Die Europäische Kommission -

gestützt auf den Vertrag über die Arbeitsweise der Europäischen Union,

gestützt auf die Verordnung (EU) 2019/881 des Europäischen Parlaments und des Rates vom 17. April 2019 über die ENISA (Agentur der Europäischen Union für Cybersicherheit) und über die Zertifizierung der Cybersicherheit von Informations- und Kommunikationstechnik und zur Aufhebung der Verordnung (EU) Nr. 526/2013 (Rechtsakt zur Cybersicherheit) ¹, insbesondere auf Artikel 49 Absatz 7,

in Erwägung nachstehender Gründe:

(1) In der Durchführungsverordnung (EU) 2024/482 der Kommission ² werden die Rollen, Vorschriften und Verpflichtungen sowie die Struktur des auf den Gemeinsamen Kriterien beruhenden europäischen Systems für die Cybersicherheitszertifizierung (EUCC) im Einklang mit dem in der Verordnung (EU) 2019/881 genannten europäischen Rahmen für die Cybersicherheitszertifizierung festgelegt.

(2) Die Durchführungsverordnung (EU) 2024/482 beruht auf etablierten internationalen Normen, nämlich den Gemeinsamen Kriterien und der Gemeinsamen Evaluierungsmethodik, die von der Internationalen Organisation für Normung (ISO) und der Internationalen Elektrotechnischen Kommission (IEC) gepflegt werden. In der Durchführungsverordnung (EU) 2024/482 wird auf ISO/IEC-Normen verwiesen, ohne jedoch die jeweils geltende Fassung dieser Normen anzugeben. Es sollte daher festgelegt werden, welche Fassung der Normen für Zertifikate gilt, die im Rahmen des EUCC-Systems ausgestellt werden.

(3) Die staatlichen Stellen, die durch die Anerkennungsvereinbarung für die nach den Gemeinsamen Kriterien ausgestellten Zertifikate auf dem Gebiet der IT-Sicherheit (Arrangement on the Recognition of Common Criteria Certificates in the field of IT Security, CCRA) zur Entwicklung der Gemeinsamen Kriterien und der Gemeinsamen Evaluierungsmethodik beigetragen haben, sind mit der ISO und der IEC gemeinsam Inhaber der Urheberrechte daran. Diese staatlichen Stellen behalten auch das Recht, sie zu nutzen. Angesichts der großen Bedeutung der sich aus der CCRA ergebenden Dokumente sollten diese auch als Grundlage für die Zertifizierung im Rahmen des EUCC-Systems dienen können.

(4) Die Gemeinsamen Kriterien und die Normen der Gemeinsamen Evaluierungsmethodik werden im Lichte der CCRA ausgelegt, die deren Umsetzung erleichtern soll und von den Einrichtungen zur Evaluierung der IT-Sicherheit (ITSEFs) und den Zertifizierungsstellen berücksichtigt werden kann.

(5) Internationale Normen in Bezug auf die Gemeinsamen Kriterien könnten überarbeitet werden. Im Interesse eines geordneten und rechtzeitigen Übergangs sollten Übergangsbestimmungen festgelegt werden, um Anbietern, ITSEFs und Zertifizierungsstellen sowie anderen einschlägigen Akteuren ausreichend Zeit für die erforderlichen Anpassungen einzuräumen. Solche Übergangsbestimmungen sollten in geeignetem Maße mit weltweiten Praktiken, wie den CCRA-Verfahren, im Einklang stehen.

(6) In der Durchführungsverordnung (EU) 2024/482 ist nicht festgelegt worden, bis wann eine IKT-Produktzertifizierung auf den früheren Fassungen der Gemeinsamen Kriterien und der Normen der Gemeinsamen Evaluierungsmethodik beruhen darf. Die technischen Bereiche und Schutzprofile, die in den Anhängen I, II und III der genannten Durchführungsverordnung aufgeführt werden, beruhen auf früheren Fassungen der Normen ISO/IEC 15408 und ISO/IEC 18045. In der Durchführungsverordnung (EU) 2024/482 sollte daher festgelegt werden, unter welchen Umständen die frühere Fassung der Gemeinsamen Kriterien und der Gemeinsamen Evaluierungsmethodik noch weiterhin gilt und wie der Übergang zur neuesten Fassung der internationalen Normen erfolgen soll.

