Artikel 58 CSA

(4) "Die Mitgliedstaaten stellen sicher, dass die Tätigkeiten der nationalen Behörden für die europäische Cybersicherheitszertifizierung im Zusammenhang mit der Ausstellung von Zertifikaten nach Artikel 56 Abs. 5 Buchstabe a und Absatz 6 von den Aufsichtstätigkeiten nach diesem Artikel streng getrennt sind und dass diese Tätigkeiten unabhängig voneinander durchgeführt werden."

Im BSI wird diese Trennung durch die Verortung der aufsichtführenden NCCA sowie der zertifizierenden NCCA in unterschiedlichen Fachbereichen der Abteilung SZ - Standardisierung und Zertifizierung sichergestellt. Die jeweiligen Fachbereiche arbeiten unabhängig voneinander.

Artikel 56 CSA

(5) "Abweichend von Absatz 4 kann in hinreichend begründeten Fällen ein europäisches Schema für die Cybersicherheitszertifizierung vorsehen, dass ein im Rahmen dieses Schemas erteiltes europäisches Cybersicherheitszertifikat nur von einer öffentlichen Stelle auszustellen ist. Bei einer solchen Stelle muss es sich um eine der folgenden Stellen handeln:
a) eine nationale Behörde für die Cybersicherheitszertifizierung nach Artikel 58 Absatz 1;
[...]

(6) Ist im Rahmen eines europäischen Schemas für die Cybersicherheitszertifizierung nach Artikel 49 die Vertrauenswürdigkeitsstufe „hoch“ erforderlich, so kann das europäische Cybersicherheitszertifikat nach diesem Schema nur von einer nationalen Behörde für die Cybersicherheitszertifizierung oder in den folgenden Fällen von einer Konformitätsbewertungsstelle ausgestellt werden:

a) wenn die nationale Behörde für die Cybersicherheitszertifizierung zuvor für jedes einzelne, von einer Konformitätsbewertungsstelle ausgestellte europäische Cybersicherheitszertifikat ihre Zustimmung erteilt hat oder

b) wenn die nationale Behörde für die Cybersicherheitszertifizierung die Aufgabe der Ausstellung solcher europäischen Cybersicherheitszertifikate zuvor allgemein einer Konformitätsbewertungsstelle übertragen hat."

Auf Grundlage des CSA stellt das BSI als die nationale Behörde für die Cybersicherheitszertifizierung die Zertifikate für die Vertrauenswürdigkeitsstufe "hoch"/high aus, wie diese im Art. 52 (7) CSA definiert und in den jeweiligen europäischen Schemata für Cybersicherheitszertifizierung gem. Art. 54 des CSA festgelegt ist.

Artikel 58 CSA

(7) "Die nationalen Behörden für die Cybersicherheitszertifizierung haben folgende Aufgaben:

a) Überwachung und Durchsetzung der Vorschriften im Rahmen der europäischen Schemata für die Cybersicherheitszertifizierung gemäß Artikel 54 Absatz 1 Buchstabe j im Hinblick auf die Beobachtung der Übereinstimmung der IKT- Produkte, -Dienste und -Prozesse mit den Anforderungen der in ihrem jeweiligen Hoheitsgebiet ausgestellten europäischen Cybersicherheitszertifikate in Zusammenarbeit mit anderen zuständigen Marktüberwachungsbehörden;

b) Überwachung und Durchsetzung der Verpflichtungen der in ihrem jeweiligen Hoheitsgebiet niedergelassenen Hersteller oder Anbieter von IKT-Produkten, -Diensten oder -Prozessen, die eine Selbstbewertung der Konformität durchführen, insbesondere Überwachung und Durchsetzung der Verpflichtungen dieser Hersteller oder Anbieter nach Artikel 53 Absätze 2 und 3 und nach dem entsprechenden europäischen Schema für die Cybersicherheitszertifizierung;

c) unbeschadet des Artikels 60 Absatz 3 aktive Unterstützung der nationalen Akkreditierungsstellen bei der Überwachung und Beaufsichtigung der Tätigkeiten der Konformitätsbewertungsstellen für die Zwecke dieser Verordnung;

d) Überwachung und Beaufsichtigung der Tätigkeiten der in Artikel 56 Absatz 5 genannten öffentlichen Stellen"

§ 9a Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG)

(1) "Das Bundesamt ist die nationale Behörde für die Cybersicherheitszertifizierung im Sinne des Artikels 58 Abs. 1 der Verordnung (EU) 2019/881.

