Für einen individuellen Ausdruck passen Sie bitte die Einstellungen in der Druckvorschau Ihres Browsers an. Regelwerk, EU 2025, Datenschutz - EU Bund

gestützt auf den Vertrag über die Arbeitsweise der Europäischen Union,

gestützt auf die Verordnung (EU) 2019/881 des Europäischen Parlaments und des Rates vom 17. April 2019 über die ENISa (Agentur der Europäischen Union für Cybersicherheit) und über die Zertifizierung der Cybersicherheit von Informations- und Kommunikationstechnik und zur Aufhebung der Verordnung (EU) Nr. 526/2013 (Rechtsakt zur Cybersicherheit) ¹, insbesondere auf Artikel 49 Absatz 7,

in Erwägung nachstehender Gründe:

(1) In der Durchführungsverordnung (EU) 2024/482 der Kommission ² werden die Rollen, Vorschriften und Verpflichtungen sowie die Struktur des auf den Gemeinsamen Kriterien beruhenden europäischen Systems für die Cybersicherheitszertifizierung (EUCC) im Einklang mit dem in der Verordnung (EU) 2019/881 genannten europäischen Rahmen für die Cybersicherheitszertifizierung festgelegt.

(2) Die den Gemeinsamen Kriterien (CC) - einer internationalen Norm für die Evaluierung der Informationssicherheit - beigefügte gemeinsame Evaluierungsmethodik ermöglicht die Evaluierung der Sicherheit von IKT-Produkten für Zertifizierungszwecke. In diesem Zusammenhang können einige IKT-Produkte auf derselben funktionalen Basis beruhen, um ähnliche Sicherheitsfunktionen für verschiedene Plattformen oder Geräte zu bieten; dies wird auch als Produktreihe bezeichnet. Die Konzeption, Hardware, Firmware oder Software kann sich jedoch von einem IKT-Produkt zum anderen unterscheiden. Es ist Sache der Zertifizierungsstelle, im Einzelfall zu entscheiden, ob die Zertifizierung einer Produktreihe durchgeführt werden kann. Die Bedingungen für die Produktreihenzertifizierung könnten in den unterstützenden EUCC-Leitlinien näher erläutert werden.

(3) Um die Zuverlässigkeit zertifizierter Produkte aufrechtzuerhalten, muss festgelegt werden, was eine erhebliche und was eine geringfügige Änderung des Evaluierungsgegenstands oder seiner Umgebung, einschließlich seiner Betriebs- oder Entwicklungsumgebung, darstellt. Daher müssen diese Begriffe unter Berücksichtigung bestehender und weit verbreiteter technischer Spezifikationen der Gruppe hoher Beamter für Informationssicherheit (SOG-IS) und der Beteiligten der Anerkennungsvereinbarung für die nach den Gemeinsamen Kriterien ausgestellten Zertifikate auf dem Gebiet der IT-Sicherheit (CCRA) präzisiert werden.

(4) Geringfügige Änderungen sind häufig dadurch gekennzeichnet, dass sie nur begrenzte Auswirkungen auf die Produktvertrauenswürdigkeitserklärung des ausgestellten EUCC-Zertifikats haben. Geringfügige Änderungen sollten daher im Rahmen von Aufrechterhaltungsverfahren verwaltet werden und erfordern keine erneute Evaluierung der Sicherheitsfunktionen des Produkts. Zu geringfügigen Änderungen, die durch Aufrechterhaltung erfolgen sollten, zählen unter anderem redaktionelle Änderungen, Änderungen an der Umgebung des Evaluierungsgegenstands, die den zertifizierten Evaluierungsgegenstand nicht verändern, sowie Änderungen des zertifizierten Evaluierungsgegenstands, die sich nicht auf die Vertrauenswürdigkeitsnachweise auswirken. Änderungen in der Entwicklungsumgebung können ebenfalls als geringfügig angesehen werden, sofern sie keine Folgewirkungen auf bestehende Vertrauenswürdigkeitsmaßnahmen haben. In einigen Fällen können sie jedoch eine Teilevaluierung der einschlägigen Maßnahmen erfordern.

(5) Eine erhebliche Änderung ist jede Änderung des zertifizierten Evaluierungsgegenstands oder seiner Umgebung, die die im EUCC-Zertifikat ausgedrückte Vertrauenswürdigkeit beeinträchtigen kann und daher eine erneute Evaluierung nach sich ziehen sollte. Beispiele für wesentliche Änderungen sind unter anderem Änderungen der beanspruchten Anforderungen an die Vertrauenswürdigkeit, mit Ausnahme der Anforderungen an die Vertrauenswürdigkeit der CC ALC_FLR-Familie (Mängelbeseitigung), sowie Änderungen der Vertraulichkeits- oder Integritätskontrollen der Entwicklungsumgebung, wenn solche Änderungen die sichere Entwicklung oder Herstellung des Evaluierungsgegenstands beeinträchtigen könnten oder Änderungen des Evaluierungsgegenstands eine ausnutzbare Schwachstelle beseitigen. Darüber hinaus kann auch eine Reihe geringfügiger Änderungen, die zusammen erhebliche Auswirkungen auf die Sicherheit haben, als erhebliche Änderung eingestuft werden. Es ist auch wichtig anzuerkennen, dass sich eine Fehlerbehebung zwar möglicherweise nur auf einen bestimmten Aspekt des Evaluierungsgegenstands auswirkt, ihre Unvorhersehbarkeit und mögliche Auswirkungen auf die Vertrauenswürdigkeit sie jedoch zu einer erheblichen Änderung machen kann, wenn sie die mit der Zertifizierung gebotene sicherheitsbezogene Vertrauenswürdigkeit beeinträchtigt.