(7) Während des Übergangszeitraums sollten sich die einschlägigen Akteure vorrangig mit der Aktualisierung der betreffenden technischen Bereiche und Schutzprofile befassen. In der Durchführungsverordnung (EU) 2024/482 sollte festgelegt werden, dass Sicherheitsziele, die auf einer früheren Fassung der Normen beruhen, im Einklang mit der im Rahmen der CCRA angenommenen Übergangsregelung bis zum 31. Dezember 2027 akzeptiert werden. Es ist jedoch zu beachten, dass die CCRA-Übergangsregelung für Erstevaluierungen von Produkten und Schutzprofilen gilt, die spätestens am 30. Juni 2024 begonnen haben, ein Datum, zu dem das EUCC-System noch nicht anwendbar war. Darüber hinaus sollte im Einklang mit der CCRA-Übergangsregelung in der Durchführungsverordnung (EU) 2024/482 vorgesehen werden, dass Sicherheitsziele, die mit der genannten Durchführungsverordnung im Einklang stehen und Konformität mit Schutzprofilen auf der Grundlage einer früheren Fassung der Normen geltend machen, bis zum 31. Dezember 2027 akzeptiert werden würden. Wenn im Rahmen eines Verfahrens zur Überprüfung eines nationalen Zertifikats, das innerhalb von zwei Jahren nach der Ausstellung des ersten Zertifikats begonnen hat, ein neues Zertifikat gemäß der Durchführungsverordnung (EU) 2024/482 ausgestellt wird, so sollte es zudem möglich sein, dabei eine frühere Fassung der Normen zugrunde zu legen. Dies wäre nicht von Bedeutung für ein Überprüfungsverfahren, das keine Ausstellung eines neuen Zertifikats gemäß der Durchführungsverordnung (EU) 2024/482 erfordert und bei dem das Zertifikat gültig bleibt.

(8) Im Interesse eines geordneten Übergangs zur neuesten Fassung der Normen sollte die Durchführungsverordnung (EU) 2024/482 besondere Übergangsvorschriften vorsehen und die Ausstellung von Zertifikaten, in denen Konformität mit Schutzprofilen geltend gemacht wird, die auf früheren Fassungen der im Zuge der CCRA veröffentlichten Normen beruhen, im Rahmen der genannten Durchführungsverordnung weiterhin ermöglichen, wenn nach den Rechtsvorschriften der Union die Verwendung solcher Schutzprofile erforderlich ist. Dies betrifft die Durchführungsverordnung (EU) 2016/799 der Kommission ³ sowie die Verordnung (EU) Nr. 910/2014 des Europäischen Parlaments und des Rates ⁴ und den Durchführungsbeschluss (EU) 2016/650 der Kommission ⁵.

(9) In Anhang I der Durchführungsverordnung (EU) 2024/482 sind die für die Evaluierung von IKT-Produkten und Schutzprofilen geltenden Sachstandsdokumente aufgeführt. Der Anhang enthält jedoch keine Angaben zur Fassung der Dokumente. Es sollte daher festgelegt werden, welche Fassung der Dokumente für Zertifikate gilt, die im Rahmen des EUCC-Systems ausgestellt werden. Diese Fassungen beruhen auf Dokumenten, die von der Europäischen Gruppe für die Cybersicherheitszertifizierung (ECCG) gebilligt wurden, und wurden danach im Hinblick auf ihre Aufnahme in das EUCC-System einer weiteren Überprüfung unterzogen. Außerdem sollte Anhang I geändert werden, um überarbeitete und neue Sachstandsdokumente nach ihrer Billigung durch die ECCG aufzunehmen, damit eine einheitliche Akkreditierung von Konformitätsbewertungsstellen im Rahmen des EUCC-Systems gewährleistet bleibt. Die Akkreditierungsanforderungen im Zusammenhang mit der Akkreditierung von ITSEFs sollten überarbeitet werden, um die Anwendung der Kriterien der Unabhängigkeit und Unparteilichkeit zu präzisieren, und es sollte ein neues Sachstandsdokument für die Akkreditierung von Zertifizierungsstellen erstellt werden.

