatz 1 der Verordnung (EU) 2019/881 (Rechtsakt zur Cybersicherheit) sind die nationalen Behörden für die Cybersicherheitszertifizierung (NCCAs) dafür zuständig, der Kommission die Konformitätsbewertungsstellen zu notifizieren, die dafür akkreditiert und gegebenenfalls ermächtigt worden sind, europäische Cybersicherheitszertifikate für festgelegte Vertrauenswürdigkeitsstufen auszustellen, und ihre Notifizierungen auf dem neuesten Stand zu halten. Darüber hinaus muss die Kommission nach Artikel 61 Absatz 2 der Verordnung (EU) 2019/881 ein Jahr nach Inkrafttreten des Systems (Schemas) eine Liste der im Rahmen eines europäischen Systems (Schemas) für die Cybersicherheitszertifizierung notifizierten Konformitätsbewertungsstellen im Amtsblatt der Europäischen Union veröffentlichen. Um ein harmonisiertes Vorgehen bei den Notifizierungen sicherzustellen und den NCCAs das Notifizierungsverfahren zu erleichtern, sollten in dieser Verordnung die Umstände, Formate und Verfahren für die Notifizierungen genauer festgelegt werden. Im Hinblick auf die Anwendung des ersten auf den Gemeinsamen Kriterien beruhenden europäischen Systems für die Cybersicherheitszertifizierung (EUCC) gemäß der Durchführungsverordnung (EU) 2024/482 der Kommission 2 ist es wichtig, diese Aspekte zu regeln.

(2) In der vorliegenden Verordnung werden die Synergien zwischen der Verordnung (EU) 2019/881 und den einschlägigen Harmonisierungsrechtsvorschriften der Union, darunter der Verordnung (EU) 2024/2847 des Europäischen Parlaments und des Rates (Cyberresilienz-Verordnung) 3, anerkannt. Daher wird vorgeschlagen, dass die NCCAs der Kommission die Notifizierungen mithilfe des von der Kommission entwickelten und verwalteten elektronischen Notifizierungsinstruments gemäß dem Beschluss Nr. 768/2008/EG des Europäischen Parlaments und des Rates 4 übermitteln. Unbeschadet der Verpflichtung der Kommission, die Liste der notifizierten Konformitätsbewertungsstellen im Amtsblatt der Europäischen Union zu veröffentlichen, sollte die Liste auch in dem von der Kommission entwickelten und verwalteten elektronischen Notifizierungsinstrument öffentlich zugänglich gemacht werden.

(3) Die Notifizierung akkreditierter und gegebenenfalls ermächtigter Konformitätsbewertungsstellen bedeutet, dass diesen Stellen bezüglich der Durchführung von Evaluierungs- und Zertifizierungstätigkeiten gemäß der Verordnung (EU) 2019/881 vertraut werden kann, was zum guten allgemeinen Ruf europäischer Systeme für die Cybersicherheitszertifizierung beiträgt. Deshalb muss unbedingt sichergestellt werden, dass die notifizierten Konformitätsbewertungsstellen ihre Anforderungen und Verpflichtungen auch im Laufe der Zeit erfüllen. Die veröffentlichte Liste der notifizierten Konformitätsbewertungsstellen sollte stets richtig und auf dem neuesten Stand sein, damit sie die Einhaltung der Anforderungen der Verordnung (EU) 2019/881 und gegebenenfalls der besonderen oder zusätzlichen Anforderungen im Rahmen eines europäischen Systems für die Cybersicherheitszertifizierung widerspiegelt. Zu diesem Zweck müssen die NCCAs der Kommission nach Artikel 61 Absatz 1 der Verordnung (EU) 2019/881 unverzüglich alle Änderungen der Notifizierungen mitteilen.