(2) Das Bundesamt kann auf Antrag Konformitätsbewertungsstellen, die im Anwendungsbereich der Verordnung (EU) 2019/881 sowie des § 9 dieses Gesetzes tätig werden, eine Befugnis erteilen, also solche tätig zu werden, wenn die Voraussetzungen des maßgeblichen europäischen Schemas für die Cybersicherheitszertifizierung nach Artikel 54 der Verordnung (EU) 2019/881 oder des § 9 dieses Gesetzes erfüllt sind. Ohne eine Befugniserteilung durch das Bundesamt dürfen Konformitätsbewertungsstellen im Anwendungsbereich der Verordnung (EU) 2019/881 nicht tätig werden."

Die Aufgaben der aufsichtführenden NCCA sind festgelegt in Artikel 58 des CSA und umfassen insbesondere die Einhaltung der Vorschriften im Rahmen der europäischen Schemata für die Cybersicherheitszertifizierung. In diesem Sinne wurde in § 9a des BSIG festgelegt, dass das BSI als aufsichtführende NCCA für die Befugniserteilung zuständig ist, ohne diese die nationalen Konformitätsbewertungsstellen nicht im Rahmen der europäischen Cybersicherheitszertifizierung tätig werden dürfen. Im Sinne der Marktüberwachung werden auch die Herstellerinnen und Hersteller, die eine EU-Konformitätserklärung, die sog. Herstellerselbsterklärung für die Vertrauenswürdigkeitsstufe "niedrig"/basic ausstellen, überprüft.

Artikel 56 CSA

(4) "Die in Artikel 60 genannten Konformitätsbewertungsstellen stellen ein europäisches Cybersicherheitszertifikat nach diesem Artikel mit der Vertrauenswürdigkeitsstufe „niedrig“ oder „mittel“ auf der Grundlage der Kriterien des nach Artikel 49 durch die Kommission angenommenen europäischen Schemas für die Cybersicherheitszertifizierung aus."

Das BSI als zertifizierende NCCA erteilt keine europäischen Cybersicherheitszertifikate für die Vertrauenswürdigkeitsstufen "niedrig"/basic und "mittel"/substantial. Die Vertrauenswürdigkeitsstufe "niedrig"/basic kann von den Herstellerinnen und Herstellern bzw. den Anbieterinnen und Anbietern für IKT-Produkte, -Dienste und Prozesse mit niedrigem Risiko im Rahmen einer EU-Konformitätsselbstbewertung gem. Art. 53 CSA ausgestellt werden.

Die Vertrauenswürdigkeitsstufe "mittel"/substantial wird von privaten Konformitätsbewertungsstellen gem. Art. 60 CSA einer Bewertung dahingehend unterzogen, ob die IKT-Produkte, -Dienste und Prozesse bekannte Cybersicherheitsrisiken, das Risiko von Cybersicherheitsvorfällen und Cyberangriffe seitens Akteuren mit begrenzten Fähigkeiten und Ressourcen möglichst gering halten.

Das BSI als aufsichtführende NCCA hat gem. Art. 58 (8) CSA und § 9a Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) weitrechende Befugnisse, um die Einhaltung der Vorschriften im Rahmen der europäischen Schemata für die Cybersicherheitszertifizierung zu überwachen und durchzusetzen. Diese umfassen:

• der Auskunftserteilung (Art. 58 (8) a) CSA i.V.m. § 9a (3) BSIG),
• die Untersuchungen in Form von Auditierungen (Art. 58 (8) b) CSA i.V.m. § 9a (4) BSIG),
• den Zugang zu den Räumlichkeiten von Konformitätsbewertungsstellen und von Inhabern europäischer Cybersicherheitszertifikate (Art. 58 (8) d) CSA i.V.m. § 9a (5) BSIG),
• den möglichen Widerruf europäischer Cybersicherheitszertifikate (Art. 58 (8) e) CSA i.V.m. § 9a (6) BSIG),
• das Ergreifen geeigneter Maßnahmen und ggf. Sanktionen (Art. 58 (8) c), f) CSA i.V.m. § 14 (2), (3), (4), (5) BSIG).