(10) Sachstandsdokumente können neu in das EUCC-System aufgenommen oder im Rahmen seiner Pflege überarbeitet werden. Für neue oder überarbeitete Sachstandsdokumente müssen möglicherweise geeignete Übergangsbestimmungen festgelegt werden, damit Anbieter, ITSEFs, Zertifizierungsstellen und andere Beteiligte die erforderlichen Anpassungen vornehmen können. Was die Überarbeitung des Sachstandsdokuments für die Akkreditierung von ITSEFs angeht, sollte das überarbeitete Dokument nur dann für Akkreditierungen gelten, die vor dem 8. Juli 2025 erteilt wurden, wenn diese überprüft werden, z.B. im Rahmen eines Bewertungs- oder Neubewertungsverfahrens. Darüber hinaus sollte das überarbeitete Dokument für alle Akkreditierungen von ITSEFs gelten, die nach dem 8. Juli 2025 erteilt werden.

(11) Weitere Berichtigungen in den Artikeln 5, 8, 16, 29 und 44 sowie im Anhang IV der Durchführungsverordnung (EU) 2024/482 tragen dazu bei, eine einheitliche Formulierung und eine klare Rechtsauslegung sicherzustellen.

(12) Die Vorschriften für die Notifizierung der Konformitätsbewertungsstellen sollten übergreifend für alle Systeme innerhalb des europäischen Rahmens für die Cybersicherheitszertifizierung festgelegt werden. Solche Notifizierungsvorschriften sind enthalten in der Durchführungsverordnung (EU) 2024/3143 der Kommission ⁶. Deshalb sollten die Artikel 23 und 24 der Durchführungsverordnung (EU) 2024/482 mit Wirkung von dem Tag gestrichen werden, an dem die Durchführungsverordnung (EU) 2024/3143 anwendbar wird.

(13) Die Durchführungsverordnung (EU) 2024/482 sollte daher entsprechend geändert und berichtigt werden.

(14) Die in dieser Verordnung vorgesehenen Maßnahmen entsprechen der Stellungnahme des nach Artikel 66 der Verordnung (EU) 2019/881 eingesetzten Ausschusses

- hat folgende Verordnung erlassen:

Artikel 1

Die Durchführungsverordnung (EU) 2024/482 wird wie folgt geändert:

1. In Artikel 2 erhalten die Nummern 1 und 2 folgende Fassung:

"1. "Gemeinsame Kriterien" (Common Criteria) die Gemeinsamen Kriterien für die Evaluierung der IT-Sicherheit gemäß den Normen ISO/IEC 15408-1:2022, ISO/IEC 15408-2:2022, ISO/IEC 15408-3:2022, ISO/IEC 15408-4:2022 oder ISO/IEC 15408-5:2022 oder gemäß den Gemeinsamen Kriterien für die Evaluierung der IT-Sicherheit, Version CC:2022, Teile 1 bis 5, veröffentlicht von den Beteiligten der Anerkennungsvereinbarung für die nach den Gemeinsamen Kriterien ausgestellten Zertifikate auf dem Gebiet der IT-Sicherheit (CCRA);

2. "Gemeinsame Evaluierungsmethodik" die Gemeinsame Methodik für die Evaluierung der IT-Sicherheit gemäß der Norm ISO/IEC 18045:2022 oder die Gemeinsame Methodik für die Evaluierung der IT-Sicherheit, Version CEM:2022, veröffentlicht von den Beteiligten der Anerkennungsvereinbarung für die nach den Gemeinsamen Kriterien ausgestellten Zertifikate auf dem Gebiet der IT-Sicherheit (CCRA);"

2. Artikel 3 erhält folgende Fassung:

"Artikel 3 Evaluierungsnormen

(1) Für die im Rahmen des EUCC-Systems durchgeführten Evaluierungen gelten folgende Normen:

1. die Gemeinsamen Kriterien (Common Criteria),
2. die Gemeinsame Evaluierungsmethodik.