(4) Die NCCAs sind dafür verantwortlich, dafür zu sorgen, dass die Konformitätsbewertungsstellen die Anforderungen der Verordnung (EU) 2019/881 und der europäischen Systeme für die Cybersicherheitszertifizierung erfüllen, und müssen in diesem Zusammenhang die Richtigkeit der Notifizierungen sicherstellen. Diese Tätigkeiten werden einer gegenseitigen Begutachtung unterzogen, deren Ergebnisse dazu beitragen sollten, etwaige Änderungen zu ermitteln, die nötig sind, um ihre Wirksamkeit zu erhöhen. Die NCCAs können aufgrund von Bedenken, die ihnen unter verschiedenen Umständen zur Kenntnis gebracht werden, zu der Feststellung gelangen, dass eine Konformitätsbewertungsstelle die einschlägigen Anforderungen nicht mehr erfüllt. Die NCCAs sollten sich gegebenenfalls bei der Überwachung der fortwährenden Kompetenz der notifizierten Konformitätsbewertungsstellen auf Erkenntnisse aus dem Mechanismus der gegenseitigen Begutachtung stützen. Darüber hinaus können andere NCCAs, die Kommission oder Interessenträger Bedenken bezüglich der fortwährenden Kompetenz einer notifizierten Konformitätsbewertungsstelle gegenüber der notifizierenden NCCA vorbringen.

(5) Bei ihrer Entscheidung, die Notifizierung einer Konformitätsbewertungsstelle auszusetzen, einzuschränken oder zu widerrufen, arbeitet die notifizierende NCCA mit der gemäß der Verordnung (EG) Nr. 765/2008 des Europäischen Parlaments und des Rates 5 benannten nationalen Akkreditierungsstelle zusammen. Dies steht im Einklang mit der Verordnung (EU) 2019/881, die vorsieht, dass die NCCAs den nationalen Akkreditierungsstellen bei ihren Überwachungs- und Aufsichtstätigkeiten aktiv zur Seite stehen, sie unterstützen und mit ihnen zusammenarbeiten sollen. Die Einschränkung der Notifizierung betrifft Fälle, in denen der Umfang der Akkreditierung oder gegebenenfalls der Umfang der Zulassung - und somit auch der Umfang der Notifizierung - verringert wird.

(6) Nach Artikel 54 Absatz 1 Buchstabe n der Verordnung (EU) 2019/881 muss jedes europäische System (Schema) für die Cybersicherheitszertifizierung gegebenenfalls Vorschriften für die Aufbewahrung von Aufzeichnungen durch die Konformitätsbewertungsstellen enthalten. Es ist daher notwendig, dass die notifizierende NCCA im Falle der Einschränkung, der Aussetzung oder des Widerrufs einer Notifizierung oder wenn die notifizierte Konformitätsbewertungsstelle ihre Tätigkeit eingestellt hat, gewährleistet, dass die Aufzeichnungen dieser Konformitätsbewertungsstelle sicher gespeichert und für die erforderliche Dauer aufbewahrt werden, wie im Rahmen des europäischen Systems für die Cybersicherheitszertifizierung vorgeschrieben.

(7) Die in dieser Verordnung vorgesehenen Maßnahmen entsprechen der Stellungnahme des nach Artikel 66 der Verordnung (EU) 2019/881 eingesetzten Ausschusses

- hat folgende Verordnung erlassen:

Artikel 1 Gegenstand

In dieser Verordnung werden die Umstände, Formate und Verfahren für die Notifizierung von Konformitätsbewertungsstellen durch die nationalen Behörden für die Cybersicherheitszertifizierung gemäß Artikel 61 Absatz 1 der Verordnung (EU) 2019/881 festgelegt.

Artikel 2 Notifizierungsverfahren

(1) Nach Artikel 61 Absatz 1 der Verordnung (EU) 2019/881 notifizieren die NCCAs der Kommission die Konformitätsbewertungsstellen, die den Anforderungen der Verordnung (EU) 2019/881 und gegebenenfalls den besonderen oder zusätzlichen Anforderungen im Rahmen eines europäischen Systems für die Cybersicherheitszertifizierung genügen.

