Für einen individuellen Ausdruck passen Sie bitte die Einstellungen in der Druckvorschau Ihres Browsers an. Regelwerk, EU 2025, Datenschutz - EU Bund

gestützt auf den Vertrag über die Arbeitsweise der Europäischen Union,

gestützt auf die Verordnung (EU) 2019/881 des Europäischen Parlaments und des Rates vom 17. April 2019 über die ENISa (Agentur der Europäischen Union für Cybersicherheit) und über die Zertifizierung der Cybersicherheit von Informations- und Kommunikationstechnik und zur Aufhebung der Verordnung (EU) Nr. 526/2013 (Rechtsakt zur Cybersicherheit) ¹, insbesondere auf Artikel 59 Absatz 5,

in Erwägung nachstehender Gründe:

(1) Gemäß Artikel 59 Absatz 4 der Verordnung (EU) 2019/881 erfolgen durch nationale Behörden für die Cybersicherheitszertifizierung durchgeführte gegenseitige Begutachtungen durch zwei nationale Behörden für die Cybersicherheitszertifizierung anderer Mitgliedstaaten und die Kommission. Um gleichwertige Standards für europäische Cybersicherheitszertifikate und EU-Konformitätserklärungen zu erreichen, sollte die Kommission Aspekte im Zusammenhang mit der Einhaltung dieser Verordnung überwachen und sicherstellen, dass gegenseitige Begutachtungen in der gesamten Union einheitlich durchgeführt werden. Zur Ermittlung von bewährten Verfahren, Herausforderungen und Lehren aus der Umsetzung der europäischen Systeme für die Cybersicherheitszertifizierung sollte die Agentur der Europäischen Union für Cybersicherheit (ENISA) die Möglichkeit haben, als Beobachterin an den gegenseitigen Begutachtungen teilzunehmen. Um die harmonisierte Umsetzung der Bestimmungen dieser Verordnung zu unterstützen, sollte die ENISa in Zusammenarbeit mit der Kommission und der Europäischen Gruppe für die Cybersicherheitszertifizierung auch die Möglichkeit haben, Vorlagen auszuarbeiten.

(2) Zur Gewährleistung von Planungssicherheit und einer effizienten Ressourcenallokation sollten die gegenseitigen Begutachtungen jeder nationalen Behörde für die Cybersicherheitszertifizierung nach einem festgelegten Zeitplan durchgeführt werden. Eine nationale Behörde für die Cybersicherheitszertifizierung sollte die Möglichkeit haben, unter außergewöhnlichen Umständen wie unerwartetem Personalmangel oder Fällen höherer Gewalt eine Verzögerung ihrer gegenseitigen Begutachtung zu beantragen. Zu diesem Zweck müssen die Modalitäten für die Prüfung dieses Antrags festgelegt werden, wobei sicherzustellen ist, dass der übergeordnete Zeitplan eingehalten wird und die Ziele des Mechanismus der gegenseitigen Begutachtung nicht beeinträchtigt werden.

(3) Damit alle Mitgliedstaaten zur Umsetzung des Mechanismus der gegenseitigen Begutachtung beitragen und dabei voneinander lernen können, sollten die nationalen Behörden für die Cybersicherheitszertifizierung der einzelnen Mitgliedstaaten in einem Fünfjahreszeitraum jeweils zwei gegenseitige Begutachtungen durchführen. Daher sollte ein Rotationssystem eingerichtet werden, das es den nationalen Behörden für die Cybersicherheitszertifizierung aller Mitgliedstaaten ermöglicht, ihre Teilnahme zu organisieren. Außerdem müssen Kriterien festgelegt werden, die die nationalen Behörden für die Cybersicherheitszertifizierung bei der Auswahl von Vertretern für die Durchführung gegenseitiger Begutachtungen berücksichtigen sollten, damit diese über angemessene Fachkenntnisse und Kompetenzen verfügen. Die nationalen Behörden für die Cybersicherheitszertifizierung sollten ferner die Möglichkeit haben, als Beobachter an gegenseitigen Begutachtungen teilzunehmen, um das Verfahren zu verfolgen und daraus zu lernen. In solchen Fällen sollte nicht verlangt werden, dass deren Vertreter über die gleichen Fachkenntnisse und Kompetenzen verfügen, die von den Vertretern der die gegenseitigen Begutachtungen durchführenden nationalen Behörden für die Cybersicherheitszertifizierung erwartet werden.

(4) Damit eine nationale Behörde für die Cybersicherheitszertifizierung von mindestens einer nationalen Behörde für die Cybersicherheitszertifizierung einer gegenseitigen Begutachtung unterzogen wird, die denselben Ansatz für die Ausstellung von Zertifikaten für die Vertrauenswürdigkeitsstufe "hoch" anwendet, sollte die ENISa bei der Aufforderung der nationalen Behörden für die Cybersicherheitszertifizierung, ihr Interesse an der Durchführung gegenseitiger Begutachtungen zu bekunden, angeben, ob die begutachtete nationale Behörde für die Cybersicherheitszertifizierung selbst Zertifikate für die Vertrauenswürdigkeitsstufe "hoch" ausstellt, das in Artikel 56 Absatz 6 Buchstabe a der Verordnung (EU) 2019/881 genannte Modell der vorherigen Zustimmung verwendet, die Aufgabe gemäß Buchstabe b des genannten Absatzes allgemein übertragen hat oder eine Kombination dieser Ansätze verfolgt.