(2) Bis zum 31. Dezember 2027 kann ein Zertifikat im Rahmen des EUCC-Systems gemäß einer der folgenden Normen ausgestellt werden:

1. ISO/IEC 15408-1:2009, ISO/IEC 15408-2:2008 oder ISO/IEC 15408-3:2008,
2. Gemeinsame Kriterien für die Evaluierung der IT-Sicherheit, Version 3.1, Revision 5, veröffentlicht von den Beteiligten der Anerkennungsvereinbarung für die nach den Gemeinsamen Kriterien ausgestellten Zertifikate auf dem Gebiet der IT-Sicherheit (CCRA),
3. ISO/IEC 18045:2008,
4. Gemeinsame Methodik für die Evaluierung der IT-Sicherheit, Version 3.1, Revision 5, veröffentlicht von den Beteiligten der Anerkennungsvereinbarung für die nach den Gemeinsamen Kriterien ausgestellten Zertifikate auf dem Gebiet der IT-Sicherheit (CCRA).

(3) Bis zum 31. Dezember 2027 kann ein Zertifikat, das Konformität mit einem Schutzprofil geltend macht, das den in Absatz 2 genannten Normen entspricht, im Rahmen des EUCC-Systems gemäß den in Absatz 1 genannten Normen ausgestellt werden.

(4) Ein Zertifikat gemäß den in Absatz 1 genannten Normen kann auch im Rahmen des EUCC-Systems ausgestellt werden, um Konformität mit einem Schutzprofil geltend zu machen, das einer der folgenden Normen entspricht, sofern nach der Durchführungsverordnung (EU) 2016/799 der Kommission ^*, der Verordnung (EU) Nr. 910/2014 des Europäischen Parlaments und des Rates ^** oder dem Durchführungsbeschluss (EU) 2016/650 der Kommission ^*** die Verwendung eines solchen Schutzprofils erforderlich ist:

1. Gemeinsame Kriterien für die Evaluierung der IT-Sicherheit, Version 3.1, Revision 1-4, veröffentlicht von den Beteiligten der Anerkennungsvereinbarung für die nach den Gemeinsamen Kriterien ausgestellten Zertifikate auf dem Gebiet der IT-Sicherheit (CCRA),
2. Gemeinsame Methodik für die Evaluierung der IT-Sicherheit, Version 3.1, Revision 1-4, veröffentlicht von den Beteiligten der Anerkennungsvereinbarung für die nach den Gemeinsamen Kriterien ausgestellten Zertifikate auf dem Gebiet der IT-Sicherheit (CCRA).

___
^*) Durchführungsverordnung (EU) 2016/799 der Kommission vom 18. März 2016 zur Durchführung der Verordnung (EU) Nr. 165/2014 des Europäischen Parlaments und des Rates zur Festlegung der Vorschriften über Bauart, Prüfung, Einbau, Betrieb und Reparatur von Fahrtenschreibern und ihren Komponenten (ABl. L 139 vom 26.05.2016 S. 1. ELI: http://data.europa.eu/eli/reg_impl/2016/799/oj).

^**) Verordnung (EU) Nr. 910/2014 des Europäischen Parlaments und des Rates vom 23. Juli 2014 über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt und zur Aufhebung der Richtlinie 1999/93/EG (ABl. L 257 vom 28.08.2014 S. 73. ELI: http://data.europa.eu/eli/reg/2014/910/oj).

^***) Durchführungsbeschluss (EU) 2016/650 der Kommission vom 25. April 2016 zur Festlegung von Normen für die Sicherheitsbewertung qualifizierter Signatur- und Siegelerstellungseinheiten gemäß Artikel 30 Absatz 3 und Artikel 39 Absatz 2 der Verordnung (EU) Nr. 910/2014 des Europäischen Parlaments und des Rates über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt (ABl. L 109 vom 26.04.2016 S. 40. ELI: http://data.europa.eu/eli/dec_impl/2016/650/oj)."