(2) Die NCCA nimmt ihre Notifizierung bei der Kommission unter Verwendung des von der Kommission entwickelten und verwalteten elektronischen Notifizierungsinstruments gemäß dem Beschluss Nr. 768/2008/EG vor.

(3) Die Notifizierung muss die im Anhang aufgeführten Informationen enthalten.

Artikel 3 Kennnummern und Verzeichnis der Konformitätsbewertungsstellen

(1) Die Kommission weist jeder notifizierten Konformitätsbewertungsstelle eine Kennnummer zu. Selbst wenn eine Stelle im Rahmen mehrerer europäischer Systeme für die Cybersicherheitszertifizierung oder mehrerer Rechtsakte der Union notifiziert ist, wird ihr nur eine einzige solche Kennnummer zugewiesen.

(2) Wenn die Kommission die Liste der notifizierten Konformitätsbewertungsstellen über das von ihr entwickelte und verwaltete elektronische Notifizierungsinstrument bereitstellt, gibt sie dabei auch die den notifizierten Konformitätsbewertungsstellen zugewiesenen Kennnummern und die Tätigkeiten, für die sie notifiziert wurden, an.

(3) Die ENISA stellt die Informationen über die notifizierten Konformitätsbewertungsstellen auf ihrer besonderen Website zu den in Artikel 50 Absatz 1 der Verordnung (EU) 2019/881 genannten europäischen Systemen (Schemata) für die Cybersicherheitszertifizierung zur Verfügung.

Artikel 4 Änderungen von Notifizierungen

(1) Die NCCAs notifizieren der Kommission unverzüglich alle späteren Änderungen der in Artikel 2 genannten Notifizierungen über das von der Kommission entwickelte und verwaltete elektronische Notifizierungsinstrument gemäß Artikel 61 Absatz 1 der Verordnung (EU) 2019/881.

(2) Stellt eine NCCA in Zusammenarbeit mit der nationalen Akkreditierungsstelle gemäß der Verordnung (EU) 2019/881 fest, dass eine notifizierte Konformitätsbewertungsstelle die Anforderungen oder Pflichten, denen sie unterliegt, nicht mehr erfüllt, so schränkt sie die Notifizierung gegebenenfalls ein, setzt sie aus oder widerruft sie, je nachdem, wie schwerwiegend die Nichterfüllung dieser Anforderungen oder Verpflichtungen ist. Sie teilt dies der Kommission unverzüglich über das von der Kommission entwickelte und verwaltete elektronische Notifizierungsinstrument mit.

(3) Im Falle der Einschränkung, der Aussetzung oder des Widerrufs einer Notifizierung oder wenn die notifizierte Konformitätsbewertungsstelle ihre Tätigkeit eingestellt hat, gewährleistet die NCCA, dass die Aufzeichnungen dieser Konformitätsbewertungsstelle sicher gespeichert und für die erforderliche Dauer aufbewahrt werden, wie im Rahmen des europäischen Systems für die Cybersicherheitszertifizierung vorgeschrieben.

Artikel 5 Inkrafttreten

Diese Verordnung tritt am zwanzigsten Tag nach ihrer Veröffentlichung im Amtsblatt der Europäischen Union in Kraft.

Diese Verordnung ist in allen ihren Teilen verbindlich und gilt unmittelbar in jedem Mitgliedstaat.

Brüssel, den 18. Dezember 2024

1) ABl. L 151 vom 07.06.2019 S. 15, ELI: http://data.europa.eu/eli/reg/2019/881/oj.

2) Durchführungsverordnung (EU) 2024/482 der Kommission vom 31. Januar 2024 mit Durchführungsbestimmungen zur Verordnung (EU) 2019/881 des Europäischen Parlaments und des Rates hinsichtlich der Annahme des auf den Gemeinsamen Kriterien beruhenden europäischen Systems für die Cybersicherheitszertifizierung (EUCC) (ABl. L, 2024/482, 7.2.2024, ELI: http://data.europa.eu/eli/reg_impl/2024/482/oj).

