Für einen individuellen Ausdruck passen Sie bitte die Einstellungen in der Druckvorschau Ihres Browsers an. Regelwerk, EU 2024, Datenschutz - EU Bund

Die Europäische Kommission -

gestützt auf den Vertrag über die Arbeitsweise der Europäischen Union,

gestützt auf die Verordnung (EU) 2019/881 des Europäischen Parlaments und des Rates vom 17. April 2019 über die ENISa (Agentur der Europäischen Union für Cybersicherheit) und über die Zertifizierung der Cybersicherheit von Informations- und Kommunikationstechnik und zur Aufhebung der Verordnung (EU) Nr. 526/2013 (Rechtsakt zur Cybersicherheit) ¹, insbesondere auf Artikel 49 Absatz 7,

in Erwägung nachstehender Gründe:

(1) In dieser Verordnung werden die Rollen, Vorschriften und Verpflichtungen sowie die Struktur des auf den Gemeinsamen Kriterien beruhenden europäischen Systems für die Cybersicherheitszertifizierung (EUCC) im Einklang mit dem in der Verordnung (EU) 2019/881 genannten europäischen Rahmen für die Cybersicherheitszertifizierung festgelegt. Der EUCC-Rahmen baut auf dem von der Gruppe hoher Beamter für Informationssicherheit (SOG-IS) geschlossenen Abkommen über die gegenseitige Anerkennung von IT-Sicherheitsbewertungszertifikaten ² auf und beruht auf den Gemeinsamen Kriterien (Common Criteria) sowie auf den Verfahren und Unterlagen der Gruppe.

(2) Das System sollte auf etablierten internationalen Normen basieren. Bei den Gemeinsamen Kriterien (Common Criteria) handelt es sich um eine internationale Norm für die Evaluierung der Informationssicherheit, veröffentlicht beispielsweise als Norm ISO/IEC 15408: Informationssicherheit, Cybersicherheit und Schutz der Privatsphäre - Evaluationskriterien für IT-Sicherheit. Sie beruhen auf einer Evaluierung durch Dritte und sehen sieben Vertrauenswürdigkeitsstufen der Evaluierung (Evaluation Assurance Levels, EAL) vor. Die Gemeinsamen Kriterien werden von der Gemeinsamen Evaluierungsmethodik begleitet, veröffentlicht beispielsweise als Norm ISO/IEC 18045: Informationssicherheit, Cybersicherheit und Schutz der Privatsphäre - Evaluationskriterien für IT-Sicherheit - Methodik für die Bewertung der IT-Sicherheit. Spezifikationen und Dokumente zur Anwendung der Bestimmungen dieser Verordnung können sich auf eine andere öffentlich zugängliche Norm beziehen, die inhaltlich der bei der Zertifizierung nach dieser Verordnung zugrunde gelegten Norm entspricht, wie z.B. auf die Gemeinsamen Kriterien für die Evaluierung der IT-Sicherheit und die Gemeinsame Methodik für die Evaluierung der IT-Sicherheit.

(3) Der EUCC-Rahmen basiert auf den Komponenten 1 bis 5 der Schwachstellenbewertung gemäß den Gemeinsamen Kriterien (AVA_VAN). Diese fünf Komponenten enthalten alle wichtigen Bestimmungsfaktoren und Abhängigkeiten für die Analyse der Schwachstellen von IKT-Produkten. Diese Komponenten entsprechen den Vertrauenswürdigkeitsstufen dieser Verordnung und ermöglichen daher eine fundierte Auswahl der Vertrauenswürdigkeit aufgrund der durchgeführten Evaluierungen der Sicherheitsanforderungen und der mit der beabsichtigten Verwendung des IKT-Produkts verbundenen Risiken. Wer ein EUCC-Zertifikat beantragt, sollte die Dokumentation über die beabsichtigte Verwendung des IKT-Produkts und eine Analyse der mit einer solchen Verwendung verbundenen Risiken vorlegen, damit die Konformitätsbewertungsstelle die Eignung der gewählten Vertrauenswürdigkeitsstufe bewerten kann. Wenn die Evaluierungs- und Zertifizierungstätigkeiten von derselben Konformitätsbewertungsstelle durchgeführt werden, sollte der Antragsteller die verlangten Informationen nur einmal vorlegen müssen.

(4) Ein technischer Bereich ist ein Bezugsrahmen für eine Gruppe von IKT-Produkten mit spezifischen und gleichartigen Sicherheitsfunktionen, die Angriffe eindämmen, deren Merkmale einer bestimmten Vertrauenswürdigkeitsstufe entsprechen. Ein technischer Bereich beschreibt in Sachstandsdokumenten die besonderen Sicherheitsanforderungen sowie zusätzliche Evaluierungsmethoden, -techniken und -instrumente, die für die Zertifizierung von zu diesem technischen Bereich gehörigen IKT-Produkten gelten. Ein technischer Bereich ist daher auch einer harmonisierten Evaluierung der erfassten IKT-Produkte förderlich. Zwei technische Bereiche werden derzeit in großem Umfang zur Zertifizierung auf den Stufen AVA_VAN.4 und AVA_VAN.5 verwendet. Der erste technische Bereich ist der Bereich "Chipkarten und ähnliche Geräte", in dem ein beträchtlicher Teil der erforderlichen Sicherheitsfunktionen von spezifischen, maßgeschneiderten und häufig separaten Hardwareelementen abhängt (z.B. Hardware für Chipkarten, integrierte Schaltungen, zusammengesetzte Chipkartenprodukte, TPM-Chips für das Trusted Computing