3. In Kapitel IV wird der folgende Artikel 20a eingefügt:

"Artikel 20a Spezifikation der Anforderungen an die Akkreditierung von Konformitätsbewertungsstellen

Bei der Akkreditierung von Konformitätsbewertungsstellen werden die Spezifikationen der Anforderungen an die Akkreditierung von Zertifizierungsstellen und ITSEFs berücksichtigt, die in den geltenden Sachstandsdokumenten festgelegt sind, die in Anhang I Nummer 2 aufgeführt sind."

4. Die Artikel 23 und 24 werden gestrichen.

5. In Artikel 48 wird folgender Absatz 4 angefügt:

"(4) Sofern in Anhang I oder II nichts anderes bestimmt ist, gelten die Sachstandsdokumente ab dem Anwendungsbeginn des Änderungsrechtsakts, mit dem sie in Anhang I oder II aufgenommen wurden."

6. In Artikel 49 wird folgender Absatz 4 angefügt:

"(4) Bei der Durchführung der in Absatz 3 genannten Überprüfung innerhalb von zwei Jahren nach der Ausstellung eines ersten Zertifikats und wenn eine solche Überprüfung zur Ausstellung eines neuen Zertifikats gemäß dieser Verordnung führt, können die in Artikel 3 Absatz 2 aufgeführten Normen angewandt werden. Als Ausstellungsdatum des ersten Zertifikats gilt das Datum der Ausstellung des letzten Zertifikats für ein IKT-Produkt oder ein Schutzprofil, auf dem die gegenwärtige Zertifizierung beruht."

7. Anhang I wird durch Anhang I der vorliegenden Verordnung ersetzt.

8. Anhang IV wird gemäß dem Anhang II der vorliegenden Verordnung geändert.

Artikel 2

Die Durchführungsverordnung (EU) 2024/482 wird wie folgt berichtigt:

1. Artikel 5 Absatz 1 Buchstabe b erhält folgende Fassung:

"b) unter Geltendmachung der Konformität mit einem zertifizierten Schutzprofil als Teil des IKT-Prozesses, wenn das IKT-Produkt in die von diesem Schutzprofil erfasste IKT-Produktkategorie fällt."

2. Artikel 8 wird wie folgt berichtigt:

a) Der Titel erhält folgende Fassung:

"Für die Zertifizierung und Evaluierung erforderliche Informationen"

b) Absatz 1 erhält folgende Fassung:

"(1) Wer eine Zertifizierung im Rahmen des EUCC-Systems beantragt, muss der Zertifizierungsstelle und der ITSEF alle für die Zertifizierungs- und Evaluierungstätigkeiten erforderlichen Informationen vorlegen oder anderweitig zur Verfügung stellen."

3. Artikel 16 erhält folgende Fassung:

"Artikel 16 Für die Zertifizierung und Evaluierung von Schutzprofilen erforderliche Informationen

Wer die Zertifizierung eines Schutzprofils beantragt, muss der Zertifizierungsstelle und der ITSEF alle für die Zertifizierungs- und Evaluierungstätigkeiten erforderlichen Informationen in vollständiger und korrekter Form vorlegen oder anderweitig zur Verfügung stellen. Artikel 8 Absätze 2, 3, 4 und 7 gilt entsprechend."

4. Artikel 17 Absatz 1 wird gestrichen.

5. Artikel 29 Absatz 2 erhält folgende Fassung:

"(2) Wenn der Inhaber des EUCC-Zertifikats innerhalb der in Absatz 1 genannten Frist keine geeigneten Abhilfemaßnahmen vorschlägt, wird das Zertifikat gemäß Artikel 30 ausgesetzt oder gemäß Artikel 14 oder Artikel 20 widerrufen."

Artikel 3

Diese Verordnung tritt am zwanzigsten Tag nach ihrer Veröffentlichung im Amtsblatt der Europäischen Union in Kraft.