Artikel 58 CSA

(7) "Die nationalen Behörden für die Cybersicherheitszertifizierung haben folgende Aufgaben:

f) Bearbeitung von Beschwerden, die von natürlichen oder juristischen Personen in Bezug auf europäische Cybersicherheitszertifikate, die von der nationalen Behörde für die Cybersicherheitszertifizierung ausgestellt wurden, oder in Bezug auf europäische Cybersicherheitszertifikate, die nach Artikel 56 Absatz 6 von Konformitätsbewertungsstellen ausgestellt wurden, oder in Bezug auf EU-Konformitätserklärungen nach Artikel 53 eingereicht werden, und Untersuchung des Beschwerdegegenstands in angemessenem Umfang, und Unterrichtung des Beschwerdeführers über die Fortschritte und das Ergebnis der Untersuchung innerhalb einer angemessenen Frist"

Im BSI bearbeitet die aufsichtführende NCCA die eingehenden Beschwerden. Beschwerdeführende können sich über die veröffentlichten Kontaktdaten an die NCCA wenden.

Artikel 63 (1) CSA

"Natürliche und juristische Personen haben das Recht, bei dem Aussteller eines europäischen Cybersicherheitszertifikats oder — wenn sich die Beschwerde gegen ein von einer Konformitätsbewertungsstelle nach Artikel 56 Absatz 6 ausgestelltes europäischen Cybersicherheitszertifikat richtet — bei der zuständigen nationalen Behörde für die Cybersicherheitszertifizierung eine Beschwerde einzulegen."

Artikel 63 CSA

(2) "Die Behörde oder Stelle, bei der die Beschwerde eingelegt wurde, unterrichtet den Beschwerdeführer über den Stand des Verfahrens und die getroffene Entscheidung und informiert den Beschwerdeführer über die Möglichkeit eines wirksamen gerichtlichen Rechtsbehelfs nach Artikel 64."

Das BSI als aufsichtführende NCCA hat gem. Art. 58 (8) CSA und § 9a Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) weitreichende Befugnisse, um die Einhaltung der Vorschriften im Rahmen der europäischen Schemata für die Cybersicherheitszertifizierung zu überwachen und durchzusetzen. Diese umfassen:

• der Auskunftserteilung (Art. 58 (8) a) CSA i.V.m. § 9a (3) BSIG),
• die Untersuchungen in Form von Auditierungen (Art. 58 (8) b) CSA i.V.m. § 9a (4) BSIG),
• den Zugang zu den Räumlichkeiten von Konformitätsbewertungsstellen und von Inhabern europäischer Cybersicherheitszertifikate (Art. 58 (8) d) CSA i.V.m. § 9a (5) BSIG),
• den möglichen Widerruf europäischer Cybersicherheitszertifikate (Art. 58 (8) e) CSA i.V.m. § 9a (6) BSIG),
• das Ergreifen geeigneter Maßnahmen und Sanktionen (Art. 58 (8) c), f) CSA i.V.m. § 14 (2), (3), (4), (5) BSIG).

Ja. In § 14 (2) Nr. 10, (3), (4), (5) Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) wurden folgende Ordnungswidrigkeiten definiert:

• Konformitätsbewertungsstellen, die ohne Befugniserteilung des BSI gem. § 9a (2) Satz 2 BSIG tätig werden,
• Herstellerinnen und Hersteller oder Anbieterinnen und Anbieter, die keine Angabe, eine nicht richtige Angabe, eine nicht vollständige Angabe oder die Angabe nicht binnen eines Monats im Online-Register mit öffentlich offengelegten Sicherheitslücken gem. Art. 55 (1) CSA machen,
• Feststellung einer Sicherheitslücke oder Unregelmäßigkeiten gem. Art. 56 (8) Satz 1 CSA, über die nicht, nicht vollständig oder nicht unverzüglich informiert wird

Für diese Fälle kann eine Geldbuße in Höhe von bis zu 500.000 € verhängt werden.

Die nationalen Behörden für die Cybersicherheitszertifizierung der europäischen Mitgliedstaaten sind gem. Artikel 58 (7) CSA ausschließlich für europäische Cybersicherheitszertifikate zuständig, die in ihrem jeweiligen Hoheitsgebiet ausgestellt wurden.