Die Kommission sollte mit Unterstützung der Europäischen Gruppe für die Cybersicherheitszertifizierung und der Gruppe der Interessenträger für die Cybersicherheitszertifizierung im Anschluss an eine offene und umfassende Konsultation ein fortlaufendes Arbeitsprogramm der Union für europäische Schemata für die Cybersicherheitszertifizierung ausarbeiten und in Form eines nicht verbindlichen Instruments veröffentlichen. Das fortlaufende Arbeitsprogramm der Union sollte ein strategisches Dokument sein und insbesondere der Branche, den nationalen Behörden und den Normungsgremien ermöglichen, sich auf die künftigen Europäischen Schemata für die Cybersicherheitszertifizierung vorzubereiten. Das fortlaufende Arbeitsprogramm der Union sollte eine mehrjährige Übersicht über die Aufträge für die Ausarbeitung möglicher Systeme umfassen, die die Kommission der ENISA aus bestimmten Gründen zu erteilen beabsichtigt. Die Kommission sollte dieses fortlaufende Arbeitsprogramm der Union im Rahmen des fortlaufenden Plans für die IKT-Normung und bei der Erstellung ihrer Normungsaufträge an die europäischen Normungsorganisationen berücksichtigen. Wegen der raschen Einführung und Übernahme neuer Technologien sowie die Entstehung bislang unbekannter Cybersicherheitsrisiken und Gesetzgebungs- und Marktentwicklungen sollte die Kommission oder die Europäische Gruppe für die Cybersicherheitszertifizierung befugt sein, die ENISA mit der Ausarbeitung möglicher Zertifizierungsschemata, die nicht im fortlaufenden Arbeitsprogramm der Union enthalten waren, zu beauftragen. In solchen Fällen sollten die Kommission und die Europäische Gruppe für die Cybersicherheitszertifizierung auch die Notwendigkeit eines solchen Auftrags bewerten, wobei die allgemeinen Zielsetzungen und Vorgaben dieser Verordnung und die Notwendigkeit der Kontinuität bei der Planung der ENISA und der Nutzung der Ressourcen durch die ENISA zu berücksichtigen sind.
Im Anschluss an einen solchen Auftrag sollte die ENISA ohne ungebührliche Verzögerung mögliche Zertifizierungsschemata für bestimmte IKT- Produkte -Dienste und -Prozesse, ausarbeiten. Die Kommission sollte die positiven und negativen Auswirkungen ihres Auftrags auf den spezifischen Markt und insbesondere auf KMU, Innovation, die Schranken für den Eintritt in diesen Markt und die Kosten für die Endverbraucher bewerten. Die Kommission sollte befugt sein, auf der Grundlage des von der ENISA vorbereiteten möglichen Schemas das europäische Schema für die Cybersicherheitszertifizierung mittels eines Durchführungsrechtsakts anzunehmen. Unter Berücksichtigung des allgemeinen Zwecks dieser Verordnung und der in ihr festgelegten Sicherheitsziele sollten in den von der Kommission angenommenen europäischen Schemata für die Cybersicherheitszertifizierung Mindestbestimmungen in Bezug auf den Gegenstand, den Anwendungsbereich und die Funktionsweise des einzelnen Schemas festgelegt werden. Unter diese Bestimmungen sollte unter anderem Folgendes fallen: Anwendungsbereich und Ziel der Cybersicherheitszertifizierung, darunter auch die Kategorien von IKT-Produkten, -Diensten und -Prozessen, detaillierte Spezifikationen der Anforderungen an die Cybersicherheit, etwa durch Verweise auf Normen oder technische Spezifikationen, die jeweiligen Bewertungskriterien und -verfahren sowie die beabsichtigte Vertrauenswürdigkeitsstufe („niedrig“, „mittel“ oder „hoch“) sowie gegebenenfalls die Bewertungsniveaus. Die ENISA sollte einen Auftrag der Europäischen Gruppe für die Cybersicherheitszertifizierung ablehnen können. Solche Entscheidungen sollten gebührend begründet und vom Verwaltungsrat getroffen werden.
Quelle: © Europäische Union, https://eur-lex.europa.eu · konsolidierte Fassung, Stand: 13.02.2025
Diese Norm ist Teil von Lawbster — verifizierte deutsche und europäische Gesetze, Verordnungen und Gerichtsentscheidungen, live in jedem KI-Assistenten per MCP (Claude, ChatGPT, Cursor, Copilot Studio u. a.) oder über die REST-API. API-Key holen.