Artikel 1 Absatz 4 gilt ab dem 8. Januar 2025.

Diese Verordnung ist in allen ihren Teilen verbindlich und gilt unmittelbar in jedem Mitgliedstaat.

Brüssel, den 18. Dezember 2024

.

"Anhang I
Sachstandsdokumente für bestimmte technische Bereiche und andere Sachstandsdokumente

1. Sachstandsdokumente zur Unterstützung technischer Bereiche auf AVA_VAN-Stufe 4 oder 5:

1. folgende Dokumente zur harmonisierten Evaluierung des technischen Bereichs "Chipkarten und ähnliche Geräte":
   1. Minimum ITSEF requirements for security evaluations of smart cards and similar devices (ITSEF-Mindestanforderungen an die Sicherheitsevaluierung von Chipkarten und ähnlichen Geräten), Version 1.1,
   2. Minimum Site Security Requirements (Mindestsicherheitsanforderungen an den Standort), Version 1.1,
   3. Application of Common Criteria to integrated circuits (Anwendung der Gemeinsamen Kriterien auf integrierte Schaltungen), Version 1.1,
   4. Security Architecture requirements (ADV_ARC) for smart cards and similar devices (Anforderungen an die Sicherheitsarchitektur (ADV_ARC) von Chipkarten und ähnlichen Geräten), Version 1.1,
   5. Certification of "open" smart card products (Zertifizierung von "offenen" Chipkartenprodukten), Version 1.1,
   6. Composite product evaluation for smart cards and similar devices (Evaluierung von Chipkarten und ähnlichen Geräten als zusammengesetzte Produkte), Version 1.1,
   7. Application of Attack Potential to Smartcards and Similar Devices (Anwendung des Angriffspotenzials auf Chipkarten und ähnliche Geräte), Version 1.2;
2. folgende Dokumente zur harmonisierten Evaluierung des technischen Bereichs "Hardware-Geräte mit Sicherheitsboxen":
   1. Minimum ITSEF requirements for security evaluations of hardware devices with security boxes (ITSEF-Mindestanforderungen an die Sicherheitsevaluierung von Hardware-Geräten mit Sicherheitsboxen), Version 1.1,
   2. Minimum Site Security Requirements (Mindestsicherheitsanforderungen an den Standort), Version 1.1,
   3. Application of Attack Potential to hardware devices with security boxes (Anwendung des Angriffspotenzials auf Hardware-Geräte mit Sicherheitsboxen), Version 1.2;

2. Sachstandsdokumente zur harmonisierten Akkreditierung von Konformitätsbewertungsstellen:

1. Accreditation of ITSEFs for the EUCC (Akkreditierung von ITSEFs für das EUCC), Version 1.1, für Akkreditierungen, die vor dem 8. Juli 2025 ausgestellt wurden,
2. Accreditation of ITSEFs for the EUCC (Akkreditierung von ITSEFs für das EUCC), Version 1.6c, für Akkreditierungen, die neu ausgestellt oder nach dem 8. Juli 2025 überprüft werden,
3. Accreditation of CBs for the EUCC (Akkreditierung von BS für das EUCC), Version 1.6b."

.

In Anhang IV Abschnitt IV.3 der Durchführungsverordnung (EU) 2024/482 erhalten die Nummern 5 und 6 folgende Fassung:

"5. Wenn die Zertifizierungsstelle bestätigt, dass die Änderungen geringfügig sind, wird für das geänderte IKT-Produkt kein neues Zertifikat ausgestellt und der ursprüngliche Zertifizierungsbericht durch einen Aufrechterhaltungsbericht ergänzt.

Der Aufrechterhaltungsbericht wird in den Auswirkungsanalysebericht aufgenommen und enthält folgende Abschnitte:

1. Einleitung,
2. Beschreibung der Änderungen,
3. betroffene Entwicklernachweise.

6. Der in Nummer 5 genannte Aufrechterhaltungsbericht wird der ENISA zur Veröffentlichung auf ihrer Website zur Cybersicherheitszertifizierung übermittelt."

ENDE