3) Verordnung (EU) 2024/2847 des Europäischen Parlaments und des Rates vom 23. Oktober 2024 über horizontale Cybersicherheitsanforderungen für Produkte mit digitalen Elementen und zur Änderung der Verordnungen (EU) Nr. 168/2013 und (EU) 2019/1020 und der Richtlinie (EU) 2020/1828 (Cyberresilienz-Verordnung) (ABl. L, 2024/2847, 20.11.2024, ELI: http://data.europa.eu/eli/reg/2024/2847/oj).

4) Beschluss Nr. 768/2008/EG des Europäischen Parlaments und des Rates vom 9. Juli 2008 über einen gemeinsamen Rechtsrahmen für die Vermarktung von Produkten und zur Aufhebung des Beschlusses 93/465/EWG des Rates (ABl. L 218 vom 13.08.2008 S. 82. ELI: http://data.europa.eu/eli/dec/2008/768(1)/oj).

5) Verordnung (EG) Nr. 765/2008 des Europäischen Parlaments und des Rates vom 9. Juli 2008 über die Vorschriften für die Akkreditierung und Marktüberwachung im Zusammenhang mit der Vermarktung von Produkten und zur Aufhebung der Verordnung (EWG) Nr. 339/93 des Rates (ABl. L 218 vom 13.08.2008 S. 30. ELI: http://data.europa.eu/eli/reg/2008/765/oj).

.

Informationen, die gemäß Artikel 2 Absatz 3 der vorliegenden Verordnung in die Notifizierung einer Konformitätsbewertungsstelle im Rahmen eines europäischen Systems (Schemas) für die Cybersicherheitszertifizierung gemäß Artikel 61 Absatz 1 der Verordnung (EU) 2019/881 aufzunehmen sindAnhang

1. Allgemeine Informationen:

  1. Bezeichnung des europäischen Systems für die Cybersicherheitszertifizierung
  2. Vertrauenswürdigkeitsstufe(n) (falls zutreffend) und damit zusammenhängende Konformitätsbewertungsverfahren (z.B. niedrig, mittel, hoch)
  3. Anwendungsbereich (z.B. Akkreditierungsbereich, Kategorien oder Arten von Produkten, Diensten, Prozessen)

2. Angaben zur zuständigen nationalen Behörde für die Cybersicherheitszertifizierung (NCCA):

  1. Name
  2. Land
  3. Postanschrift
  4. E-Mail-Adresse(n)
  5. Telefonnummer(n)
  6. Website

3. Angaben zur notifizierten Konformitätsbewertungsstelle:

  1. Name
  2. Land
  3. Postanschrift
  4. E-Mail-Adresse(n)
  5. Telefonnummer(n)
  6. Website

4. Angaben zur Akkreditierung:

  1. Akkreditierung:
    1. Datum der Akkreditierung
    2. Aktenzeichen der Akkreditierung
    3. Umfang der Akkreditierung
    4. Geltungsdauer der Akkreditierung
  2. Nationale Akkreditierungsstelle:
    1. Name
    2. Land
    3. Postanschrift
    4. E-Mail-Adresse(n)
    5. Telefonnummer(n)
    6. Website

5. Angaben zur Zulassung (falls zutreffend):

  1. Zulassung:
    1. Datum der Zulassung
    2. Aktenzeichen der Zulassung
    3. Umfang der Zulassung
    4. Geltungsdauer der Zulassung
  2. Zulassende nationale Cybersicherheitsbehörde (falls abweichend von der notifizierenden nationalen Behörde für die Cybersicherheitszertifizierung):
    1. Name
    2. Land
    3. Postanschrift
    4. E-Mail-Adresse(n)
    5. Telefonnummer(n)
    6. Website

6. Weitere Angaben:

  1. Alle weiteren Angaben, die in einem bestimmten europäischen System für die Cybersicherheitszertifizierung erforderlich sind
  2. Begleitunterlagen


UWS Umweltmanagement GmbHENDEFrame öffnen