Auf Gemeinsamen Kriterien beruhendes europäisches System für die Cybersicherheitszertifizierung (EUCC)

 

ZUSAMMENFASSUNG DES DOKUMENTS:

Durchführungsverordnung (EU) 2024/482 – Durchführungsbestimmungen zur Verordnung (EU) 2019/881 hinsichtlich der Annahme des auf Gemeinsamen Kriterien beruhenden europäischen Systems für die Cybersicherheitszertifizierung

WAS IST DER ZWECK DER VERORDNUNG?

Die Durchführungsverordnung enthält Durchführungsbestimmungen zur Verordnung (EU) 2019/881 (siehe Zusammenfassung) für das auf Gemeinsamen Kriterien beruhende System für die Cybersicherheitszertifizierung (EUCC).

Das EUCC ist ein Rahmen zur Bewertung und Zertifizierung der Cybersicherheit von Produkten der Informations- und Kommunikationstechnologie (IKT) und von Schutzprofilen. So wird über einen strukturierten Prozess sichergestellt, dass IKT-Produkte strengen Sicherheitsnormen entsprechen, um die Cybersicherheit zu stärken, Einheitlichkeit in der Europäischen Union (EU) zu erreichen und vertrauenswürdige Zertifizierungen auszugeben. Das EUCC baut auf dem von der Gruppe hoher Beamter für Informationssicherheit („SOG-IS“) geschlossenen Abkommen über die gegenseitige Anerkennung („AGA“) von IT-Sicherheitsbewertungszertifikaten auf.

WICHTIGE ECKPUNKTE

EVALUIERUNGSNORMEN UND -METHODEN

• Der Rahmen beruht auf Gemeinsamen Kriterien (ISO/IEC 15408) und der Gemeinsamen Evaluierungsmethodik (ISO/IEC 18045) für die Evaluierungen.
• Die Zertifizierungsstellen geben EUCC-Zertifikate auf zwei Vertrauenswürdigkeitsstufen aus: „Mittel“ (AVA_VAN-Stufen* 1 oder 2) und „hoch“ (AVA_VAN-Stufen 3, 4 oder 5). Die Tiefe und Strenge der Evaluierung richtet sich nach der Vertrauenswürdigkeitsstufe.
• IKT-Produkte werden anhand ihrer Sicherheitsziele zertifiziert, zu denen gegebenenfalls ein zertifiziertes Schutzprofil gehören kann.
• Selbstbewertungen sind im EUCC-Rahmen nicht erlaubt.

ZERTIFIZIERUNG VON IKT-PRODUKTEN

• Die Evaluierungen müssen anhand der Gemeinsamen Kriterien, der Gemeinsamen Evaluierungsmethodik und anwendbarer Sachstandsdokumente erfolgen.
• Zertifizierungen für höhere Vertrauenswürdigkeitsstufen (AVA_VAN-Stufen 4 oder 5) müssen grundsätzlich auf der Grundlage technischer Bereiche oder Schutzprofile erfolgen, die als Sachstandsdokumente anerkannt und in Anhang I gelistet sind.
• Antragsteller müssen eine umfassende Dokumentation vorlegen, darunter gegebenenfalls die Ergebnisse vorheriger Evaluierungen, um das Zertifizierungsverfahren zu erleichtern.
• Die Zertifizierungsstellen stellen Zertifikate aus, wenn alle Bedingungen erfüllt sind. In den Zertifikate sind die spezifischen Informationen enthalten, die in Anhang VII dargelegt sind.
• Nationale Systeme für die Cybersicherheitszertifizierung müssen dem EUCC entsprechen und innerhalb von 12 Monaten nach dem Inkrafttreten der Verordnung unwirksam werden. Ein nationaler Zertifizierungsprozess, der in diesem Zeitraum eingeleitet wird, muss innerhalb von 24 Monaten nach dem Inkrafttreten abgeschlossen werden.
• Die Zertifikate:
  • sind bis zu 5 Jahre gültig, mit möglichen Verlängerungen auf Antrag;
  • werden regelmäßig geprüft, um die anhaltende Einhaltung der Sicherheitsanforderungen sicherzustellen;
  • werden widerrufen, wenn das zertifizierte Produkt den erforderlichen Standards nicht mehr entspricht oder erhebliche Nichtkonformitäten aufgetreten sind.

ZERTIFIZIERUNG VON SCHUTZPROFILEN

In Schutzprofilen werden die Sicherheitsanforderungen für bestimmte IKT-Produktkategorien festgelegt. Die Profile werden:

• ähnlich evaluiert wie IKT-Produkte, um sicherzustellen, dass sie den notwendigen Sicherheitsanforderungen für bestimmte IKT-Kategorien entsprechen;
• von nationalen Behörden für die Cybersicherheitszertifizierung oder akkreditierten öffentlichen stellen oder, nach vorheriger Genehmigung, einer Zertifizierungsstelle zertifiziert.

SIEGEL UND KENNZEICHEN

• Zertifizierte Produkte können mit Siegeln und Kennzeichen versehen werden, die den Zertifizierungsstatus anzeigen.
• Diese müssen klar sichtbar sein und Informationen wie die Vertrauenswürdigkeitsstufe, ein eindeutige Kennung und einen QR-Code zu Informationen über die Zertifizierung enthalten.

KONFORMITÄTSBEWERTUNGSSTELLEN

• Zertifizierungsstellen und Einrichtungen zur Evaluierung der IT-Sicherheit (ITSEF) müssen gemäß Verordnung (EG) Nr. 765/2008 (siehe Zusammenfassung) akkreditiert sein und für hohe Vertrauenswürdigkeitsstufen von nationalen Behörden für die Cybersicherheitszertifizierung ermächtigt werden.
• Die nationalen Behörden für die Cybersicherheitszertifizierung überwachen die Einhaltung der Vorschriften durch Zertifizierungsstellen, ITSEF und Zertifizierungsinhaber. Sie bearbeiten auch Beschwerden und leiten Untersuchungen zu Nichteinhaltung ein.
• Bei einer Nichteinhaltung bei einem Produkt müssen Abhilfemaßnahmen eingeleitet werden. Die Zertifikate können ausgesetzt oder widerrufen werden, wenn die Probleme nicht behoben werden.
• Zertifizierungsstellen, die Zertifikate mit hoher Vertrauenswürdigkeitsstufe ausstellen, müssen regelmäßig gegenseitigen Beurteilungen unterzogen werden, um die Einheitlichkeit und hohen Standards der Zertifizierung zu gewährleisten.
• Die Europäische Gruppe für die Cybersicherheitszertifizierung spielt bei der Aufrechterhaltung des Systems eine wichtige Rolle: Sie billigt Sachstandsdokumente und sorgt für anhaltende Relevanz und Wirksamkeit.

SCHWACHSTELLENMANAGEMENT UND OFFENLEGUNG VON SCHWACHSTELLEN

• Zertifikatsinhaber müssen Verfahren für den Umgang mit und die Offenlegung von Schwachstellen einrichten, Analysen der Auswirkungen von Schwachstellen durchführen und den Zertifizierungsstellen und Behörden erhebliche Schwachstellen melden.
• Widerrufene Zertifikate müssen in entsprechenden Datenbanken offengelegt werden, um die Transparenz zu bekannten Schwachstellen zu wahren.

AUFBEWAHRUNG UND SCHUTZ VON DATEN

• Zertifizierungsstellen und ITSEF müssen Unterlagen zu den Evaluierungen und Zertifizierungen für einen Zeitraum von mindestens fünf Jahren nach Widerruf des Zertifikats aufbewahren.
• Alle am Zertifizierungsverfahren beteiligten Parteien müssen vertrauliche Informationen und Unternehmensgeheimnisse schützen.

ABKOMMEN MIT NICHT-EU-LÄNDERN ÜBER DIE GEGENSEITIGE ANERKENNUNG

• Nicht-EU-Länder können EUCC-Zertifikate über Abkommen über die gegenseitige Anerkennung anerkennen, sofern die Kriterien zur Überwachung, Aufsicht und zum Schwachstellenmanagement erfüllt sind.

WANN TRITT DIE VERORDNUNG IN KRAFT?

Sie tritt am 27. Februar 2025 in Kraft.

HINTERGRUND

Weiterführende Informationen:

• EU-Cybersicherheitszertifizierung (Europäische Agentur für Netz- und Informationssicherheit)
• System für die Cybersicherheitszertifizierung (Europäische Agentur für Netz- und Informationssicherheit).

SCHLÜSSELBEGRIFFE

HAUPTDOKUMENT

Durchführungsverordnung (EU) 2024/482 der Kommission vom 31. Januar 2024 mit Durchführungsbestimmungen zur Verordnung (EU) 2019/881 des Europäischen Parlaments und des Rates hinsichtlich der Annahme des auf den Gemeinsamen Kriterien beruhenden europäischen Systems für die Cybersicherheitszertifizierung (EUCC) (ABl. L, 2024/482 vom 7.2.2024).

VERBUNDENE DOKUMENTE

Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148 (NIS-2-Richtlinie) (ABl. L 333 vom 27.12.2022, S. 80-152).

Nachfolgende Änderungen der Richtlinie (EU) 2022/2555 wurden in den Originaltext eingefügt. Diese konsolidierte Fassung hat ausschließlich dokumentarischen Charakter.

Verordnung (EU) 2019/881 des Europäischen Parlaments und des Rates vom 17. April 2019 über die ENISA (Agentur der Europäischen Union für Cybersicherheit) und über die Zertifizierung der Cybersicherheit von Informations- und Kommunikationstechnik und zur Aufhebung der Verordnung (EU) Nr. 526/2013 (Rechtsakt zur Cybersicherheit) (ABl. L 151 vom 7.6.2019, S. 15-69).

Verordnung (EU) 2019/1020 des Europäischen Parlaments und des Rates vom 20. Juni 2019 über Marktüberwachung und die Konformität von Produkten sowie zur Änderung der Richtlinie 2004/42/EG und der Verordnungen (EG) Nr. 765/2008 und (EU) Nr. 305/2011 (ABl. L 169 vom 25.6.2019, S. 1-44).

Siehe konsolidierte Fassung.

Verordnung (EG) Nr. 765/2008 des Europäischen Parlaments und des Rates vom 9. Juli 2008 über die Vorschriften für die Akkreditierung und Marktüberwachung im Zusammenhang mit der Vermarktung von Produkten und zur Aufhebung der Verordnung (EWG) Nr. 339/93 des Rates (ABl. L 218 vom 13.8.2008, S. 30-47).

Siehe konsolidierte Fassung.

Empfehlung 95/144/EG des Rates vom 7. April 1995 über gemeinsame Kriterien für die Bewertung der Sicherheit von Systemen der Informationstechnik (ABl. L 93 vom 26.4.1995, S. 27-28).

Letzte Aktualisierung: 01.07.2024